近年来,网络威胁的“溢出”、“下沉”和“降维打击”成为新趋势,无论是高级持续性威胁(APT)的“民主化”还是勒索软件即服务RaaS的产业化,或者高级网络安全工具/漏洞的长尾,对缺乏足够预算和实力的中小企业构成了更大的威胁。根据2019年ZogbyAnalytics报告,数据泄露可能导致25%的中小企业破产。在过去的几年中,我们看到针对中小企业的网络安全攻击迅速增加,包括BEC业务电子邮件攻击、端点威胁和勒索软件攻击成倍增加。与拥有大型网络安全团队的大型企业不同,中小型企业面临的挑战包括缺乏专用资源、设备管理不善、缺乏培训以及IT管理框架水平降低。尽管如此,中小企业的CISO们仍然可以通过组建一支精干高效的小型安全团队来攻坚克难,提升企业的安全能力。以下是行业网络安全专家给中小企业CISO的十项建议:1.重视管理沟通和自上而下的安全意识文化建设,制定并提出应对网络安全攻击的策略/计划。这应该每年进行一次,并在董事会会议上提出。避免技术性,专注于提供新威胁的统计数据、趋势和概述。讨论这些威胁带来的业务风险以及公司抵御此类攻击的能力。在计划中设定预算和期望,并阐明相关风险。另外,要从管理层到业务人员,推行“安全至上”的安全意识文化,让全体员工明白安全不是负担,而是竞争力。根据GoSecurity的调查,安全意识培训是最有效的安全产品/服务,也是投入产出比最高的安全投资项目,尤其值得中小企业关注。2、使用合规性(类保险)增加安全预算与网络安全预算问题相比,合规性预算“就是它的成本”。合规是硬性要求。对于安全预算紧缺的中小企业来说,利用合规预算提升安全性不是负担,而是捷径和机遇。网络安全专家蔡佩特表示,通过对等保护发现问题、解决问题,可以提高信息系统的安全防护能力。3.评估产品的端到端成本从初始部署到安装后分析、警报响应和维护,新安全解决方案的成本跨越多个领域。购买新的网络安全产品时,请确保您了解实际产品成本和范围,包括升级频率和要求以外的相关投资、仪表板/SIEM监控警报、误报率等。向供应商索取试用期,以便更好地理解和评估这些参数。4.选择高度集成的安全平台纵深防御意味着安全可以有很多层,每一层都增加了整体IT的复杂性。中小型企业应尽量寻找在设计上集成多种技术的单一产品。5.最知名最贵的不一定是最好的多参考测评网站、自媒体和同事或同行聊天,学习他们解决方案实施的经验和教训。了解相关解决方案在第三方平台的安全有效性和评价排名。6.避免被安全警报牵着鼻子走所谓的安全团队大部分时间都花在警报上。由于较小的团队没有资源来跟踪每个警报,因此设置策略来定义何时需要处理特定警报。确保跟踪已自动修复的警报,因为最初的威胁很可能是更大规模网络攻击的序幕。7.考虑不中断操作的安全解决方案员工总是会破坏会减慢操作速度的安全策略。与其为公司中的所有实体创建统一的安全策略,不如为每个角色面临的不同挑战选择多个策略。8.最大限度地实现自动化在安全运营中存在多项人工任务的情况下,自动化可以大大减少时间投入。中小型企业的安全团队应该利用敏捷性并利用新的自动化技术的力量来避免乏味或重复的工作。9.不要只关注产品在选择安全产品或解决方案供应商时,不要只关注产品本身,避免那些缺乏优质客户支持和服务的产品或服务。在询问新的安全产品时,一定要了解供应商能够提供多少产品培训,是否有初始安装成本,是否有专门的客户经理,客户服务有多积极,服务水平协议是什么对于工单?是否提供事件?服务(MDR)等。10、使用SaaS云安全产品降低成本、开销和资源SaaS安全解决方案可以减少安全产品部署、管理要求以及维护资源和成本。鉴于其强大的处理能力,许多安全SaaS产品对于基于云的架构也更有效。检查您自己的安全堆栈并进行研究,以确定哪些解决方案可以用基于SaaS的解决方案替换,而不会牺牲安全性并从云服务集在管理、处理和操作方面的成本优势中获益。总结通过花时间做一些额外的研究,并选择正确的工具和支持服务,SMB网络安全团队可以实现(大型)企业级安全。尤其是医疗、零售、教育、金融、保险等行业的小型安全团队CISO,可以充分发挥团队/技术栈的敏捷优势,利用第三方平台、云服务、咨询服务快速提高安全投资的有效性。效能和企业安全能力。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
