在今年5月發(fā)生的針對(duì)Colonial管道進(jìn)行的網(wǎng)絡(luò)攻擊事件中,黑客使用該公司泄露的密碼通過(guò)虛擬專用網(wǎng)絡(luò)入侵Colonial公司的網(wǎng)絡(luò);Equifax公司在2017年遭遇網(wǎng)絡(luò)攻擊的切入點(diǎn)是一個(gè)尚未修補(bǔ)的廣為人知的漏洞;而推特的比特幣騙局始于對(duì)推特公司員工的魚叉式網(wǎng)絡(luò)釣魚攻擊。
雖然并沒有完美的安全計(jì)劃,但此類事件表明網(wǎng)絡(luò)安全團(tuán)隊(duì)不能忽視任何事情。
網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者表示,企業(yè)需要警惕8個(gè)容易忽視的陷阱,這些陷阱可能會(huì)破壞一些企業(yè)原本成功的安全計(jì)劃:
1.關(guān)注技術(shù)風(fēng)險(xiǎn)而不是業(yè)務(wù)風(fēng)險(xiǎn)
聯(lián)合國(guó)項(xiàng)目事務(wù)署首席信息安全官、國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)的董事會(huì)成員Niel Harper表示,網(wǎng)絡(luò)安全已成為企業(yè)董事會(huì)成員關(guān)注的話題,但首席信息安全官以及其他高管往往繼續(xù)將安全視為一種技術(shù)風(fēng)險(xiǎn)而不是業(yè)務(wù)風(fēng)險(xiǎn)。
Harper表示,當(dāng)企業(yè)領(lǐng)導(dǎo)者狹隘地看待網(wǎng)絡(luò)安全時(shí)將會(huì)帶來(lái)負(fù)面影響。
他解釋道,“當(dāng)他們將信息安全視為技術(shù)風(fēng)險(xiǎn)而不是業(yè)務(wù)風(fēng)險(xiǎn)時(shí),就不會(huì)看到這樣的風(fēng)險(xiǎn)會(huì)嵌入業(yè)務(wù)的各個(gè)方面。因此,首席信息安全官通常不會(huì)向企業(yè)董事會(huì)成員報(bào)告這種風(fēng)險(xiǎn),而是向下通知相關(guān)負(fù)責(zé)人員。”
Harper說(shuō),已經(jīng)看到一些首席信息安全官通過(guò)與利益相關(guān)者建立良好關(guān)系來(lái)扭轉(zhuǎn)這種局面。他們加強(qiáng)溝通以了解風(fēng)險(xiǎn)和目標(biāo),然后向董事會(huì)成員展示其安全計(jì)劃如何解決這兩方面的問(wèn)題。
2.過(guò)分強(qiáng)調(diào)合規(guī)性
通常情況下,企業(yè)必須遵循行業(yè)、監(jiān)管和法律標(biāo)準(zhǔn)才能更好開展業(yè)務(wù)。其中著名的法規(guī)包括支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS),適用于處理信用卡的企業(yè);美國(guó)健康保險(xiǎn)流通與責(zé)任法案(HIPAA),適用于處理醫(yī)療記錄的任何人;以及歐盟的通用數(shù)據(jù)保護(hù)條例(GDPR)。此外,還有專門針對(duì)安全性的標(biāo)準(zhǔn)和框架,例如ISO/IEC27001標(biāo)準(zhǔn)。
Harper指出,首席信息安全官不能忽視他們必須滿足的合規(guī)性標(biāo)準(zhǔn),但他們和安全團(tuán)隊(duì)成員都不應(yīng)該認(rèn)為只要滿足法規(guī)就證明其行為是安全可靠的。
他補(bǔ)充道:“合規(guī)性為企業(yè)帶來(lái)了一種虛假的安全感。事實(shí)上,雖然許多企業(yè)遵守了這些法規(guī),但違規(guī)行為仍在增加。”
Harper表示,企業(yè)不能忽視合規(guī)標(biāo)準(zhǔn)的重要性,首席信息安全官必須始終知道,并讓其他高管了解這些要求不是動(dòng)態(tài)的,因此可能無(wú)法解決新出現(xiàn)的網(wǎng)絡(luò)威脅,也無(wú)法根據(jù)具體情況(即人員配備、技術(shù)堆棧、風(fēng)險(xiǎn))準(zhǔn)確衡量企業(yè)的安全性如何隨著時(shí)間的推移而改變。
他說(shuō):“這樣做并不能真正了解企業(yè)面臨的風(fēng)險(xiǎn)和問(wèn)題。”
3.在安全方面的動(dòng)作不夠快
