近些年，隨著需要緩解的網(wǎng)絡(luò)威脅層出不窮愈趨嚴(yán)重，企業(yè)安全管理員的角色也變得越來(lái)越復(fù)雜了，同時(shí)，他們自身的痛點(diǎn)也發(fā)生了改變。

今天的安全主管們要負(fù)責(zé)整個(gè)公司網(wǎng)絡(luò)風(fēng)險(xiǎn)的評(píng)估、溝通和管理。他們必須通告隊(duì)友具體安全漏洞的位置，然后指派相關(guān)負(fù)責(zé)人采取行動(dòng)緩解威脅。安全管理員們還要負(fù)責(zé)通報(bào)高管和董事會(huì)公司網(wǎng)絡(luò)風(fēng)險(xiǎn)事務(wù)的當(dāng)前狀況，以及該怎樣減小這些風(fēng)險(xiǎn)。風(fēng)險(xiǎn)情報(bào)軟件提供商 Bay Dynamics 帶來(lái)的研究結(jié)果和深度行業(yè)信息，為大型企業(yè)的高管們，呈現(xiàn)了一些常見(jiàn)的痛點(diǎn)和建議解決方案。對(duì)照一下，你自己的安全系統(tǒng)中有沒(méi)有發(fā)現(xiàn)幾個(gè)呢?

安全主管只知道自身環(huán)境中的一部分動(dòng)向。系統(tǒng)、數(shù)據(jù)和業(yè)務(wù)部門(mén)在大型企業(yè)中是極端孤立的。每個(gè)團(tuán)隊(duì)管理著自己的系統(tǒng)和應(yīng)用。可以將之想象成安全主管們?cè)诖髽乔芭_(tái)指揮一隊(duì)保安的情況。他們會(huì)確保只有具備進(jìn)入大樓權(quán)限的人進(jìn)來(lái);然而，一旦進(jìn)了門(mén)，保安便看不見(jiàn)這些人都在做什么了。他們無(wú)法知道某個(gè)訪客是否走進(jìn)了辦公室打開(kāi)了存有敏感信息的文件柜。

二、不良報(bào)告方式

Bay Dynamics的研究《向董事會(huì)報(bào)告：CISO和董事會(huì)的失敗之處》中，81%的IT和安全主管承認(rèn)，他們通過(guò)手工編輯的電子表格向董事會(huì)匯報(bào)數(shù)據(jù)。該手工過(guò)程產(chǎn)生了一些痛點(diǎn)。安全團(tuán)隊(duì)花費(fèi)數(shù)小時(shí)從各業(yè)務(wù)部門(mén)收集電子表格，再將散亂的表格編輯成一個(gè)清晰連貫的數(shù)據(jù)文檔供CISO向董事會(huì)報(bào)告。該數(shù)據(jù)通常是不準(zhǔn)確的，因?yàn)槭止み^(guò)程會(huì)導(dǎo)致數(shù)據(jù)篡改，不可避免地向數(shù)據(jù)中引入了偏差。而一旦安全主管、其他高管和董事會(huì)沒(méi)有看到準(zhǔn)確的數(shù)據(jù)，評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)就會(huì)成為一件幾乎不可能完成的任務(wù)了。

三、低效安全響應(yīng)

沒(méi)有基于資產(chǎn)風(fēng)險(xiǎn)值和事件影響對(duì)安全控制進(jìn)行優(yōu)先級(jí)排序會(huì)產(chǎn)生無(wú)窮無(wú)盡的警報(bào)通知，再加上有限的資源，意味著安全主管必然掙扎于繁重的噪音排除任務(wù)中。他們投入了很多安全工具，卻依然在如何用好這些工具產(chǎn)出的信息上問(wèn)題多多。每一條信息都被當(dāng)成了畫(huà)面中的一個(gè)像素。由于不能看清所有這些像素是怎樣組合成整體畫(huà)面的，他們便不知道該從何處入手。比如說(shuō)，他們很可能將精力投放在了低優(yōu)先級(jí)的漏洞上而放過(guò)了高風(fēng)險(xiǎn)漏洞。

