根據(jù)最新研究,用于支持技術(shù)升級、安全培訓(xùn)和業(yè)務(wù)舉措的安全預(yù)算不足,會對企業(yè)造成不成比例的影響,使企業(yè)更易受到攻擊。
由Splunk委托的一項(xiàng)針對歐洲、美國、澳大利亞和日本600名CISO的調(diào)查發(fā)現(xiàn),董事會和安全領(lǐng)導(dǎo)者之間存在語言和優(yōu)先級上的差距。CISO們面臨著控制支出和外包職能的壓力,同時(shí)還需要證明安全舉措的業(yè)務(wù)價(jià)值。
這家思科旗下的安全可視化公司進(jìn)行的調(diào)查發(fā)現(xiàn),在某些領(lǐng)域削減開支——如員工培訓(xùn)和技術(shù)升級延期——比其他領(lǐng)域更容易導(dǎo)致重大安全事件。
這些來自同行調(diào)查的見解可以幫助CISO們在反對董事會提出的預(yù)算削減時(shí),構(gòu)建更有說服力的風(fēng)險(xiǎn)導(dǎo)向型論點(diǎn)——或者在最壞的情況下,當(dāng)面臨預(yù)算限制時(shí),為自己的投資決策提供依據(jù)。
技術(shù)升級延期
隨著網(wǎng)絡(luò)威脅以前所未有的速度演變,推遲必要的技術(shù)升級會對企業(yè)造成嚴(yán)重影響。最新的技術(shù)更新旨在增強(qiáng)企業(yè)的安全功能,并直接應(yīng)對最近發(fā)現(xiàn)的挑戰(zhàn)。
“舊系統(tǒng)缺乏允許更先進(jìn)功能的新特性和功能,比如遷移到云端,”Splunk發(fā)言人Kirsty Paine告訴記者,“沒有更新的安全功能,將信息遷移到云端可能會留下漏洞。”
推遲技術(shù)升級還會使企業(yè)依賴過時(shí)的傳統(tǒng)系統(tǒng),從而增加安全債務(wù)。
CISO們報(bào)告稱,推遲升級是最常見的成本削減措施,結(jié)果有62%的時(shí)間會導(dǎo)致數(shù)據(jù)泄露。
安全培訓(xùn)縮減
當(dāng)預(yù)算被削減時(shí),許多企業(yè)會感受到縮減或完全取消培訓(xùn)項(xiàng)目的壓力,導(dǎo)致員工無法識別潛在威脅。
這通常成為一個(gè)問題,因?yàn)槿藶殄e(cuò)誤——如軟件或基礎(chǔ)架構(gòu)配置錯(cuò)誤——經(jīng)常導(dǎo)致停機(jī)時(shí)間和業(yè)務(wù)收入損失。此外,削減安全意識培訓(xùn)會導(dǎo)致整個(gè)企業(yè)形成松散的安全文化。
“安全培訓(xùn)對于減少人為錯(cuò)誤、讓員工識別釣魚攻擊至關(guān)重要,因此通過取消培訓(xùn),企業(yè)更容易遭受攻擊,”Splunk的Paine說。
超過三分之一(36%)的CISO表示由于預(yù)算限制而削減了培訓(xùn),其中45%因此遭遇了成功攻擊。
不支持業(yè)務(wù)舉措
安全團(tuán)隊(duì)往往沒有獲得足夠的人員、時(shí)間或其他資源來支持公司的發(fā)展或增長,導(dǎo)致安全能力與它們本應(yīng)保護(hù)的業(yè)務(wù)舉措之間存在不匹配。
這通常發(fā)生在為了迅速推進(jìn)而采取的數(shù)字化舉措中,例如最近爭相采用AI,這導(dǎo)致許多企業(yè)跳過傳統(tǒng)的安全加固措施,轉(zhuǎn)而追求快速勝利和廣泛實(shí)驗(yàn)。
“業(yè)務(wù)舉措可能是新產(chǎn)品或功能,或是不同的工作方式(如居家辦公),”Splunk的Paine解釋說,“無論舉措是什么,如果沒有安全支持,這些舉措通常是在沒有考慮安全的情況下設(shè)計(jì)的。”
Paine補(bǔ)充道:“眾所周知,‘事后添加安全’的方法比‘設(shè)計(jì)時(shí)考慮安全’的方法更糟糕。”
根據(jù)調(diào)查,只有少數(shù)CISO(18%)獲得的資金支持不足以支持業(yè)務(wù)舉措,但其中近三分之二(64%)因此遭遇了數(shù)據(jù)泄露。
溝通脫節(jié)
Splunk的研究報(bào)告《CISO報(bào)告》揭示了CISO和董事會之間在安全資金方面的脫節(jié),41%的董事會認(rèn)為他們的安全預(yù)算足夠,而只有29%的CISO持相同看法。
“這種差異通常源于董事會將安全預(yù)算視為戰(zhàn)術(shù)問題,而沒有考慮其對業(yè)務(wù)的更廣泛影響,”Paine說,“為了改變這種觀點(diǎn),CISO們必須用業(yè)務(wù)成果來解釋他們工作的價(jià)值,比如他們正在保護(hù)的收入和品牌聲譽(yù)。”
董事會保護(hù)盈利能力,而CISO專注于保護(hù)數(shù)據(jù)和系統(tǒng)。為了彌合這一差距,董事會成員和CISO需要確定對各自利益相關(guān)者而言近乎同等重要的領(lǐng)域,Splunk建議。
“例如,CISO們不應(yīng)該專注于平均修復(fù)時(shí)間(MTTR),而應(yīng)該優(yōu)先考慮降低風(fēng)險(xiǎn),并向董事會傳達(dá)降低導(dǎo)致更高投資回報(bào)率的風(fēng)險(xiǎn)的重要性,這是他們更熟悉的術(shù)語,”Paine總結(jié)道。
