事实证明,一些最大的数据泄露往往源于小错误。在5月份针对Colonial管道的网络攻击中,黑客使用该公司泄露的密码通过虚拟专用网络闯入Colonial的网络;Equifax2017年网络攻击的切入点是众所周知的,Twitter的比特币骗局始于对Twitter员工的鱼叉式网络钓鱼攻击。虽然没有任何安全计划是完美的,但像这样的事件表明网络安全团队可以忽略任何事情。网络安全领导者表示,企业需要警惕八个容易被忽视的陷阱,这些陷阱可能会破坏一些原本成功的安全计划:1.关注技术风险,而不是业务风险网络安全已成为公司董事会成员关注的话题,但首席信息官审计与控制协会(ISACA)董事会成员尼尔·哈珀(NielHarper)表示,安全官员和其他高管通常继续将安全视为技术风险,而不是业务风险。哈珀说,当商业领袖对网络安全持狭隘看法时,就会有不利之处。他解释说:“当他们将信息安全视为技术风险而不是业务风险时,他们并没有看到这种风险嵌入到业务的各个方面。因此,CISO通常不会将此报告给公司董事会成员。而是向下通知相关负责人。”Harper说,他看到一些CISO通过与利益相关者建立良好关系来扭转这种局面。他们加强沟通以了解风险和目标,然后向董事会成员展示他们的安全计划如何解决这两个问题。2.过分强调合规通常,公司必须遵守行业、监管和法律标准,才能更好地开展业务。值得注意的法规包括适用于处理信用卡的企业的支付卡行业数据安全标准(PCIDSS);适用于处理医疗记录的任何人的美国健康保险流通与责任法案(HIPAA);以及欧盟的通用数据保护条例(GDPR)。此外,还有专门针对安全的标准和框架,例如ISO/IEC27001标准。Harper指出,CISO不能忽视他们必须满足的合规性标准,但他们和安全团队的成员都不应该认为满足法规就证明他们的行为是安全的。他补充说:“合规会给企业带来一种虚假的安全感。事实上,虽然许多企业都遵守这些规定,但违规行为仍在继续增加。Harper说,企业不能忽视合规标准的重要性,CISO必须始终了解并让其他高管了解这些要求不是动态的,因此可能无法解决新出现的网络威胁,也不能根据具体情况进行处理(即人员配置、技术堆栈、风险),以准确衡量组织的安全性随时间发生的变化。“这样做并不能真正让你了解组织面临的风险和问题,”他说。3.在安全方面行动不够快许多公司正在通过迁移到云平台、更敏捷的软件开发以及对客户需求的快速响应来加速数字化转型。有安全顾问指出,并不是所有的CISO都能跟上安全发展的步伐,这就导致了企业安全状况的整体差距。一些企业也表达了类似的担忧。根据GitLab于2021年5月发布的最新全球DevSecOps调查报告,在4,300名开发人员中,约84%的调查受访者表示他们发布代码的速度比以往任何时候都快,但近一半(42%)表示安全测试来得太晚了在发布过程中,几乎相同百分比的受访者表示很难识别和解决安全漏洞。此外,37%的人表示跟踪错误修复的状态是一项挑战,33%的人发现很难确定修复的优先级。UST“安全需要更加灵活,CISO需要从根本上改变他们处理网络安全的方式,”该公司首席信息安全官TonyVelleca说。许多CISO似乎都明白这一点。GitLabInc.调查发现,70%的开发团队在开发早期就考虑了安全性。这比去年略有上升,当时65%的开发团队表示他们在开发早期就嵌入了安全性。4.始终关注紧急事项威胁之一是被处理紧急事务的安全团队淹没。他说,CISO和他们的团队可能会忙于处理他们面临的最紧迫的需求——即使是低级别的问题,他们也没有时间和精力来解决它们。战略重点;他们试图解决每天出现的小问题,而不是加强企业更关键元素的安全性。莫里森补充说,“对他们来说,安全不再是一个实施计划,它只是对正在发生的事情的反映。对安全事件的战术反应。因为紧急取代了重要。Morrison指出,虽然让安全团队脱离此类场景可能具有挑战性,但CISO可以通过识别最大风险并专注于解决这些风险,使安全工作与公司优先事项保持一致。这反过来将使他们和安全团队在处理出现的问题时变得不那么被动,更具战略性。“首席信息安全官致力于管理安全事件,而不仅仅是对它们做出反应,”莫里森说。5.过于关注工具和技术,而不是利益相关者及其需求同样,未能优先考虑利益相关者的参与可能会阻碍安全计划,研究公司Forrester的首席分析师JinanBudge说。她解释说:“如果没有这些计划,CISO将不知道优先考虑什么或如何获得支持。不优先考虑利益相关者参与的CISO也更有可能面临其他高管的抵制,他们的项目资金甚至可能会被削减。因此,CISO需要审查他们的策略。她说,除非他们与利益相关者密切合作,共同制定和设计业务战略和网络安全战略,否则他们将无法全面了解企业的??业务风险。6.安全部门缺乏安全意识,业内专家表示,仅仅建立了一支强大的安全团队,但未能在企业中营造安全意识文化,也会危及安全。统计数据证实了这一点。根据Verizon在2021年发布的数据泄露调查报告,2020年85%的数据泄露与人为因素有关。正如云计算技术开发商Accurics的首席信息安全官兼研究总监OmMoolchandani所说:“点击错误的链接可能会破坏首席信息安全官发布的议程。”CISO必须具备有效的安全意识和培训计划旨在帮助员工了解他们在安全方面可以发挥作用,”Morrison说。力量倍增器。如今,几乎每一次网络攻击都是通过破坏凭据或破坏个人信任来实现的,例如社会工程、网络钓鱼、密码收集。因此,有效的安全措施必须包括让每个人都意识到这些风险;包括让安全成为每个人工作的一部分7.忽视他们自己的安全人员经验丰富的安全领导者说,忽视团队成员和安全部门文化的CISO很快就会看到安全计划受到影响。“人们通常认为,一个运作不佳的团队会影响其成员的发展,也会影响网络安全态势和风险,”Budge说,他的研究重点是CISO如何取得成功、制定变革性的网络安全战略,以及培养安全意识、行为和文化.她补充说:“如果安全团队不堪重负,那是因为它没有采用创新技术,没有实现自动化,也没有考虑大局或战略。可以离开。这可能会使CISO面临人员短缺,这也会对团队产生负面影响。“员工流失将进一步增加对安全团队的负面看法,员工可能难以更好地沟通和沟通,”她说。Budge表示,如果CISO发现自己面临这种情况,他们需要使用领导技能来实施管理。和工作场所策略,例如实施团队建设计划或培训计划,可以使他们的部门走上更好的发展道路。8.痴迷于新事物CISO可能会选择越来越多的新兴技术和流程,例如扩展检测和响应(XDR)、行为分析、威胁搜寻和零信任模型。但是,如果首席信息安全官不能完美地执行可靠安全计划的更基本要素,并且如果这些高级选项没有针对企业的特定需求量身定制,那么就不会带来真正的安全收益。“我们最近在漏洞分析中看到的是,网络攻击者利用了技术缺陷或安全缺陷,”Moolchandani说。他说,要真正有效,企业需要制定适合其特定风险和可能威胁源的安全计划。例如,与小型零售商相比,公用事业公司更容易成为黑客和民族主义行为者的目标,尽管这些公司都容易受到攻击。了解这些要点的首席信息安全官,可以根据企业的具体要求,量身定制安全策略。他指出,专注于完善网络安全的基础知识可以让安全团队提供最大的价值,即使预算有限。
