我們知道公司面臨網(wǎng)絡(luò)安全風(fēng)險(xiǎn),實(shí)際上董事會(huì)也知道。他們清楚網(wǎng)絡(luò)安全是個(gè)商業(yè)問題,也知道自己應(yīng)該關(guān)注這一問題對(duì)業(yè)務(wù)意味著什么。但是,董事會(huì)往往對(duì)自己可以做點(diǎn)什么沒有一個(gè)具體的概念。
一個(gè)不錯(cuò)的建議就是,將某安全事件,如數(shù)據(jù)泄露與董事會(huì)熟悉事情聯(lián)系起來,然后再落到重要的安全控制上去。
這一方法能使你的董事會(huì)對(duì)情況多些了解,也能增加你安全策略的可信度。以下是使用這一方法的3個(gè)例子:
1. 網(wǎng)絡(luò)劃分、身份驗(yàn)證以及訪問控制
內(nèi)線消息:第三方廠商的安全憑證被盜,且被用作突破某大型全球零售商網(wǎng)絡(luò)的軸心點(diǎn)。攻擊者利用這一最初的數(shù)據(jù)泄露獲取到了該零售商銷售終端生態(tài)系統(tǒng)的訪問權(quán)。這個(gè)案例中,第三方廠商僅僅需要對(duì)該網(wǎng)絡(luò)非常有限的訪問權(quán)即可,他們完全沒必要訪問那關(guān)鍵的POS系統(tǒng)。
為什么這很重要:公司運(yùn)營中最關(guān)鍵的一條,就是要確保每個(gè)人都能做需要他們做的所有事情。保證他們能獲取他們需要的所有東西但決不更多,是有效安全運(yùn)營的關(guān)鍵。
你的董事會(huì)應(yīng)該考慮的:清楚最小權(quán)限原則是公司運(yùn)營有效且安全的基本原則。這一安全控制是每家公司企業(yè)都應(yīng)該實(shí)現(xiàn)的安全基礎(chǔ)。
2. 安全意識(shí)訓(xùn)練
內(nèi)線消息:一個(gè)網(wǎng)絡(luò)釣魚騙局瞄準(zhǔn)了一家年增數(shù)百萬設(shè)備銷售量的國際大牌消費(fèi)設(shè)備公司。該網(wǎng)絡(luò)釣魚騙局可用于為網(wǎng)絡(luò)罪犯投遞攻擊載荷。《威瑞森2015數(shù)據(jù)泄露調(diào)查報(bào)告》顯示:23%的用戶打開網(wǎng)絡(luò)釣魚郵件,11%會(huì)點(diǎn)擊釣魚鏈接——意味著每10封網(wǎng)絡(luò)釣魚郵件進(jìn)入公司,就有90%的可能性至少有1名員工點(diǎn)擊了惡意鏈接。
為什么這很重要:由于網(wǎng)絡(luò)釣魚騙局越來越普遍和精心設(shè)計(jì),員工安全訓(xùn)練變得十分重要。安全技能訓(xùn)練幫助用戶明白怎樣將安全目標(biāo)化為實(shí)踐。
你的董事會(huì)應(yīng)該考慮的:策略、規(guī)程和訓(xùn)練是公司深度防御戰(zhàn)略的關(guān)鍵部分。要保證公司具有書面的安全策略和規(guī)程有助于引導(dǎo)員工的行為。此外,訓(xùn)練員工遵循這些實(shí)踐有助于減少公司的安全風(fēng)險(xiǎn)。
3. 檢測(cè)惡意攻擊
內(nèi)線消息:一家主流社交媒體廠商不得不面對(duì)公眾數(shù)據(jù)泄露的指控。但最初看起來像是數(shù)據(jù)泄露的事件,其實(shí)只是引入到他們系統(tǒng)中的一個(gè)技術(shù)性改變引發(fā)的內(nèi)部錯(cuò)誤。現(xiàn)在每天都有成百上千的惡意軟件攻擊發(fā)生,很多公司都可能成為分布式拒絕服務(wù)(DDoS)攻擊的受害者,這種攻擊的目的就是要讓你的目標(biāo)用戶連不上你的資源。
為什么這很重要:防護(hù)、檢測(cè)和響應(yīng)的原則就應(yīng)用在這里了。有能力保護(hù)你的邊界是非常重要的第一步。
接下來,能夠檢測(cè)出系統(tǒng)中的改變對(duì)于制定合適的響應(yīng)計(jì)劃非常關(guān)鍵。系統(tǒng)的基線配置,也就是所謂的“黃金鏡像”,將幫助你的公司區(qū)分開“正常運(yùn)營”的改變和惡意改變。
你的董事會(huì)應(yīng)該考慮的:利用業(yè)務(wù)單位負(fù)責(zé)人識(shí)別出關(guān)鍵數(shù)據(jù)和資產(chǎn)是關(guān)鍵一步。只要做到這一點(diǎn),與安全和IT團(tuán)隊(duì)協(xié)作就能為這些資產(chǎn)定義出安全配置以確保公司能發(fā)現(xiàn)安全事件并做出響應(yīng),盡快恢復(fù)到實(shí)際工作中。
利用高曝光率的數(shù)據(jù)泄露事件來夯實(shí)常見安全風(fēng)險(xiǎn)的例子能給你的董事會(huì)提供很好的直觀教學(xué)課。這一方法能幫助他們理解自身可以怎樣幫助改進(jìn)公司的安全態(tài)勢(shì)。這一策略也是培養(yǎng)他們對(duì)公司安全態(tài)勢(shì)的支持,以及幫助鑒別適合你公司大小、產(chǎn)業(yè)和風(fēng)險(xiǎn)偏好的安全控制的絕佳方式。
京公網(wǎng)安備 11010502049343號(hào)