CISO如何回答CEO提出的高難度問(wèn)題?

責(zé)任編輯:editor005

作者:nana

2017-05-23 14:40:58

摘自:安全牛

CEO完全信任首席安全官(CSO),將保護(hù)公司安全,不讓公司登上媒體頭條出丑的重責(zé)大任交托到CISO身上。CEO討厭被打個(gè)措手不及,所以他們總會(huì)問(wèn)些尖銳的問(wèn)題,來(lái)確保自己知曉采取了哪些安全預(yù)警措施。

CEO完全信任首席安全官(CSO),將保護(hù)公司安全,不讓公司登上媒體頭條出丑的重責(zé)大任交托到CISO身上。但隨著互聯(lián)網(wǎng)攻擊數(shù)量的急速上升,該信任已逐漸被稀釋,至少,是越來(lái)越受到質(zhì)疑了。

CEO討厭被打個(gè)措手不及,所以他們總會(huì)問(wèn)些尖銳的問(wèn)題,來(lái)確保自己知曉采取了哪些安全預(yù)警措施。

下面就是假想中的CEO或董事會(huì)成員與CISO的問(wèn)答。盧卡斯·穆迪,Palo Alto Networks 副總裁兼CISO,多蒂·辛德林格,Diligent監(jiān)管技術(shù)推動(dòng)者,給出了有關(guān)這些互動(dòng)的見(jiàn)解。

CEO:為什么我們受到的網(wǎng)絡(luò)釣魚攻擊越來(lái)越多了?針對(duì)這些網(wǎng)絡(luò)釣魚攻擊我們都在做些什么?

CISO:為對(duì)抗該威脅,預(yù)防是我們最佳的防御策略。預(yù)防始于技術(shù),應(yīng)囊括進(jìn)識(shí)別公司憑證被非法復(fù)用的方法技術(shù)。為支持預(yù)防,我們還通過(guò)全面的網(wǎng)絡(luò)釣魚模擬和教育,解決了人和過(guò)程的問(wèn)題,讓員工成為了主動(dòng)防護(hù)公司所需的第一道防線。

CEO:我們需要擔(dān)心勒索軟件攻擊嗎?我印象中我們這行不受影響,至少?gòu)奈铱吹降男侣勆鲜沁@樣的。

CISO:鑒于網(wǎng)絡(luò)罪犯在勒索軟件上取得的巨大成功,今年的攻擊規(guī)模應(yīng)該會(huì)擴(kuò)大,從醫(yī)療保健到關(guān)鍵基礎(chǔ)設(shè)施的各行各業(yè)都會(huì)被波及,而且這些攻擊在復(fù)雜度可能會(huì)增加。我們已經(jīng)做了全面的備份策略以對(duì)抗公司環(huán)境中常見(jiàn)的此類攻擊,而且是高度個(gè)性化的。

CEO:連接我們公司網(wǎng)絡(luò)的IoT設(shè)備安全情況如何?我們對(duì)此的策略是什么?

CISO:全球在用的聯(lián)網(wǎng)設(shè)備超過(guò)60億臺(tái)——該數(shù)字到2020年有望達(dá)到210億。隨著這些消費(fèi)級(jí)IoT設(shè)備進(jìn)入辦公環(huán)境,我們需要在面對(duì)某些真正的威脅前,慎重考慮主動(dòng)解決該重大脆弱點(diǎn)。

如您所知,人的因素往往是網(wǎng)絡(luò)安全計(jì)劃中最薄弱的一環(huán),所以我們首先要設(shè)立接入公司網(wǎng)絡(luò)的設(shè)備限制條件,以及有哪些數(shù)據(jù)是可以通過(guò)這些設(shè)備訪問(wèn)的。我們所用的安全技術(shù)不僅僅是應(yīng)用和產(chǎn)品敏感的,也可以合理控制這些設(shè)備,支持設(shè)備按預(yù)設(shè)意圖行事。

CEO:SaaS 應(yīng)用中意外過(guò)度共享公司機(jī)密文件迅速成為了一大問(wèn)題。我們可以做些什么來(lái)規(guī)避此風(fēng)險(xiǎn)呢?

