近些年,隨著需要緩解的網絡威脅層出不窮愈趨嚴重,企業安全管理員的角色也變得越來越復雜了,同時,他們自身的痛點也發生了改變。
今天的安全主管們要負責整個公司網絡風險的評估、溝通和管理。他們必須通告隊友具體安全漏洞的位置,然后指派相關負責人采取行動緩解威脅。安全管理員們還要負責通報高管和董事會公司網絡風險事務的當前狀況,以及該怎樣減小這些風險。風險情報軟件提供商 Bay Dynamics 帶來的研究結果和深度行業信息,為大型企業的高管們,呈現了一些常見的痛點和建議解決方案。對照一下,你自己的安全系統中有沒有發現幾個呢?
安全主管只知道自身環境中的一部分動向。系統、數據和業務部門在大型企業中是極端孤立的。每個團隊管理著自己的系統和應用。可以將之想象成安全主管們在大樓前臺指揮一隊保安的情況。他們會確保只有具備進入大樓權限的人進來;然而,一旦進了門,保安便看不見這些人都在做什么了。他們無法知道某個訪客是否走進了辦公室打開了存有敏感信息的文件柜。
二、不良報告方式
Bay Dynamics的研究《向董事會報告:CISO和董事會的失敗之處》中,81%的IT和安全主管承認,他們通過手工編輯的電子表格向董事會匯報數據。該手工過程產生了一些痛點。安全團隊花費數小時從各業務部門收集電子表格,再將散亂的表格編輯成一個清晰連貫的數據文檔供CISO向董事會報告。該數據通常是不準確的,因為手工過程會導致數據篡改,不可避免地向數據中引入了偏差。而一旦安全主管、其他高管和董事會沒有看到準確的數據,評估網絡風險就會成為一件幾乎不可能完成的任務了。
三、低效安全響應
沒有基于資產風險值和事件影響對安全控制進行優先級排序會產生無窮無盡的警報通知,再加上有限的資源,意味著安全主管必然掙扎于繁重的噪音排除任務中。他們投入了很多安全工具,卻依然在如何用好這些工具產出的信息上問題多多。每一條信息都被當成了畫面中的一個像素。由于不能看清所有這些像素是怎樣組合成整體畫面的,他們便不知道該從何處入手。比如說,他們很可能將精力投放在了低優先級的漏洞上而放過了高風險漏洞。
四、網絡風險的無效溝通
安全主管們難以將網絡風險信息以一種可追溯的、可理解的、脈絡化的方式傳達給董事會。最近的研究《董事會對網絡安全報告的真實感受》中指出,超過一半(54%)的董事會成員都強烈認同,安全主管們提交的數據太過于技術化了。
五、業務主管參與難
安全主管通常都難以將管理著公司最敏感資產卻不屬于安全團隊的業務主管拉進安全管控中來。業務主管對自己手下的資產有著最清晰的理解,因而在檢測到非常規事件時可以提供需要的相關上下文。安全主管必須在網絡風險管理過程中得到他們的參與,以便能為警報和通知添加上下文信息。
為解決這些痛點,安全主管們可以參考如下做法:
* 識別最有價值資產
在解決上述痛點之前,安全主管們必須先識別出自己最有價值的資產,也就是一旦被盜會對公司產生最嚴重損害的那些資產。找出這些資產是什么、在哪里、誰在管之后,安全主管應將最多的精力放在對這些資產的保護上。這包括了:發現與這些資產相關的威脅和漏洞,以及攻擊的可能性。然后,將相應的安全資源應用到這上面。
* 讓業務主管能容易地參與進安全實踐中
業務主管應收到自己轄下有價值資產的頂級威脅和漏洞的排序視圖。這樣他們就能準確地知道應采取哪些動作來保護他們的資產。當安全工具發現對他們轄下資產的非正常訪問時,業務主管也應收到自動化的警報,以便能通知事件響應者這些訪問是經授權的還是可疑而需要立即調查的。
* 數據收集必須自動化
電子表格可以被拋棄了。安全主管們應部署自動化的網絡風險數據收集過程,這樣所有的利益相關者——業務主管、IT主管、董事會、高管和安全團隊,才能看到同一份自動產出的網絡風險信息。安全主管也可有效產出準確的、可追溯的、可操作的網絡風險報告,以便董事會作出英明的決策。
* 用風險語言交流
董事會理解風險,安全主管同樣必須理解。安全主管不再被看做是只管理網絡安全技術的“技術宅”。他們越來越被看做是與其他運營風險主管(例如:法務、財務等等)相當的風險專家。有鑒于這種轉變,安全主管必須改變他們的方式方法。不是報告補丁、錯誤配置和其他以技術為中心的信息,而要報告威脅、與最有價值資產相關的漏洞,以及二者火星撞地球的可能性,然后據此分配相應的安全資源。這才是董事會能理解的說話方式。