勒索软件、企业电子邮件诈骗和数据泄露等网络攻击是当今企业面临的一些关键安全事件,但许多公司并没有提供更多预算来加强网络安全,以免成为下一个受害者。五角大楼前首席战略官兼Attakiq网络安全战略和政策副总裁JonathanReiber在接受网络安全采访时指出,企业比以往任何时候都更需要保护自己免受网络威胁参与者的侵害。他为CISO提供了一些见解,从如何发起与董事会成员的对话到适当的预算分配。随着地缘政治紧张局势继续加剧,您会给CISO哪些实用建议,以加强其组织对出于政治动机的网络威胁行为者的防御?Reiber:随着地缘政治紧张局势持续加剧,为具有政治动机的网络威胁行为者做好准备是防止或更好地防止这种情况发生的必要过程。发生在网络空间的冲突比人们看到的日常冲突更加微妙和普遍。网络攻击者不断发起攻击,散布虚假信息,窃取知识产权,勒索受害者。毫无疑问,这对现代CISO来说是一个重大挑战。然而,CISO非常了解网络威胁参与者将采用的策略、技术和程序。MITRE团队的攻击框架列表列出了12种网络攻击行为,主要包括战术、技术和程序(TTP)。为什么这仍然发生?在数字威胁场景中,需要假设存在漏洞,因为这不是是否存在漏洞的问题,而是网络攻击者何时进行攻击的问题。仅仅拥有这个框架是不够的,组织需要不断地测试和验证这些控制,以为其安全控制大规模部署最佳评估和对手模拟,以提高可见性。这使CISO能够持续查看性能数据,并帮助他们跟踪其安全计划针对威胁形势的有效性。CISO如何有效地向公司董事会解释数据泄露的成本?什么样的信息可以让非技术人员明白这一点?Reiber:根据研究,数据泄露造成的损失在38,600美元到392万美元之间。在医疗保健和金融/银行业等受监管的行业,损失可能更高,并带来可怕的后果。数据泄露的成本取决于事件本身。例如,当消费者数据面临风险时,业务损失是最重要的因素,占数据泄露总成本的近40%。它包括许多因素,例如客户流失、收入损失以及为减轻声誉损失而收购新业务的成本。恶意国家支持的数据泄露平均花费超过440万美元,而且通常是CISO最难响应和补救的数据泄露事件。其他因素,例如企业检测和控制事件所需的时间长度,可能会抵消整体损失。答案尚不清楚,但在数据泄露发生之前采取的安全措施可以缓解严重且代价高昂的情况。CISO需要了解当前的威胁形势。在大流行后的世界中,远程工作为新的漏洞打开了大门。今天具有前瞻性思维的CISO需要采取预防性网络安全措施来管理其业务面临的长期挑战。风险。企业可以在网络硬件、软件和人员方面投入数百万美元,但仍然容易受到网络攻击。向预算管理人员解释安全投资回报(ROI)的秘诀是什么?Reiber:为了衡量一项成功的投资,您首先需要量化保护成本。在简化模型中,第一步是衡量数据保护的给定收益,这从资产估值开始。这些数据对企业有多重要?负责预算的高管需要承担这些数据不受保护的风险。如果不采取必要的措施通过投资预防性网络安全工具来降低风险,那么当发生违规行为时将花费多少?验证企业的控制权比采购和使用更多工具更具成本效益。通过采用专用框架来抵御网络威胁,例如使用自动化平台(例如BulgeandAttackSimulation(BAS))的威胁情报防御,CISO可以持续测试和验证他们的系统。与消防演习类似,违规和攻击模拟(BAS)可以发现哪些控制失败,从而使组织能够弥补网络安全防御方面的差距,以便在网络攻击发生之前做好准备。由于任何人都可能遭受网络攻击,CISO想知道他们是否应该将更多预算分配给网络安全保险而不是网络安全技术。你认为他们做出了正确的选择吗?Reiber:在没有适当投资的情况下过度依赖网络保险可能会导致额外成本,并使企业更容易面临风险和漏洞。虽然保险公司可以抵消部分成本,但他们通常无法在安全事件发生后修复对企业声誉造成的损害。同样,如果一家公司在研发上花费了数百万美元,但其知识产权被盗,它收到的保险费往往无法覆盖投资成本。CISO应对网络攻击的最佳方式是采用主动安全策略,与网络保险相平衡,并采用漏洞和攻击模拟(BAS)系统等网络安全工具。有效的安全策略不仅可以保护企业数据,还可以在网络威胁之前识别缺陷和漏洞,甚至获得网络保险,因此建立这些系统对于降低网络保险成本至关重要。拥有正确的网络保险至关重要,CISO需要密切关注保险合同的起草方式。缺乏对细节的关注可能会导致组织无法获得正确的保险,特别是考虑到当前威胁形势不断变化的性质,CISO需要在购买网络安全保险之前制定具体的网络安全措施。