了解如何說服董事會批準(zhǔn)安全資金是CISO們必須掌握的一項(xiàng)技能。同樣重要的是確保雙方對期望相互尊重,從而在董事會和CISO之間建立雙向溝通渠道。
證明安全支出的合理性
記者采訪的獨(dú)立專家同意報(bào)告得出的結(jié)論,即適當(dāng)?shù)馁Y金對于網(wǎng)絡(luò)安全至關(guān)重要。面臨縮減安全支出或培訓(xùn)壓力的首席安全官需要據(jù)理力爭,用業(yè)務(wù)(而非技術(shù))術(shù)語來證明安全支出承諾的合理性。
Trend Micro英國網(wǎng)絡(luò)安全總監(jiān)Jonathan Lee表示,企業(yè)仍然經(jīng)常將安全支出視為可以削減以追求利潤的成本,而不是支持增長的投資。
“企業(yè)對威脅的攻擊做出反應(yīng)是不可接受的,”Lee認(rèn)為,“只有大約三分之一的企業(yè)有具備網(wǎng)絡(luò)安全知識的董事會成員,是時(shí)候消除高層普遍存在的樂觀偏見,用顯著減少導(dǎo)致首次被攻擊的漏洞的安全措施來從戰(zhàn)略上支撐企業(yè)的目標(biāo)。”
漏洞眾包平臺Bugcrowd美洲區(qū)的CISO Trey Ford承認(rèn),嚴(yán)峻的經(jīng)濟(jì)形勢意味著預(yù)算緊張,但認(rèn)為削減安全支出來支持之前已同意的項(xiàng)目將是危險(xiǎn)的。
“預(yù)算削減影響安全規(guī)劃、戰(zhàn)略和運(yùn)營的各個(gè)方面——這些都是與風(fēng)險(xiǎn)委員會保持一致,在整個(gè)企業(yè)中精心策劃的復(fù)雜體系,”Ford告訴記者。
對于運(yùn)營安全團(tuán)隊(duì)來說,人員編制凍結(jié)不僅僅是令人沮喪,它會加速警報(bào)疲勞、值班輪換和倦怠。工具和項(xiàng)目的資金流失可能會加劇可見性差距——限制日志覆蓋范圍、監(jiān)控和警報(bào),或系統(tǒng)和應(yīng)用程序中漏洞的測試和跟蹤。
“失去資金的安全舉措很少屬于‘可有可無’的類別——它們幾乎總是與風(fēng)險(xiǎn)委員會優(yōu)先處理的風(fēng)險(xiǎn)項(xiàng)目和控制差距有關(guān),”Ford說,“正在處理的風(fēng)險(xiǎn)和被取消資金的項(xiàng)目將需要重新接受風(fēng)險(xiǎn)評估,并可能需要向董事會的風(fēng)險(xiǎn)委員會報(bào)告。”
就風(fēng)險(xiǎn)達(dá)成共識并溝通
應(yīng)用安全測試供應(yīng)商Immuniweb的CEO Ilia Kolochenko認(rèn)為,安全領(lǐng)導(dǎo)者需要制定連貫的網(wǎng)絡(luò)安全戰(zhàn)略。
“許多企業(yè)傾向于擁有來自不同供應(yīng)商的重疊且因此冗余的解決方案,同時(shí)分配很少或沒有時(shí)間來妥善處理安全警報(bào)和事件響應(yīng),”Kolochenko說。
“更糟糕的是,只有令人擔(dān)憂的一小部分企業(yè)擁有定義明確、長期導(dǎo)向和全面的網(wǎng)絡(luò)安全戰(zhàn)略,該戰(zhàn)略將涵蓋第三方風(fēng)險(xiǎn)管理、配置錯(cuò)誤、多云環(huán)境中身份和訪問管理(IAM)的漏洞、容器安全或新興的AI風(fēng)險(xiǎn)等關(guān)鍵領(lǐng)域,包括軟件工程師過度依賴AI機(jī)器人生成的合成代碼,而這些代碼經(jīng)常包含漏洞甚至后門程序,”Kolochenko說。
CISO和董事會需要協(xié)調(diào)他們的優(yōu)先級,并就一種溝通方式達(dá)成一致,通過這種方式可以不斷理解、闡述和緩解網(wǎng)絡(luò)風(fēng)險(xiǎn)。
“這將有助于確保決策和投資是在充分了解的基礎(chǔ)上做出的,”Lee說,“這應(yīng)該能夠使預(yù)算花在正確的領(lǐng)域,從而確保遵守法規(guī)要求,并使服務(wù)持續(xù)運(yùn)行。”
身份安全供應(yīng)商One Identity的現(xiàn)場戰(zhàn)略師Alan Radford認(rèn)為,培訓(xùn)、系統(tǒng)更新、災(zāi)難恢復(fù)規(guī)劃、事件響應(yīng)和合規(guī)性監(jiān)控等基礎(chǔ)要素對于保持強(qiáng)大的安全態(tài)勢至關(guān)重要。
“業(yè)務(wù)驅(qū)動型網(wǎng)絡(luò)安全并非購買最昂貴的工具,而是將技術(shù)、流程和人員結(jié)合起來,以有效降低風(fēng)險(xiǎn),”Radford告訴記者,“安全領(lǐng)導(dǎo)者必須向董事會傳達(dá),風(fēng)險(xiǎn)降低不僅僅關(guān)乎工具,還關(guān)乎運(yùn)營韌性。投資于人員、培訓(xùn)和運(yùn)營準(zhǔn)備工作的回報(bào)高于任何單項(xiàng)技術(shù)采購。”
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,旗下運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運(yùn)營19個(gè)IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號