成功破壞首席信息安全官安全計劃成功的8個陷阱
事實表明,一些規模最大的數據泄露事件通常源于小錯誤。
在今年5月發生的針對Colonial管道進行的網絡攻擊事件中,黑客使用該公司泄露的密碼通過虛擬專用網絡入侵Colonial公司的網絡;Equifax公司在2017年遭遇網絡攻擊的切入點是一個尚未修補的廣為人知的漏洞;而推特的比特幣騙局始于對推特公司員工的魚叉式網絡釣魚攻擊。
雖然并沒有完美的安全計劃,但此類事件表明網絡安全團隊不能忽視任何事情。
網絡安全領導者表示,企業需要警惕8個容易忽視的陷阱,這些陷阱可能會破壞一些企業原本成功的安全計劃:
1.關注技術風險而不是業務風險
聯合國項目事務署首席信息安全官、國際信息系統審計與控制協會(ISACA)的董事會成員Niel Harper表示,網絡安全已成為企業董事會成員關注的話題,但首席信息安全官以及其他高管往往繼續將安全視為一種技術風險而不是業務風險。
Harper表示,當企業領導者狹隘地看待網絡安全時將會帶來負面影響。
他解釋道,“當他們將信息安全視為技術風險而不是業務風險時,就不會看到這樣的風險會嵌入業務的各個方面。因此,首席信息安全官通常不會向企業董事會成員報告這種風險,而是向下通知相關負責人員。”
Harper說,已經看到一些首席信息安全官通過與利益相關者建立良好關系來扭轉這種局面。他們加強溝通以了解風險和目標,然后向董事會成員展示其安全計劃如何解決這兩方面的問題。
2.過分強調合規性
通常情況下,企業必須遵循行業、監管和法律標準才能更好開展業務。其中著名的法規包括支付卡行業數據安全標準(PCI DSS),適用于處理信用卡的企業;美國健康保險流通與責任法案(HIPAA),適用于處理醫療記錄的任何人;以及歐盟的通用數據保護條例(GDPR)。此外,還有專門針對安全性的標準和框架,例如ISO/IEC27001標準。
Harper指出,首席信息安全官不能忽視他們必須滿足的合規性標準,但他們和安全團隊成員都不應該認為只要滿足法規就證明其行為是安全可靠的。
他補充道:“合規性為企業帶來了一種虛假的安全感。事實上,雖然許多企業遵守了這些法規,但違規行為仍在增加。”
Harper表示,企業不能忽視合規標準的重要性,首席信息安全官必須始終知道,并讓其他高管了解這些要求不是動態的,因此可能無法解決新出現的網絡威脅,也無法根據具體情況(即人員配備、技術堆棧、風險)準確衡量企業的安全性如何隨著時間的推移而改變。
他說:“這樣做并不能真正了解企業面臨的風險和問題。”
3.在安全方面的動作不夠快
很多企業正在通過遷移到云平臺、更敏捷的軟件開發,以及對客戶需求的快速響應來加速實施數字化轉型。一些安全顧問指出,并非所有首席信息安全官都能跟上安全發展步伐,這導致了企業安全狀況的整體差距。
一些企業也表達了類似的擔憂。根據GitLab公司于2021年5月發布的一份最新全球DevSecOps調查報告,在針對4300名的開發人員的調查中,約84%的受訪者表示,他們發布代碼的速度比以往任何時候都快,但近一半(42%)的受訪者表示,安全測試在發布過程中則太晚,而幾乎相同比例的受訪者表示,很難識別和解決安全漏洞。此外,37%的受訪者表示跟蹤缺陷修復的狀態是一項挑戰,33%的受訪者認為修復優先級難以確定。
UST公司首席信息安全官Tony Velleca說,“安全方面需要更加敏捷,首席信息安全官需要從根本上以不同的方式思考他們如何處理網絡安全問題。”
許多首席信息安全官似乎都明白了這一點。GitLab公司在調查中發現,70%的開發團隊在開發早期就考慮了安全性。這比前一年略有上升,當時65%的開發團隊表示他們在開發的早期就嵌入了安全性。
4.總是把注意力集中在緊急的事情上
德勤公司首席信息安全官兼網絡風險服務戰略、防御與響應負責人Andrew Morrison表示,安全計劃面臨的最大威脅之一是被安全團隊被緊急事項所困擾。
他說,首席信息安全官和他們的團隊可能會忙于處理面臨的最緊迫的需求——即使這些是低級問題,以至于他們沒有時間和精力解決戰略優先事項;他們每天都在盡力解決那些突然出現的小問題,而不是加強企業更關鍵元素的安全性。
