IT管理中的安全痛點及解決方法

責(zé)任編輯:editor007

作者:nana

2016-07-30 23:14:37

摘自:安全牛

近些年,隨著需要緩解的網(wǎng)絡(luò)威脅層出不窮愈趨嚴(yán)重,企業(yè)安全管理員的角色也變得越來越復(fù)雜了,同時,他們自身的痛點也發(fā)生了改變。安全主管也可有效產(chǎn)出準(zhǔn)確的、可追溯的、可操作的網(wǎng)絡(luò)風(fēng)險報告,以便董事會作出英明的決策。

近些年,隨著需要緩解的網(wǎng)絡(luò)威脅層出不窮愈趨嚴(yán)重,企業(yè)安全管理員的角色也變得越來越復(fù)雜了,同時,他們自身的痛點也發(fā)生了改變。

今天的安全主管們要負(fù)責(zé)整個公司網(wǎng)絡(luò)風(fēng)險的評估、溝通和管理。他們必須通告隊友具體安全漏洞的位置,然后指派相關(guān)負(fù)責(zé)人采取行動緩解威脅。安全管理員們還要負(fù)責(zé)通報高管和董事會公司網(wǎng)絡(luò)風(fēng)險事務(wù)的當(dāng)前狀況,以及該怎樣減小這些風(fēng)險。風(fēng)險情報軟件提供商 Bay Dynamics 帶來的研究結(jié)果和深度行業(yè)信息,為大型企業(yè)的高管們,呈現(xiàn)了一些常見的痛點和建議解決方案。對照一下,你自己的安全系統(tǒng)中有沒有發(fā)現(xiàn)幾個呢?

一、盲點

安全主管只知道自身環(huán)境中的一部分動向。系統(tǒng)、數(shù)據(jù)和業(yè)務(wù)部門在大型企業(yè)中是極端孤立的。每個團隊管理著自己的系統(tǒng)和應(yīng)用??梢詫⒅胂蟪砂踩鞴軅冊诖髽乔芭_指揮一隊保安的情況。他們會確保只有具備進(jìn)入大樓權(quán)限的人進(jìn)來;然而,一旦進(jìn)了門,保安便看不見這些人都在做什么了。他們無法知道某個訪客是否走進(jìn)了辦公室打開了存有敏感信息的文件柜。

二、不良報告方式

Bay Dynamics的研究《向董事會報告:CISO和董事會的失敗之處》中,81%的IT和安全主管承認(rèn),他們通過手工編輯的電子表格向董事會匯報數(shù)據(jù)。該手工過程產(chǎn)生了一些痛點。安全團隊花費數(shù)小時從各業(yè)務(wù)部門收集電子表格,再將散亂的表格編輯成一個清晰連貫的數(shù)據(jù)文檔供CISO向董事會報告。該數(shù)據(jù)通常是不準(zhǔn)確的,因為手工過程會導(dǎo)致數(shù)據(jù)篡改,不可避免地向數(shù)據(jù)中引入了偏差。而一旦安全主管、其他高管和董事會沒有看到準(zhǔn)確的數(shù)據(jù),評估網(wǎng)絡(luò)風(fēng)險就會成為一件幾乎不可能完成的任務(wù)了。

三、低效安全響應(yīng)

沒有基于資產(chǎn)風(fēng)險值和事件影響對安全控制進(jìn)行優(yōu)先級排序會產(chǎn)生無窮無盡的警報通知,再加上有限的資源,意味著安全主管必然掙扎于繁重的噪音排除任務(wù)中。他們投入了很多安全工具,卻依然在如何用好這些工具產(chǎn)出的信息上問題多多。每一條信息都被當(dāng)成了畫面中的一個像素。由于不能看清所有這些像素是怎樣組合成整體畫面的,他們便不知道該從何處入手。比如說,他們很可能將精力投放在了低優(yōu)先級的漏洞上而放過了高風(fēng)險漏洞。

四、網(wǎng)絡(luò)風(fēng)險的無效溝通

安全主管們難以將網(wǎng)絡(luò)風(fēng)險信息以一種可追溯的、可理解的、脈絡(luò)化的方式傳達(dá)給董事會。最近的研究《董事會對網(wǎng)絡(luò)安全報告的真實感受》中指出,超過一半(54%)的董事會成員都強烈認(rèn)同,安全主管們提交的數(shù)據(jù)太過于技術(shù)化了。

五、業(yè)務(wù)主管參與難

安全主管通常都難以將管理著公司最敏感資產(chǎn)卻不屬于安全團隊的業(yè)務(wù)主管拉進(jìn)安全管控中來。業(yè)務(wù)主管對自己手下的資產(chǎn)有著最清晰的理解,因而在檢測到非常規(guī)事件時可以提供需要的相關(guān)上下文。安全主管必須在網(wǎng)絡(luò)風(fēng)險管理過程中得到他們的參與,以便能為警報和通知添加上下文信息。

為解決這些痛點,安全主管們可以參考如下做法:

* 識別最有價值資產(chǎn)

在解決上述痛點之前,安全主管們必須先識別出自己最有價值的資產(chǎn),也就是一旦被盜會對公司產(chǎn)生最嚴(yán)重?fù)p害的那些資產(chǎn)。找出這些資產(chǎn)是什么、在哪里、誰在管之后,安全主管應(yīng)將最多的精力放在對這些資產(chǎn)的保護上。這包括了:發(fā)現(xiàn)與這些資產(chǎn)相關(guān)的威脅和漏洞,以及攻擊的可能性。然后,將相應(yīng)的安全資源應(yīng)用到這上面。

* 讓業(yè)務(wù)主管能容易地參與進(jìn)安全實踐中

業(yè)務(wù)主管應(yīng)收到自己轄下有價值資產(chǎn)的頂級威脅和漏洞的排序視圖。這樣他們就能準(zhǔn)確地知道應(yīng)采取哪些動作來保護他們的資產(chǎn)。當(dāng)安全工具發(fā)現(xiàn)對他們轄下資產(chǎn)的非正常訪問時,業(yè)務(wù)主管也應(yīng)收到自動化的警報,以便能通知事件響應(yīng)者這些訪問是經(jīng)授權(quán)的還是可疑而需要立即調(diào)查的。

* 數(shù)據(jù)收集必須自動化

電子表格可以被拋棄了。安全主管們應(yīng)部署自動化的網(wǎng)絡(luò)風(fēng)險數(shù)據(jù)收集過程,這樣所有的利益相關(guān)者——業(yè)務(wù)主管、IT主管、董事會、高管和安全團隊,才能看到同一份自動產(chǎn)出的網(wǎng)絡(luò)風(fēng)險信息。安全主管也可有效產(chǎn)出準(zhǔn)確的、可追溯的、可操作的網(wǎng)絡(luò)風(fēng)險報告,以便董事會作出英明的決策。

* 用風(fēng)險語言交流

董事會理解風(fēng)險,安全主管同樣必須理解。安全主管不再被看做是只管理網(wǎng)絡(luò)安全技術(shù)的“技術(shù)宅”。他們越來越被看做是與其他運營風(fēng)險主管(例如:法務(wù)、財務(wù)等等)相當(dāng)?shù)娘L(fēng)險專家。有鑒于這種轉(zhuǎn)變,安全主管必須改變他們的方式方法。不是報告補丁、錯誤配置和其他以技術(shù)為中心的信息,而要報告威脅、與最有價值資產(chǎn)相關(guān)的漏洞,以及二者火星撞地球的可能性,然后據(jù)此分配相應(yīng)的安全資源。這才是董事會能理解的說話方式。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號