網絡攻擊預防具有成本效益,那么為什么企業不投資進行保護?
諸如勒索軟件、商業電子郵件詐騙和數據泄露等網絡攻擊是當今企業面臨的一些關鍵問題,盡管發生了許多令人關注的網絡安全事件,但許多企業并沒有提供更多的預算加強網絡安全以避免成為下一個受害者。
在有關網絡安全的一次訪談中,美國五角大樓前首席戰略官、Attackiq公司網絡安全戰略和政策副總裁Jonathan Reiber指出,企業比以往任何時候都需要保護自己免受網絡威脅參與者的侵害。他為首席信息安全官提供了一些見解,從如何與董事會成員進行對話到適當的預算分配。
隨著地緣政治緊張局勢繼續加劇,你會向首席信息安全官提供哪些切實可行的建議,以加強企業對出于政治動機的網絡威脅行為者的防御?
Reiber:隨著地緣政治緊張局勢繼續加劇,對出于政治動機的網絡威脅行為者進行準備是一個必要的過程,可以預防或更好地阻止這種情況的發生。
與人們看到的日常沖突相比,網絡空間中發生的沖突更加微妙和普遍。網絡攻擊者不斷地進行攻擊,傳播虛假信息,竊取知識產權,勒索受害者。毫無疑問,這對于現代首席信息安全官來說是一個重大的挑戰。
但是,首席信息安全官非常了解網絡威脅行為者將要采取的策略,技術和程序。MITER團隊的攻擊框架列表中列出了12個主要有策略、技術和程序(TTP)的網絡攻擊行為。為什么這種情況還在發生?在數字威脅場景中,需要假設存在漏洞,因為這不是是否存在漏洞的問題,而是網絡攻擊者何時會攻擊的問題。僅僅擁有這個框架是不夠的,企業需要不斷測試和驗證這些控件,以大規模部署針對其安全控制的最佳評估和對手仿真,從而提高可見性。
這可以使首席信息安全官不斷查看性能數據,并幫助他們跟蹤其安全計劃對威脅格局的有效性。
首席信息安全官如何有效地向企業董事會解釋數據泄露的損失成本?哪種類型的信息讓非技術人員明白這一點?
Reiber:根據研究,數據違規事件造成的損失在3.86萬美元至392萬美元之間,在醫療保健和金融/銀行等受監管行業損失可能會更高,并且造成更可怕的后果。
數據違規的成本取決于事件本身。例如,當消費者的數據處于危險之中時,業務損失是最重要的因素,占數據泄露總成本的將近40%。它包括許多因素,例如客戶流失、收入損失和獲得新業務以減輕聲譽損害的費用。
得到敵對國家資助的數據違規事件平均成本超過440萬美元,這通常是首席信息安全官最難應對和補救的數據違規事件。
例如企業檢測和控制事件所需的時間長度等其他因素,可能對整體損害不利。其答案并不明確,但在數據違規事件發生之前實施的安全措施可以緩解嚴重且成本高昂的情況。首席信息安全官需要意識到當前的威脅形勢,在后疫情時代,遠程工作為新的漏洞打開了大門,當今具有前瞻性思維的首席信息安全官需要采取預防性網絡安全措施來管理企業面臨的長期風險。
企業可能為網絡方面的硬件、軟件和人員投資達到數百萬美元,但仍然受到網絡攻擊。向負責預算的主管解釋安全投資回報率(ROI)的秘訣是什么?
Reiber:為了衡量成功的投資,首先需要量化要保護的成本。在簡化的模型中,第一步是衡量數據保護的給定好處,這始于資產評估。這些數據對企業有多重要?負責預算的主管需要承擔這些數據不受保護的風險。如果不采取必要的措施來通過投資預防性網絡安全工具來降低風險,那么當出現漏洞時,成本會有多高?
驗證企業的控制權而不是采購和使用更多工具更具成本效益。通過采用專門的框架來抵御網絡威脅,例如可以使用漏洞和攻擊模擬(BAS)這樣的自動化平臺進行威脅信息的防御,首席信息安全官可以不斷測試并驗證其系統。與消防演習類似,漏洞和攻擊模擬(BAS)可以找到哪些控件失敗,使企業能夠彌補網絡安全防御措施中的差距,從而在網絡攻擊發生之前做好準備。
由于任何人都可能遭遇網絡攻擊,因此首席信息安全官想知道他們是否應該將更多的預算分配給網絡安全保險,而不是網絡安全技術。你認為他們做出了正確的選擇嗎?
Reiber:過度依賴網絡保險而沒有適當的投資可能導致額外成本,使企業更容易暴露在風險和漏洞中。雖然保險公司可以抵消部分成本,但在安全事件發生后,他們通常無法修復企業的聲譽損失。同樣,如果企業在研發方面上花費數百萬美元而知識產權卻被竊取,其獲得的保險費用往往難以彌補投資成本。
首席信息安全官應對網張攻擊的最佳方法是采用主動的安全策略,并與網絡保險保持平衡,采用網絡安全工具,例如漏洞和攻擊模擬(BAS)系統。有效的安全策略不僅可以保護企業數據安全,并在網絡威脅之前確定缺陷和漏洞,甚至獲得網絡保險,因此建立這些系統對于降低網絡保險的成本至關重要。
擁有正確的網絡保險至關重要,首席信息安全官需要密切關注保險合同的起草方式。缺乏對細節的關注可能會導致企業沒有正確的覆蓋范圍,尤其是鑒于當前威脅形勢不斷變化的性質,首席信息安全官需要在購買網絡安全保險之前制定具體的網絡安全措施。
