新冠疫情导致全球经济衰退,企业裁员、预算紧缩接踵而至,但网络攻击和数字风险也创下历史新高。新冠疫情期间,勒索软件、重大数据泄露和隐私事件频发,微盟删库、万豪二次泄露、Zoom安全风波、小米隐私、越南APT组织入华…
过去不到一周时间,我们就被下面这些事件刷屏:B站500万粉丝UP主NAS数据被勒索软件锁死、成人网站CAM泄露108亿条数据(7TB)、特斯拉二手车数据泄露、苹果iPhone曝出严重漏洞、全球最大域名注册商Godaddy数据泄露、欧洲多家医疗机构和台湾两大炼油厂被勒索软件袭击、中信银行“笑果门”…甚至疫情期间的“受益股”,例如主流游戏平台Valve(游戏源代码泄露)、Switch(16万用户数据泄露)也纷纷中招。
随着疫情期间安全形势的不断升级,全球越来越多的企业领导者都将网络安全视为头等大事,将其视为亟待加强管理的战略风险。
然而,研究机构对高管和董事会成员的调查表明,企业的网络安全风险管理水平依然不尽如人意。
根据Marsh和微软的《2019年全球网络风险感知调查》发现,有79%的受访者将网络风险视为企业TOP5优先关注对象之一,22%的受访者表示网络风险这是他们最关注的问题。但是,只有11%的人对其组织的安全能力表示高度信任。
与此同时,美国公司董事协会在2019-2020年上市公司治理调查中,有66%的受访者表示,他们的公司在上一年的董事会议程中至少解决了一次网络风险问题。尽管有董事会的关注,但是仍有61%的受访者表示,他们的组织将把业务运营和计划的优先级放在网络安全之上。
安全主管表示,他们对这些调查结果并不感到惊讶,因为安全风险管理仍未成熟,稍有风吹草动,许多高管就纷纷暴露出安全风险管理的短板。以下,是企业管理层和CISO常犯的五个风险管理错误:
安全与业务缺乏一致性
多位CISO和高管顾问表示,安全运营与业务策略之间缺乏一致性仍然是风险管理中最常见的错误之一。
埃森哲安全部门董事总经理兼北美负责人Ryan LaSalle说:
他解释,在许多情况下,业务和安全对风险及其影响的看法有所不同,安全有时无法为业务区分固有风险与实施控制和缓解措施后留下的剩余风险之间的区别。
Ryan建议CISO阐明与特定业务目标相关的风险、如何降低风险、可以降低风险的程度以及以何种成本降低风险,以便业务和安全部门对风险有相同的了解,该组织正在采取行动。他补充说:
许多高管正在以“瞎子摸象”的方式管理部分(而非全部)组织的风险,因为他们对企业安全风险没有完全的了解。
毕马威(KPMG)网络安全服务全球联合负责人托尼·布丰曼特(Tony Buffomante)表示:“人们普遍认为企业对情况有完整的了解,这显然是一个误会。”事实上,很多CISO并没有完整的IT资产清单,也没有员工和业务部门使用的所有第三方供应商和云应用程序的完整列表。他说:“结果,许多公司仅对不健全或不准确的库存执行风险评估程序。”
不少业内人士支持该观点:CISO常常对他们的企业环境没有完整的了解。其背后的原因各不相同。有时,被收购的公司没有完全融入母公司。有时,各部门运行自己的技术业务并在这些孤岛周围筑起隔离墙。无论出于何种原因,这种情况都会使CISO无法全面评估整个组织面临的风险。
与此同时,许多安全运营团队对自己的工作的了解有限,Insight的安全咨询业务高级经理Mike Sprunger认为,这是因为安全团队没有使用可帮助他们量化和跟踪风险变化的指标。他说,中小型组织通常不跟踪风险指标,因为它们缺乏此类实践的资金和专业知识,而大型公司有时也不跟踪,因为它们对此类工作的复杂性感到不知所措。
不少安全顾问承认,全面了解技术环境和安全运营需要花费大量精力。CISO必须依靠他们的执行技能来打破长期存在的IT孤岛,而且他们必须优先考虑监督要求,以创建可以提供定量观测分析的指标计划。
Sprunger补充道:
复杂性是企业网络安全面临的的最大挑战,因此也产生了很多框架来帮助企业尽快提高网络安全成熟度并从网络安全投资中获得最大受益。但是,企业安全主管们不要迷信“框架即正义“。AttackIQ客户成功副总裁克里斯托弗·肯尼迪(Christopher Kennedy)认为,过于关注使用监管和合规性框架来管理风险是有风险的。
他说,一些安全领导者错误地过分强调了满足框架要求,并将遵守框架视为最终目标,而不是将资源集中在理解自己组织的独特需求上,使安全计划与业务战略保持一致。并缩小安全计划中的差距。
肯尼迪说:
缺乏针对性
如今所有企业和组织都面临不断增长的威胁、攻击矢量和漏洞。CISO可能会试图解决所有这些威胁。但是,很多CISO和安全顾问认为,这种眉毛胡子一把抓的方法是错误的。相反,他们需要更加专注。
Coinbase的CISO Philip Martin说:
为了最好地管理风险,他和其他安全负责人表示,组织应该更具针对性。
Martin说:
没有考虑时间因素
尽管安全或合规审核可以让管理层了解安全运营状况,但专家警告说,审核或审计结果仅反映审核时的安全表现,不能保证未来的有效性。尤其是考虑到新威胁的发展速度,以及安全策略和风险评估同样需要迅速变化以应对这些威胁。
Buffomante指出:
但是,安全领导者们强调,企业还必须认识到,解决新发现的风险的举措往往需要更多时间。
LaSalle说:“分析的速度目前超过了决策和采取行动的速度。”安全团队必须将其纳入计划和进度报告中。如果安全部门要求IT部门和业务部门协同应对新威胁,将风险降低到可接受的水平,那么安全部门就要做好准备,接受各种不可控的延迟。
您不希望安全团队的敦促使业务部门产生抵触情绪,安全部门的指南、缓解或者强化措施需要针对业务部门提供循序渐进的计划,确保其中的要求在业务部门力所能及的范围内。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文