COVID-19大流行导致全球经济衰退、裁员和预算紧缩,但网络攻击和数字风险也创下历史新高。COVID-19疫情期间,勒索病毒、重大数据泄露和隐私事件频发,微盟删库、万豪二次泄露、Zoom安全事件、小米隐私、越南APT组织入华……过去不到一周的时间,我们已经被刷屏事件抓获:B站500万粉丝UP主NAS数据被勒索软件锁定、成人网站CAM泄露108亿条数据(7TB)、特斯拉二手车数据泄露、苹果iPhone暴露严重漏洞、全球最大域名注册Godaddy数据泄露、欧洲多家医疗机构、台湾两大炼油厂遭勒索病毒攻击、中信银行“小国门”……甚至是疫情期间的“受益股”,比如主流游戏平台Valve(游戏源代码泄露),Switch(16万用户数据泄露)也中招了。随着疫情期间安全形势的不断升级,全球越来越多的商业领袖将网络安全视为重中之重,并将其视为需要加强的战略风险。但研究机构对高管和董事会成员的调查显示,企业网络安全风险管理水平仍不尽如人意。根据Marsh和微软的《2019年全球网络风险感知调查》,79%的受访者将网络风险列为企业最关心的5大问题之一,22%的受访者表示网络风险是他们最关心的问题。然而,只有11%的受访者对其组织的安全能力表示高度信任。与此同时,在美国公司董事协会进行的2019-20年公共公司治理调查中,66%的受访者表示,他们的公司在去年的董事会议程中至少有一次解决了网络风险问题。尽管董事会有顾虑,但61%的受访者表示,他们的组织将优先考虑业务运营和计划,而不是网络安全。安全高管表示,他们对调查结果并不感到意外,因为安全风险管理还不成熟,许多高管一有风吹草动就暴露了安全风险管理的弱点。以下是企业管理层和CISO常犯的五个风险管理错误:安全与业务之间缺乏一致性根据CISO和执行顾问的说法,安全运营与业务战略之间缺乏一致性仍然是最常见的风险管理错误之一。“大多数CISO不会衡量企业真正关心的是什么,”埃森哲安全实践董事总经理兼北美负责人RyanLaSalle说。他们衡量的是技术风险,而不是业务影响。他们仍然痴迷于工具和“计算错误”,但这不是衡量企业网络风险的方法。CISO需要在企业关心的事情上承担风险。LaSalle说,安全和业务部门也未能调整他们的风险定义并确定他们认为可接受的风险级别,这进一步加剧了安全和业务部门之间的脱节,并使有效的风险管理更加困难。他解释说,在许多情况下,业务和安全对风险及其影响有不同的看法,安全有时无法为业务区分固有风险和实施控制和缓解措施后留下的残余风险。Ryan建议CISO阐明与特定业务目标相关的风险,如何减轻这些风险,可以减轻多少以及成本是多少,以便业务和安全对风险有相同的理解,并且组织正在采取行动。他补充说:换句话说,CISO必须解释为什么这种风险对企业很重要。安全可见性低许多高管在管理一些(但不是所有)组织的风险时采用“视而不见”的方式,因为他们对企业安全风险没有完全的了解。毕马威网络安全服务全球联席主管托尼·布福曼特(TonyBuffomante)表示:“认为企业拥有完整情况的普遍看法显然是一种误解。”事实上,许多CISO并没有全貌。没有IT资产清单,也没有员工和业务部门使用的所有第三方供应商和云应用程序的完整列表。“因此,许多公司只对不健全或不准确的库存执行风险评估程序,”他说。业内很多人都支持这种观点:CISO通常对其企业环境没有完整的了解。其背后的原因各不相同。有时,被收购公司并没有完全融入母公司。有时,部门会经营自己的科技业务,并在这些孤岛周围筑起围墙。不管是什么原因,这种情况都会阻止CISO全面评估整个组织面临的风险。与此同时,许多安全运营团队对其所做工作的可见性有限,据Insight安全咨询实践高级经理MikeSprunger称,这是因为安全团队没有使用可以帮助他们量化和跟踪变化的指标风险。