博客
什么是运营安全(OPSEC)?
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

运营安全(OPSEC)是一种过程,用于识别友好的操作,如果对其进行了适当的分析并与其他数据进行分组以揭示关键信息或 敏感数据。 OPSEC使用对策来减少或消除对手的利用。

OPSEC既是分析过程,又是风险管理中用于识别可识别信息的策略。 被剥削 由攻击者使用并用于收集可能损坏组织的关键信息'的计划或声誉。

OPSEC来自哪里?

作战安全一词是在越战期间由美国军方创造的,这是由一支被称为小组的军事行动所导致的 紫龙

紫龙注意到美国'尽管北越和越共,对手还是能够预见他们的策略和战术'无法解密美国通讯,并且内部没有真正的情报收集资产。

结论是,美国无意中向正在聚在一起并被利用的敌人泄露了未分类的信息。

如今,这一概念已从军方传播到美国政府和国防部(DoD)的其他部门,以保护国家安全以及私有行业中的商业秘密和客户数据。

OPSEC在其中尤其受欢迎 网络安全风险管理, 数据保护, 企业间谍活动 和 信息安全 professionals.  

OPSEC的目的是什么?

OPSEC关心的是保护可聚合以形成更大局面的单个数据。 

OPSEC流程导致制定了技术和非技术措施以减少 网络安全风险,第一方风险, 第三方风险 and 第四方风险.

虽然OPSEC通常关注防止将非敏感数据聚合在一起,但它仍经常使用技术对策来保护 敏感数据

常见的技术对策包括防范不同 恶意软件类型 like the 想哭 勒索软件漏洞电子邮件欺骗网络钓鱼域名劫持 and other 网络攻击 that lead to 数据泄露 and 数据泄漏

非技术性对策包括注意拍摄的照片(例如背景中的物品),以及不在社交媒体上公开谈论您的组织'的敏感信息。 

为什么OPSEC计划很重要?

实施有效的运营安全计划可防止无意间泄露与您的组织有关的敏感或机密信息'的活动,意图或能力。 

现实情况是,每个组织都有他们需要或想要向公众隐藏的事物。关键是要确定这些信息是什么,信息的保护程度,受到危害时将产生什么影响以及您的组织将如何响应。 

拥有公开信息的攻击者,有动机的攻击者可能会造成严重损失,尤其是在您的组织或其员工正在跨服务重复使用登录凭据的情况下。

如果没有OPSEC,您的组织可能会遭受一千次裁员的折磨。它'不是说一条信息会造成损害,而是'随着时间的推移积累的数据,使攻击者可以收集足够的信息以启动 网络攻击.

了解管理层,供应商和员工正在共享的信息至关重要。

OPSEC的五个步骤是什么?

OPSEC计划是一个五步风险评估流程,可帮助组织确定需要保护哪些信息以及应采用哪些安全措施来保护它们。

  1. 需要保护哪些信息? 首先 步骤是了解哪些数据可能对您的组织造成损害。通过识别数据,可以 个人身份信息(PII),财务记录或知识产权。
  2. 谁是我的敌人? 下一步是确定谁可能成为您组织的目标。谁会发现一组特定的数据有用?这可能是您行业中的竞争对手,也可能是一群希望将您的组织勒索为赎金的黑客。通过了解谁构成 网络威胁,您可以根据潜在对手进行风险评估's ability.
  3. 我的弱点是什么? 这是任何一个重要步骤 信息风险管理 处理。漏洞分析很重要,因此您知道需要采取哪些安全措施来缓解安全隐患。 潜在的攻击面。通常,通过混合自动漏洞扫描来完成此操作 CVE 以及手动技术和非技术安全评估,例如 SOC 2
  4. 威胁级别是多少? 通过将泄漏的潜在损害与成功利用漏洞的可能性联系在一起,评估了每种威胁带来的风险后,您可以开始确定优先重点。  
  5. 我们应该如何减轻或消除这些威胁? 现在,您可以开始制定一个安全程序,其中规定了针对所有无法接受的风险以及如何防范这些风险的特定对策。它'同样重要的是 事件响应计划 如果发生 数据泄露 or 资料泄漏,这可能包括 数字取证 或像 IP归属.

OPSEC失败的例子是什么?

理解OPSEC涉及的内容的最好方法是通过一个示例来说明人们能够将哪些内容与公共信息结合在一起。

2017年3月,来自Gizmodo的Ashley Feinberg能够追踪联邦调查局局长James Comey'的Instagram和Twitter帐户使用在社交媒体上收集的公开可用信息。

费恩伯格找到了科米'通过在Twitter上搜索他的儿子Brien(他是Kenyon大学的大学篮球运动员)的Twitter帐户。

关于Brien的推文中有一个已死的Twitter帐户,名为"@twittafuzz"。然后,Feinberg在Instagram上搜索了相同的句柄,并要求关注Brien。点击“关注”按钮后,系统会从算法上建议她使用一个名为"reinholdniebuhr"以詹姆斯·科米(James Comey)撰写其高级论文的神学家的名字命名。 

该帐户还恰好有9个关注者,这是确切的数字Comey'传闻其instagram帐户具有:

有趣的事实: #联邦调查局 director James #Comey is on twitter &显然在Instagram上有9个关注者。 pic.twitter.com/lDIFirzVeh

-凯文·林康(@KevRincon) 2017年3月30日

Feinberg然后在Twitter上搜索了"reinhold niebuhr"找到一个手柄"@projectexile7"这似乎是根据减少枪支暴力计划命名的。'90s. @ projectexile7 has one follower, legal blogger Benjamin Wittes, who happened to be a personal friend of Comey.

到2017年10月, 确认费恩伯格是正确的

这是一个示例,即使最安全意识最强的人也可以使用公开可用的信息来公开自己。

虽然这个例子相对良性,但它'不难看出,这种信息收集过程会对政府机构和其他组织造成多大破坏。 

请记住,OPSEC必须扩展到您的组织之外'是您的第三方和第四方供应商的墙。它需要成为您的一部分 第三方风险管理框架 and 供应商风险管理 programs.

UpGuard如何提高您的信息安全性

那里's no question that 网络安全更重要 比以往任何时候都。那's why companies like 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露.

We'是数据泄露方面的专家,实际上我们 数据泄露研究 已在 纽约时报彭博社华盛顿邮报福布斯 and Techcrunch。

UpGuard BreachSight can help combat 抢注, 避免 数据泄露 and 数据泄漏,避免监管罚款并保护您的客户'通过网络安全等级和持续暴露检测获得信任。 

UpGuard供应商风险 通过自动执行供应商调查表并持续监控您的供应商,可以最大程度地减少组织花费在管理第三方关系上的时间 ' 安全态势 随着时间的流逝,同时将它们与行业进行比较。 

每个供应商均根据50多个标准(例如是否存在 SSL协议 and 域名系统,以及 域名劫持中间人攻击 and 电子邮件欺骗 for 网络钓鱼.

每天,我们的平台都会通过 网络安全等级 满分为950。如果他们的分数下降,我们甚至可以提醒您。

立即预订演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状