網絡攻擊者正變得越來越聰明，他們的攻擊行為也越來越隱蔽。在網絡攻防的博弈中，擊敗攻擊者的唯一有效方法，就是像攻擊者一樣思考，將安全防護措施領先于潛在的網絡攻擊行為和漏洞利用，從被動事件響應轉化為主動威脅防御。在此背景下，企業(yè)組織構建全面的行動安全（Operational Security，OpSec）防護計劃至關重要。

什么是OPSEC

OpSec是一種研究潛在攻擊行為的主動安全防護技術，最初是為軍事組織開發(fā)的。根據(jù)美國國家安全局（NSA）解密的一份文件“美國 OpSec 計劃的起源與發(fā)展”披露：在越南戰(zhàn)爭中，美國開始注重于從敵方角度審視其自身的安全態(tài)勢，判斷敵方可能的進攻意圖和能力，并發(fā)現(xiàn)敵方是如何獲取美軍的計劃和情報信息，以此來制定最終的反制策略。這種“讓敵人無法了解我們的優(yōu)勢和弱點”的能力被稱為行動安全即OpSec。

2023年1月，美國國家情報局（ODNI）和國家反情報與安全中心（NCSC）首次對“OpSec”進行了定義：OpSec是一個系統(tǒng)化的過程，旨在將威脅防護措施前置，更早識別和保護敏感和關鍵信息， 并消除對手獲取這些信息的能力。由此可以看出，不論是在戰(zhàn)時還是平時，掌握“信息優(yōu)勢”都是決定博弈成敗的關鍵所在。借助全面的OpSec安全計劃，企業(yè)安全運營團隊將能夠在攻擊者實際利用系統(tǒng)錯誤或漏洞之前識別并修復它們，從而掌握主動。

 根據(jù)ODNI和NCSC給出的定義，OpSec不是有明確規(guī)范的行為準則，而是一個實現(xiàn)主動安全防護能力的流程。遵循這個流程可以讓企業(yè)獲得更大的安全性。一個全面的OpSec計劃需要包含以下關鍵要素：

• 識別敏感數(shù)據(jù)和信息企業(yè)首先要明確哪些是需要保護的敏感信息，他們存儲在哪里，在哪些服務器上有違規(guī)存在的敏感信息。通常企業(yè)的客戶信息、知識產權、員工隱私數(shù)據(jù)、財務報表和市場研究數(shù)據(jù)都是需要嚴格保護的敏感信息。
• 識別潛在的攻擊媒介識別潛在的攻擊媒介屬于威脅情報的范疇，主要是根據(jù)要保護的數(shù)據(jù)信息，確定潛在的威脅形式。在防止關鍵信息數(shù)據(jù)泄露之前，企業(yè)應該知道目前的薄弱環(huán)節(jié)在哪里，比如：哪些類型的數(shù)據(jù)對攻擊者有吸引力？是否有第三方可以進入組織系統(tǒng)？
• 審查安全弱點和漏洞企業(yè)在掌握自己可能面臨的攻擊面之后，就需要針對每個攻擊風險級別采取合適的保護措施準備，對存在的問題進行修復。企業(yè)需要對現(xiàn)有的安全基礎設施進行客觀評估，并確定各安全工具是否可以正常發(fā)揮作用。
• 評估漏洞的風險級別當企業(yè)發(fā)現(xiàn)已存在的安全風險和漏洞后，接下來就是對其可能產生的影響和后果進行評估，并說明這些漏洞被利用的后果。哪些漏洞的風險最高？發(fā)生入侵的可能性有多大？攻擊會造成多大損失？風險必須根據(jù)其嚴重程度和影響進行排序。
• 實施緩解和修復計劃實施OpSec的根本目的，是為了降低企業(yè)的安全風險。因此在發(fā)現(xiàn)潛在的風險漏洞并評估優(yōu)先級后，就要采取對應的修復措施。需要特別說明的是，風險是在不斷的變化中，并沒有100%的安全，安全運營團隊需要在安全投入和防護效果之間實現(xiàn)動態(tài)的平衡。

OpSec計劃的最佳實踐

OpSec計劃旨在建立防御潛在威脅的第一道防線，因此需要企業(yè)多個部門的密切配合才能發(fā)揮最大的作用。如果企業(yè)準備構建全面的OpSec防護計劃，可以參考以下8個最佳實踐經驗：

01精確的系統(tǒng)運行管理 

定期進行應用系統(tǒng)版本更新是保持系統(tǒng)平穩(wěn)運行的必要條件，但它們也可能成為攻擊利用的載體。為了保護系統(tǒng)運行安全，必須實施精確的系統(tǒng)版本管理流程，包括強制記錄、變更控制、持續(xù)監(jiān)視和定期審核。

02選擇合適的服務商

現(xiàn)代企業(yè)需要通過第三方供應商來提供一系列服務，以改善客戶和內部業(yè)務體驗。然而，第三方服務商也是重大風險的來源。如果合作伙伴不能與企業(yè)保持一致的網絡安全價值觀，那么就應該選擇一個新的服務商了！事實上，如果第三方服務商未能滿足安全法規(guī)的要求導致違規(guī)行為或風險事件產生，企業(yè)需要為此負責。

03限制對網絡和設備的訪問

不是任何人都可以訪問企業(yè)的網絡和業(yè)務系統(tǒng)。只有經過批準并得到驗證的設備才能連接到業(yè)務網絡。企業(yè)應該設置警報機制，以防未經授權的設備非法連接到網絡系統(tǒng)，因為這可能對敏感業(yè)務數(shù)據(jù)構成威脅。

04遵循最小特權原則

實施包含多因素身份驗證（MFA）和密碼管理的零信任策略可以幫助企業(yè)阻止未經授權的用戶。同時，企業(yè)應該將員工權限限制在“工作必需”的最低基礎上，這樣可以最大限度地防止內部威脅，并降低因憑證竊取而導致嚴重數(shù)據(jù)泄露的可能性。

05對管理權力的制衡 

此舉是為了企業(yè)安全而實施的“制衡”手段。雙重控制（dual control）可以提供更有效的安全性覆蓋，而不會將所有責任放在某一個用戶或部門。在實際應用中，企業(yè)應該是將業(yè)務部門的權限與安全團隊的權限進行區(qū)分，并互相牽制、平衡，防止內部惡意攻擊行為的出現(xiàn)。

06利用自動化技術 

現(xiàn)代企業(yè)面臨的一個重大威脅就是人為錯誤。通過自動化技術，可以將繁瑣、重復的人工任務交給機器去完成，這樣可以幫助組織減少人為失誤，降低數(shù)據(jù)泄露或其他安全事件的可能性。

07制定現(xiàn)實可行的政策

如果企業(yè)制定的安全政策超出安全運營部門能夠實現(xiàn)的范圍，那么在內部審計時，您就會發(fā)現(xiàn)自己永遠處于落后局面。為了保障OpSec計劃能夠真正落地，企業(yè)應該編寫具有挑戰(zhàn)性但可又實現(xiàn)的安全制度和流程。

08事件響應和災難恢復優(yōu)先 

沒有100%的安全，即使是最成功的OpSec計劃，在某些時候也會存在安全問題。因此，企業(yè)應該制定詳細的事件響應和災難恢復計劃，這樣可以大大降低安全事件發(fā)生后造成的影響。當企業(yè)了解如何應對威脅，并如何減輕損失時，將幫助企業(yè)更好地開啟OpSec之旅。

參考鏈接：??https://www.tripwire.com/state-of-security/operational-security-best-practices-create-comprehensive-opsec-program??