CISO:團(tuán)隊(duì)生產(chǎn)力依賴于Box、Dropbox和 Google Drive 之類SaaS應(yīng)用的使用,隨著此類服務(wù)的瘋狂采用,我們開發(fā)出了一些策略來(lái)最小化數(shù)據(jù)丟失風(fēng)險(xiǎn)。從設(shè)計(jì)上,這些應(yīng)用就是為了簡(jiǎn)化信息共享的,也就是說(shuō),信息安全公司必須有能力監(jiān)視和預(yù)防公司暴露面。耦合員工培訓(xùn)和預(yù)防檢測(cè)控制機(jī)制以識(shí)別風(fēng)險(xiǎn)數(shù)據(jù),限制共享,以及支持已暴露機(jī)密數(shù)據(jù)的監(jiān)視,也是重要步驟。使用現(xiàn)實(shí)例子解釋SaaS應(yīng)用中過(guò)度共享文件的后果,可有效幫助緩解該問(wèn)題,防止公司業(yè)務(wù)開支的上升,或者非必要的品牌損害。

CEO:說(shuō)下內(nèi)部人風(fēng)險(xiǎn)吧,這問(wèn)題太容易成為噩夢(mèng)了。我們做好充分的應(yīng)對(duì)準(zhǔn)備了嗎?

CISO:我們有成熟而強(qiáng)大的風(fēng)險(xiǎn)管理項(xiàng)目,可以發(fā)現(xiàn)此類風(fēng)險(xiǎn)對(duì)業(yè)務(wù)和品牌影響最大的地方。我們已經(jīng)準(zhǔn)備好了合適的策略,詳細(xì)描述了預(yù)期行為,并配有健壯的基于角色的訪問(wèn)控制(RBAC),根據(jù)用戶角色分隔用戶群,賦予恰當(dāng)?shù)臄?shù)據(jù)訪問(wèn)權(quán)限。同樣重要的是,部署合適的技術(shù),在用戶角色上下文中,檢測(cè)機(jī)密數(shù)據(jù)訪問(wèn)里的異常。最后,如果事件確實(shí)發(fā)生了,我們還有配備了正確的行動(dòng)手冊(cè)的響應(yīng)團(tuán)隊(duì),時(shí)刻準(zhǔn)備好采取立即行動(dòng),切實(shí)緩解影響。

CEO:這段日子我們聽(tīng)到的都是云、云、云。挺令人振奮的,但我們是怎么準(zhǔn)備應(yīng)對(duì)這一轉(zhuǎn)變的呢?

CISO:IT方面,我們?yōu)樵频牟杉{開發(fā)了安全策略。這不是開發(fā)策略和標(biāo)準(zhǔn)然后再應(yīng)用到企業(yè)那么簡(jiǎn)單,我們采取了多方面的措施。首先,我們實(shí)現(xiàn)了對(duì)相關(guān)性的持續(xù)推動(dòng),保持多個(gè)領(lǐng)域的許多獨(dú)特服務(wù)都是最新的,比如計(jì)算、存儲(chǔ)、分析、消息傳遞等等。其次,處理可擴(kuò)展可編程云服務(wù)時(shí),解決安全標(biāo)準(zhǔn)空白的唯一方法,就是通過(guò)自動(dòng)化。第三,我們找到了達(dá)成云端高度威脅預(yù)防的機(jī)制。

CEO:我們?cè)趺捶雷o(hù)身份和憑證盜竊?肯定有我們能做的事!

CISO:現(xiàn)實(shí)是,不是所有的公司都有強(qiáng)身份驗(yàn)證實(shí)踐,人們也經(jīng)常會(huì)在不同網(wǎng)絡(luò)資源上重復(fù)使用用戶名/口令。這給對(duì)手創(chuàng)造了發(fā)起憑證收集行動(dòng)的機(jī)會(huì),聚集大量用戶名和口令組合,或者其他用于賬戶設(shè)立或驗(yàn)證的信息。一旦盜得,他們通常會(huì)在地下論壇上將信息出售給想用這些被盜數(shù)據(jù)提升攻擊效果的黑客。通過(guò)編配出強(qiáng)力功能和程序的生態(tài)環(huán)境,包括為暴露應(yīng)用和移動(dòng)設(shè)備實(shí)現(xiàn)多因子身份驗(yàn)證(MFA),以及利用技術(shù)感知企業(yè)憑證威脅,我們已經(jīng)解決了該問(wèn)題。

CEO:網(wǎng)絡(luò)安全很復(fù)雜,需要?jiǎng)?chuàng)造性思維來(lái)驅(qū)動(dòng)創(chuàng)新,這是一個(gè)被有限的人才資源給加劇了問(wèn)題。作為一家公司,我們?cè)诖蛟鞆?qiáng)有力的網(wǎng)絡(luò)安全員工通道上做了些什么呢?