Morrison補充道,“對于他們來說,安全性不再實施計劃,只是對正在發生的安全事件的一種戰術反應。因為緊迫的事情取代了重要的事情。”
Morrison指出,盡管將安全團隊從這樣的場景中解救出來很有挑戰性,但首席信息安全官可以通過識別最大的風險并專注于應對這些風險,從而使安全工作與企業優先級保持一致。這反過來將使他們和安全團隊在處理出現的問題時變得不那么被動,更具戰略性。Morrison說:“首席信息安全官致力于管理安全事件,而不僅僅是對事件做出反應。”
5.過分關注工具和技術,而不是利益相關者及其需求
同樣,調研機構Forrester公司的首席分析師Jinan Budge表示,未能優先考慮利益相關者的參與可能會阻礙安全計劃的實施。
她解釋道,“沒有這些計劃,首席信息安全官不知道優先考慮什么或如何獲得支持。沒有優先考慮利益相關者參與的首席信息安全官也更有可能面臨其他高管的抵制,甚至他們的項目資金可能被削減。首席信息安全官因此需要審視他們的戰略。”
她表示,除非他們與利益相關者密切合作,共同創建和設計業務戰略和網絡安全戰略,否則他們不會全面了解企業的業務風險。
6.在安全部門內缺乏安全意識
行業專家表示,只是建立一支強大的安全團隊,但未能在企業中營造具有安全意識的文化,也可能影響安全性。
統計數據證明了這一點。根據Verizon公司在2021年發布的一份數據泄露調查報告,2020年85%的數據泄露事件與人為因素有關。
正如云計算技術開發商Accurics公司的首席信息安全官兼研究主管Om Moolchandani所說:“點擊錯誤的鏈接可能會破壞首席信息安全官發布的議程。”
首席信息安全官必須制定有效的安全意識和培訓計劃,旨在幫助企業員工了解他們在安全方面可以發揮作用。
Morrison說。“安全文化很重要,因為它是首席信息安全官及其安全團隊的力量倍增器。如今,幾乎每一次網絡攻擊都是通過破壞憑據或違反個人信任來實現的,例如社交工程、網絡釣魚、獲取密碼。因此,有效的安全措施必須包括讓每個人都意識到這些風險;包括讓安全成為每個人的工作的一部分。”
7.忽視自己的安全人員
經驗豐富的安全領導者表示,忽視團隊成員和安全部門文化的首席信息安全官很快就會發現安全計劃受到影響。
Budge說,“人們通常認為運作不良的團隊會影響成員的發展,它也會影響網絡安全態勢和風險。”Budge的研究重點是如何使首席信息安全官獲得成功,制定變革性的網絡安全戰略,并培養安全意識、行為和文化。
她補充說:“如果安全團隊不堪重負,沒有采用創新技術,沒有實現自動化,也沒有考慮更大的圖景或戰略。這些因素都會導致安全團隊難以發揮關鍵作用。”
對現狀不滿意的員工更有可能離職。這可能會使首席信息安全官面臨人員短缺的情況,這也會對團隊產生負面影響。她說,“員工離職將進一步增加安全團隊的負面印象,而員工之間可能難以更好溝通和交流。”
Budge說,如果首席信息安全官發現面臨這種情況,他們需要發揮領導技能來實施管理和工作場所戰略,例如實施團隊建設計劃或培訓計劃,這可以使他們的部門走上更好的發展道路。
8.迷戀新事物
首席信息安全官可能選擇越來越多的新興技術和流程,例如擴展檢測和響應(XDR)、行為分析、威脅追蹤和零信任模型。但是,如果席信息安全官不能完美地執行可靠安全計劃的更基本的元素,并且如果沒有根據企業的具體需求調整這些高級選項,那么就不會帶來真正的安全收益。
Moolchandani說,“我們最近在對漏洞進行分析時看到,網絡攻擊者利用了技術漏洞或安全漏洞。”
他說,為了真正有效,企業需要針對其特定風險和可能的威脅源制定安全計劃。例如,一家公用事業公司比一家小型零售商更有可能成為黑客和民族主義行為者的攻擊目標,盡管這些公司都容易受到攻擊。了解這些要點的首席信息安全官可以根據企業特殊要求定制安全策略。他指出,專注于完善網絡安全的基礎可以讓安全團隊即使在預算有限的情況下也能提供最大的價值。