很多企業(yè)正在通過(guò)遷移到云平臺(tái)、更敏捷的軟件開發(fā),以及對(duì)客戶需求的快速響應(yīng)來(lái)加速實(shí)施數(shù)字化轉(zhuǎn)型。一些安全顧問(wèn)指出,并非所有首席信息安全官都能跟上安全發(fā)展步伐,這導(dǎo)致了企業(yè)安全狀況的整體差距。
一些企業(yè)也表達(dá)了類似的擔(dān)憂。根據(jù)GitLab公司于2021年5月發(fā)布的一份最新全球DevSecOps調(diào)查報(bào)告,在針對(duì)4300名的開發(fā)人員的調(diào)查中,約84%的受訪者表示,他們發(fā)布代碼的速度比以往任何時(shí)候都快,但近一半(42%)的受訪者表示,安全測(cè)試在發(fā)布過(guò)程中則太晚,而幾乎相同比例的受訪者表示,很難識(shí)別和解決安全漏洞。此外,37%的受訪者表示跟蹤缺陷修復(fù)的狀態(tài)是一項(xiàng)挑戰(zhàn),33%的受訪者認(rèn)為修復(fù)優(yōu)先級(jí)難以確定。
UST公司首席信息安全官Tony Velleca說(shuō),“安全方面需要更加敏捷,首席信息安全官需要從根本上以不同的方式思考他們?nèi)绾翁幚砭W(wǎng)絡(luò)安全問(wèn)題。”
許多首席信息安全官似乎都明白了這一點(diǎn)。GitLab公司在調(diào)查中發(fā)現(xiàn),70%的開發(fā)團(tuán)隊(duì)在開發(fā)早期就考慮了安全性。這比前一年略有上升,當(dāng)時(shí)65%的開發(fā)團(tuán)隊(duì)表示他們?cè)陂_發(fā)的早期就嵌入了安全性。
4.總是把注意力集中在緊急的事情上
德勤公司首席信息安全官兼網(wǎng)絡(luò)風(fēng)險(xiǎn)服務(wù)戰(zhàn)略、防御與響應(yīng)負(fù)責(zé)人Andrew Morrison表示,安全計(jì)劃面臨的最大威脅之一是被安全團(tuán)隊(duì)被緊急事項(xiàng)所困擾。
他說(shuō),首席信息安全官和他們的團(tuán)隊(duì)可能會(huì)忙于處理面臨的最緊迫的需求——即使這些是低級(jí)問(wèn)題,以至于他們沒有時(shí)間和精力解決戰(zhàn)略優(yōu)先事項(xiàng);他們每天都在盡力解決那些突然出現(xiàn)的小問(wèn)題,而不是加強(qiáng)企業(yè)更關(guān)鍵元素的安全性。
Morrison補(bǔ)充道,“對(duì)于他們來(lái)說(shuō),安全性不再實(shí)施計(jì)劃,只是對(duì)正在發(fā)生的安全事件的一種戰(zhàn)術(shù)反應(yīng)。因?yàn)榫o迫的事情取代了重要的事情。”
Morrison指出,盡管將安全團(tuán)隊(duì)從這樣的場(chǎng)景中解救出來(lái)很有挑戰(zhàn)性,但首席信息安全官可以通過(guò)識(shí)別最大的風(fēng)險(xiǎn)并專注于應(yīng)對(duì)這些風(fēng)險(xiǎn),從而使安全工作與企業(yè)優(yōu)先級(jí)保持一致。這反過(guò)來(lái)將使他們和安全團(tuán)隊(duì)在處理出現(xiàn)的問(wèn)題時(shí)變得不那么被動(dòng),更具戰(zhàn)略性。Morrison說(shuō):“首席信息安全官致力于管理安全事件,而不僅僅是對(duì)事件做出反應(yīng)。”
5.過(guò)分關(guān)注工具和技術(shù),而不是利益相關(guān)者及其需求
同樣,調(diào)研機(jī)構(gòu)Forrester公司的首席分析師Jinan Budge表示,未能優(yōu)先考慮利益相關(guān)者的參與可能會(huì)阻礙安全計(jì)劃的實(shí)施。
她解釋道,“沒有這些計(jì)劃,首席信息安全官不知道優(yōu)先考慮什么或如何獲得支持。沒有優(yōu)先考慮利益相關(guān)者參與的首席信息安全官也更有可能面臨其他高管的抵制,甚至他們的項(xiàng)目資金可能被削減。首席信息安全官因此需要審視他們的戰(zhàn)略。”
她表示,除非他們與利益相關(guān)者密切合作,共同創(chuàng)建和設(shè)計(jì)業(yè)務(wù)戰(zhàn)略和網(wǎng)絡(luò)安全戰(zhàn)略,否則他們不會(huì)全面了解企業(yè)的業(yè)務(wù)風(fēng)險(xiǎn)。
6.在安全部門內(nèi)缺乏安全意識(shí)