四、網(wǎng)絡(luò)風(fēng)險(xiǎn)的無(wú)效溝通

安全主管們難以將網(wǎng)絡(luò)風(fēng)險(xiǎn)信息以一種可追溯的、可理解的、脈絡(luò)化的方式傳達(dá)給董事會(huì)。最近的研究《董事會(huì)對(duì)網(wǎng)絡(luò)安全報(bào)告的真實(shí)感受》中指出，超過(guò)一半(54%)的董事會(huì)成員都強(qiáng)烈認(rèn)同，安全主管們提交的數(shù)據(jù)太過(guò)于技術(shù)化了。

五、業(yè)務(wù)主管參與難

安全主管通常都難以將管理著公司最敏感資產(chǎn)卻不屬于安全團(tuán)隊(duì)的業(yè)務(wù)主管拉進(jìn)安全管控中來(lái)。業(yè)務(wù)主管對(duì)自己手下的資產(chǎn)有著最清晰的理解，因而在檢測(cè)到非常規(guī)事件時(shí)可以提供需要的相關(guān)上下文。安全主管必須在網(wǎng)絡(luò)風(fēng)險(xiǎn)管理過(guò)程中得到他們的參與，以便能為警報(bào)和通知添加上下文信息。

為解決這些痛點(diǎn)，安全主管們可以參考如下做法：

* 識(shí)別最有價(jià)值資產(chǎn)

在解決上述痛點(diǎn)之前，安全主管們必須先識(shí)別出自己最有價(jià)值的資產(chǎn)，也就是一旦被盜會(huì)對(duì)公司產(chǎn)生最嚴(yán)重?fù)p害的那些資產(chǎn)。找出這些資產(chǎn)是什么、在哪里、誰(shuí)在管之后，安全主管應(yīng)將最多的精力放在對(duì)這些資產(chǎn)的保護(hù)上。這包括了：發(fā)現(xiàn)與這些資產(chǎn)相關(guān)的威脅和漏洞，以及攻擊的可能性。然后，將相應(yīng)的安全資源應(yīng)用到這上面。

* 讓業(yè)務(wù)主管能容易地參與進(jìn)安全實(shí)踐中

業(yè)務(wù)主管應(yīng)收到自己轄下有價(jià)值資產(chǎn)的頂級(jí)威脅和漏洞的排序視圖。這樣他們就能準(zhǔn)確地知道應(yīng)采取哪些動(dòng)作來(lái)保護(hù)他們的資產(chǎn)。當(dāng)安全工具發(fā)現(xiàn)對(duì)他們轄下資產(chǎn)的非正常訪問(wèn)時(shí)，業(yè)務(wù)主管也應(yīng)收到自動(dòng)化的警報(bào)，以便能通知事件響應(yīng)者這些訪問(wèn)是經(jīng)授權(quán)的還是可疑而需要立即調(diào)查的。

* 數(shù)據(jù)收集必須自動(dòng)化

電子表格可以被拋棄了。安全主管們應(yīng)部署自動(dòng)化的網(wǎng)絡(luò)風(fēng)險(xiǎn)數(shù)據(jù)收集過(guò)程，這樣所有的利益相關(guān)者——業(yè)務(wù)主管、IT主管、董事會(huì)、高管和安全團(tuán)隊(duì)，才能看到同一份自動(dòng)產(chǎn)出的網(wǎng)絡(luò)風(fēng)險(xiǎn)信息。安全主管也可有效產(chǎn)出準(zhǔn)確的、可追溯的、可操作的網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告，以便董事會(huì)作出英明的決策。

* 用風(fēng)險(xiǎn)語(yǔ)言交流

董事會(huì)理解風(fēng)險(xiǎn)，安全主管同樣必須理解。安全主管不再被看做是只管理網(wǎng)絡(luò)安全技術(shù)的“技術(shù)宅”。他們?cè)絹?lái)越被看做是與其他運(yùn)營(yíng)風(fēng)險(xiǎn)主管(例如：法務(wù)、財(cái)務(wù)等等)相當(dāng)?shù)娘L(fēng)險(xiǎn)專家。有鑒于這種轉(zhuǎn)變，安全主管必須改變他們的方式方法。不是報(bào)告補(bǔ)丁、錯(cuò)誤配置和其他以技術(shù)為中心的信息，而要報(bào)告威脅、與最有價(jià)值資產(chǎn)相關(guān)的漏洞，以及二者火星撞地球的可能性，然后據(jù)此分配相應(yīng)的安全資源。這才是董事會(huì)能理解的說(shuō)話方式。