CISO:在已經(jīng)嚴(yán)重短缺的人才市場(chǎng)上帶著一種“盡人事聽(tīng)天命”的態(tài)度競(jìng)爭(zhēng)是不對(duì)的。尋找不同的觀點(diǎn)和經(jīng)驗(yàn),讓思維多樣性生根開花,可以營(yíng)造出偉大的思想者齊聚一堂的喜人局面。我們讓思維多樣性成為了公司文化的一部分。為加速我們的網(wǎng)絡(luò)安全項(xiàng)目,我們擴(kuò)展了人才范圍,將其他經(jīng)驗(yàn)人士也囊括了進(jìn)來(lái),優(yōu)先延攬那些在問(wèn)題解決、創(chuàng)造力、影響和理解人類因素的能力上表現(xiàn)突出的人。

CEO:如今我們是真有了個(gè)全球員工背景了。我意識(shí)到這讓我們安全部門的工作更難做了。我們是怎么應(yīng)對(duì)這種復(fù)雜性的呢?

CISO:最有效的策略是培訓(xùn)員工,讓他們保持警惕,成為強(qiáng)勁的第一道防線。跨部門共享最佳實(shí)踐和情報(bào),讓員工知情并有所準(zhǔn)備,是我們當(dāng)前的工作重點(diǎn)。我們還關(guān)注當(dāng)?shù)亓?xí)慣和流程,注重與當(dāng)?shù)貓F(tuán)隊(duì)緊密合作,創(chuàng)建最適合特定位置或情況的最佳解決方案。培訓(xùn)解決方案需要被本地化以確保有效性,我們要繼續(xù)招募多樣的思維,將這些最強(qiáng)大腦組合起來(lái),真正解決越來(lái)越復(fù)雜和動(dòng)態(tài)多變的威脅態(tài)勢(shì)。

CEO:我們總是聽(tīng)到更大的威脅更緊迫的響應(yīng)要求。那我們到底該怎么合理確保我們自身,以及我們客戶的安全呢?

CISO:在事件發(fā)生前主動(dòng)參與到主要利益相關(guān)者之間,這可以確保公司能夠快速有效地響應(yīng)現(xiàn)代網(wǎng)絡(luò)威脅。最終,說(shuō)到確保安全真的非常重要的時(shí)候,我們要強(qiáng)調(diào)的是,必須以身作則。如果我們自己都做不到,還有什么立場(chǎng)告訴客戶說(shuō)他們需要轉(zhuǎn)型到下一代范例?我們必須自己先想到預(yù)防,減小自身環(huán)境的攻擊界面,增強(qiáng)檢測(cè)和反殺能力,還必須在自動(dòng)化業(yè)務(wù)安全上持續(xù)創(chuàng)新。

CEO:我們需要多少網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)金額才能保證不被黑?

CISO:我們已經(jīng)收到了指南說(shuō),應(yīng)該在我們的開發(fā)運(yùn)維策略中包括進(jìn)網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)金,這樣才可以兜住我們?cè)诰W(wǎng)絡(luò)安全方面的個(gè)人責(zé)任。然而,不幸的是,網(wǎng)絡(luò)保險(xiǎn)只在已經(jīng)被黑之后才顯出價(jià)值,并不能免除董事們遵從法律的責(zé)任。比如說(shuō),紐約金融服務(wù)局(始于2017年3月)如今就要求,在紐約經(jīng)營(yíng)的所有金融服務(wù)公司,都必須有高管或董事證實(shí):他們不僅確知公司的網(wǎng)絡(luò)安全操作,還負(fù)責(zé)確保該操作被實(shí)施且有效。

確保您和董事會(huì)定期收到網(wǎng)絡(luò)安全項(xiàng)目及其有效性的簡(jiǎn)報(bào),就是我工作的一部分。我將確保您在檢測(cè)到成功入侵的第一時(shí)間就知曉此事,并提供緩解和修復(fù)過(guò)程的詳細(xì)描述。我還與保商合作,確保保險(xiǎn)要求被滿足,比如實(shí)施特定通信實(shí)踐、教育培訓(xùn)項(xiàng)目、安全測(cè)試等。

CEO:在保證我們沒(méi)有任何數(shù)據(jù)泄露上,你都做了些什么?

CISO:數(shù)據(jù)泄露與被黑和數(shù)據(jù)被破壞的損害度不相上下。我定期向董事會(huì)匯報(bào)公司網(wǎng)絡(luò)安全項(xiàng)目及其危機(jī)溝通計(jì)劃的情況。同時(shí),我們的部分精力放在開發(fā)一套專為董事和高管設(shè)立的溝通策略上,這套策略應(yīng)經(jīng)全體董事投票生效,并成為新董事培訓(xùn)的一部分。更甚者,我還想帶領(lǐng)董事會(huì)進(jìn)行數(shù)據(jù)泄露的桌面演練,至少每年一次吧。這將有助于董事會(huì)看清危機(jī)溝通計(jì)劃的運(yùn)作方式,以及他們自己在遵從安全策略上的能力。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)