他说,中小型组织通常不跟踪风险指标,因为他们缺乏这样做的资金和专业知识,而大公司有时则不这样做,因为他们对此类工作的复杂性感到不知所措。许多安全顾问承认,要充分了解技术环境和安全操作需要付出很多努力。CISO必须依靠他们的执行技能来打破长期存在的IT孤岛,并且他们必须优先考虑监督要求以创建可以提供定量洞察力的指标计划。Sprunger补充说:安全从业者应该希望以可衡量、可重复和有意义的方式量化风险。太多的CISO会考虑所有可能的事情,但这无济于事。您必须关注组织中最有可能发生的情况,以更好地管理风险。框架优先考虑复杂性是企业网络安全面临的最大挑战,因此产生了很多框架来帮助企业尽快提升网络安全成熟度,从网络安全投资中获得最大收益。然而,企业安全主管应该避免迷信“框架创造正义”。AttackIQ客户成功副总裁ChristopherKennedy认为,过度关注使用监管和合规框架来管理风险存在风险。他说,一些安全领导者错误地过分强调满足框架并将合规性视为最终目标,而不是将资源集中在了解其组织的独特需求以及使安全计划与业务战略保持一致上。并弥补安全计划中的漏洞。Kennedy说:满足框架要求所需的工作量将资源从CISO的原始问题上转移开。因此,作为一名CISO,如果我的大部分员工都依赖于这些框架,那么安全性就不会与业务密不可分。这意味着安全性可以被视为业务障碍,因为我关注这些框架需求而不是业务需求。肯尼迪并没有完全否定框架的价值。不过,他表示,组织需要将框架的要求与公司战略、行业风险特征和风险承受能力联系起来。缺乏针对性如今,所有企业和组织都面临着不断增加的威胁、攻击媒介和漏洞。CISO可能会尝试解决所有这些威胁。然而,许多CISO和安全顾问认为,这种眉来眼去的方法是错误的。相反,他们需要更加专注。Coinbase的CISOPhilipMartin表示:很多人一开始并不知道自己的弱点和容易受到攻击的人,因此他们往往会不分青红皂白地针对他们。马丁说,缺乏重点会稀释本已稀缺的人力资源并增加成本,而安全状况和风险管理能力却没有相应的提高。为了最好地管理风险,他和其他安全领导者说组织应该更有针对性。马丁说:我们需要考虑(风险的)可能性和影响。我们会定期查看最新和最“引人注目”的攻击。但是,您需要制定有针对性的缓解计划,并将重点放在最有可能给您带来麻烦的攻击上。我们的预算和人员有限,必须专注于最有可能让我们公司陷入困境的问题。例如,汽车零制造工厂需要优先保护其知识产权和基础设施,而不是银行木马。不考虑时间。虽然安全或合规性审计可以让管理层深入了解安全操作的状态,但专家警告说,审计或审计结果仅反映审计时的安全性能,并不能保证未来的有效性。特别是考虑到新威胁的发展速度,以及安全策略和风险评估需要多快地改变以应对这些威胁。Buffomante指出:我们看到许多组织执行审计流程,但他们没有利用实时威胁情报来帮助他们澄清与组织相关的当前风险。他们需要对其高度优先领域进行更持续的评估。组织开始通过实施自动化、机器学习和人工智能来生成更多实时安全评估来满足这一需求。然后,组织需要创建流程以通过实时评估更快地调整和管理风险。但安全领导者强调,组织还必须认识到,解决新发现风险的举措通常需要更多时间。“分析的速度目前超过了决策和行动的速度,”LaSalle说。安全团队必须将其纳入规划和进度报告中。如果安全部门要求IT部门和业务部门共同应对新的威胁,将风险降低到可接受的水平,那么安全部门就必须准备好接受各种不可控的延误。你不希望安全团队的催促引起业务部门的抵触。安全部门的指导、缓解或加固措施需要为业务部门提供一个循序渐进的计划,确保需求在业务部门的能力范围内。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