行業(yè)專家表示,只是建立一支強(qiáng)大的安全團(tuán)隊(duì),但未能在企業(yè)中營(yíng)造具有安全意識(shí)的文化,也可能影響安全性。
統(tǒng)計(jì)數(shù)據(jù)證明了這一點(diǎn)。根據(jù)Verizon公司在2021年發(fā)布的一份數(shù)據(jù)泄露調(diào)查報(bào)告,2020年85%的數(shù)據(jù)泄露事件與人為因素有關(guān)。
正如云計(jì)算技術(shù)開發(fā)商Accurics公司的首席信息安全官兼研究主管Om Moolchandani所說(shuō):“點(diǎn)擊錯(cuò)誤的鏈接可能會(huì)破壞首席信息安全官發(fā)布的議程。”
首席信息安全官必須制定有效的安全意識(shí)和培訓(xùn)計(jì)劃,旨在幫助企業(yè)員工了解他們?cè)诎踩矫婵梢园l(fā)揮作用。
Morrison說(shuō)。“安全文化很重要,因?yàn)樗鞘紫畔踩偌捌浒踩珗F(tuán)隊(duì)的力量倍增器。如今,幾乎每一次網(wǎng)絡(luò)攻擊都是通過(guò)破壞憑據(jù)或違反個(gè)人信任來(lái)實(shí)現(xiàn)的,例如社交工程、網(wǎng)絡(luò)釣魚、獲取密碼。因此,有效的安全措施必須包括讓每個(gè)人都意識(shí)到這些風(fēng)險(xiǎn);包括讓安全成為每個(gè)人的工作的一部分。”
7.忽視自己的安全人員
經(jīng)驗(yàn)豐富的安全領(lǐng)導(dǎo)者表示,忽視團(tuán)隊(duì)成員和安全部門文化的首席信息安全官很快就會(huì)發(fā)現(xiàn)安全計(jì)劃受到影響。
Budge說(shuō),“人們通常認(rèn)為運(yùn)作不良的團(tuán)隊(duì)會(huì)影響成員的發(fā)展,它也會(huì)影響網(wǎng)絡(luò)安全態(tài)勢(shì)和風(fēng)險(xiǎn)。”Budge的研究重點(diǎn)是如何使首席信息安全官獲得成功,制定變革性的網(wǎng)絡(luò)安全戰(zhàn)略,并培養(yǎng)安全意識(shí)、行為和文化。
她補(bǔ)充說(shuō):“如果安全團(tuán)隊(duì)不堪重負(fù),沒有采用創(chuàng)新技術(shù),沒有實(shí)現(xiàn)自動(dòng)化,也沒有考慮更大的圖景或戰(zhàn)略。這些因素都會(huì)導(dǎo)致安全團(tuán)隊(duì)難以發(fā)揮關(guān)鍵作用。”
對(duì)現(xiàn)狀不滿意的員工更有可能離職。這可能會(huì)使首席信息安全官面臨人員短缺的情況,這也會(huì)對(duì)團(tuán)隊(duì)產(chǎn)生負(fù)面影響。她說(shuō),“員工離職將進(jìn)一步增加安全團(tuán)隊(duì)的負(fù)面印象,而員工之間可能難以更好溝通和交流。”
Budge說(shuō),如果首席信息安全官發(fā)現(xiàn)面臨這種情況,他們需要發(fā)揮領(lǐng)導(dǎo)技能來(lái)實(shí)施管理和工作場(chǎng)所戰(zhàn)略,例如實(shí)施團(tuán)隊(duì)建設(shè)計(jì)劃或培訓(xùn)計(jì)劃,這可以使他們的部門走上更好的發(fā)展道路。
8.迷戀新事物
首席信息安全官可能選擇越來(lái)越多的新興技術(shù)和流程,例如擴(kuò)展檢測(cè)和響應(yīng)(XDR)、行為分析、威脅追蹤和零信任模型。但是,如果席信息安全官不能完美地執(zhí)行可靠安全計(jì)劃的更基本的元素,并且如果沒有根據(jù)企業(yè)的具體需求調(diào)整這些高級(jí)選項(xiàng),那么就不會(huì)帶來(lái)真正的安全收益。
Moolchandani說(shuō),“我們最近在對(duì)漏洞進(jìn)行分析時(shí)看到,網(wǎng)絡(luò)攻擊者利用了技術(shù)漏洞或安全漏洞。”
他說(shuō),為了真正有效,企業(yè)需要針對(duì)其特定風(fēng)險(xiǎn)和可能的威脅源制定安全計(jì)劃。例如,一家公用事業(yè)公司比一家小型零售商更有可能成為黑客和民族主義行為者的攻擊目標(biāo),盡管這些公司都容易受到攻擊。了解這些要點(diǎn)的首席信息安全官可以根據(jù)企業(yè)特殊要求定制安全策略。他指出,專注于完善網(wǎng)絡(luò)安全的基礎(chǔ)可以讓安全團(tuán)隊(duì)即使在預(yù)算有限的情況下也能提供最大的價(jià)值。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)