CEO完全信任首席安全官(CSO),將保護公司安全,不讓公司登上媒體頭條出丑的重責大任交托到CISO身上。但隨著互聯網攻擊數量的急速上升,該信任已逐漸被稀釋,至少,是越來越受到質疑了。
CEO討厭被打個措手不及,所以他們總會問些尖銳的問題,來確保自己知曉采取了哪些安全預警措施。
下面就是假想中的CEO或董事會成員與CISO的問答。盧卡斯·穆迪,Palo Alto Networks 副總裁兼CISO,多蒂·辛德林格,Diligent監管技術推動者,給出了有關這些互動的見解。
CEO:為什么我們受到的網絡釣魚攻擊越來越多了?針對這些網絡釣魚攻擊我們都在做些什么?
CISO:為對抗該威脅,預防是我們最佳的防御策略。預防始于技術,應囊括進識別公司憑證被非法復用的方法技術。為支持預防,我們還通過全面的網絡釣魚模擬和教育,解決了人和過程的問題,讓員工成為了主動防護公司所需的第一道防線。
CEO:我們需要擔心勒索軟件攻擊嗎?我印象中我們這行不受影響,至少從我看到的新聞上是這樣的。
CISO:鑒于網絡罪犯在勒索軟件上取得的巨大成功,今年的攻擊規模應該會擴大,從醫療保健到關鍵基礎設施的各行各業都會被波及,而且這些攻擊在復雜度可能會增加。我們已經做了全面的備份策略以對抗公司環境中常見的此類攻擊,而且是高度個性化的。
CEO:連接我們公司網絡的IoT設備安全情況如何?我們對此的策略是什么?
CISO:全球在用的聯網設備超過60億臺——該數字到2020年有望達到210億。隨著這些消費級IoT設備進入辦公環境,我們需要在面對某些真正的威脅前,慎重考慮主動解決該重大脆弱點。
如您所知,人的因素往往是網絡安全計劃中最薄弱的一環,所以我們首先要設立接入公司網絡的設備限制條件,以及有哪些數據是可以通過這些設備訪問的。我們所用的安全技術不僅僅是應用和產品敏感的,也可以合理控制這些設備,支持設備按預設意圖行事。
CEO:SaaS 應用中意外過度共享公司機密文件迅速成為了一大問題。我們可以做些什么來規避此風險呢?
CISO:團隊生產力依賴于Box、Dropbox和 Google Drive 之類SaaS應用的使用,隨著此類服務的瘋狂采用,我們開發出了一些策略來最小化數據丟失風險。從設計上,這些應用就是為了簡化信息共享的,也就是說,信息安全公司必須有能力監視和預防公司暴露面。耦合員工培訓和預防檢測控制機制以識別風險數據,限制共享,以及支持已暴露機密數據的監視,也是重要步驟。使用現實例子解釋SaaS應用中過度共享文件的后果,可有效幫助緩解該問題,防止公司業務開支的上升,或者非必要的品牌損害。
CEO:說下內部人風險吧,這問題太容易成為噩夢了。我們做好充分的應對準備了嗎?
CISO:我們有成熟而強大的風險管理項目,可以發現此類風險對業務和品牌影響最大的地方。我們已經準備好了合適的策略,詳細描述了預期行為,并配有健壯的基于角色的訪問控制(RBAC),根據用戶角色分隔用戶群,賦予恰當的數據訪問權限。同樣重要的是,部署合適的技術,在用戶角色上下文中,檢測機密數據訪問里的異常。最后,如果事件確實發生了,我們還有配備了正確的行動手冊的響應團隊,時刻準備好采取立即行動,切實緩解影響。
CEO:這段日子我們聽到的都是云、云、云。挺令人振奮的,但我們是怎么準備應對這一轉變的呢?
CISO:IT方面,我們為云的采納開發了安全策略。這不是開發策略和標準然后再應用到企業那么簡單,我們采取了多方面的措施。首先,我們實現了對相關性的持續推動,保持多個領域的許多獨特服務都是最新的,比如計算、存儲、分析、消息傳遞等等。其次,處理可擴展可編程云服務時,解決安全標準空白的唯一方法,就是通過自動化。第三,我們找到了達成云端高度威脅預防的機制。
CEO:我們怎么防護身份和憑證盜竊?肯定有我們能做的事!
CISO:現實是,不是所有的公司都有強身份驗證實踐,人們也經常會在不同網絡資源上重復使用用戶名/口令。這給對手創造了發起憑證收集行動的機會,聚集大量用戶名和口令組合,或者其他用于賬戶設立或驗證的信息。一旦盜得,他們通常會在地下論壇上將信息出售給想用這些被盜數據提升攻擊效果的黑客。通過編配出強力功能和程序的生態環境,包括為暴露應用和移動設備實現多因子身份驗證(MFA),以及利用技術感知企業憑證威脅,我們已經解決了該問題。
CEO:網絡安全很復雜,需要創造性思維來驅動創新,這是一個被有限的人才資源給加劇了問題。作為一家公司,我們在打造強有力的網絡安全員工通道上做了些什么呢?
CISO:在已經嚴重短缺的人才市場上帶著一種“盡人事聽天命”的態度競爭是不對的。尋找不同的觀點和經驗,讓思維多樣性生根開花,可以營造出偉大的思想者齊聚一堂的喜人局面。我們讓思維多樣性成為了公司文化的一部分。為加速我們的網絡安全項目,我們擴展了人才范圍,將其他經驗人士也囊括了進來,優先延攬那些在問題解決、創造力、影響和理解人類因素的能力上表現突出的人。
CEO:如今我們是真有了個全球員工背景了。我意識到這讓我們安全部門的工作更難做了。我們是怎么應對這種復雜性的呢?
CISO:最有效的策略是培訓員工,讓他們保持警惕,成為強勁的第一道防線。跨部門共享最佳實踐和情報,讓員工知情并有所準備,是我們當前的工作重點。我們還關注當地習慣和流程,注重與當地團隊緊密合作,創建最適合特定位置或情況的最佳解決方案。培訓解決方案需要被本地化以確保有效性,我們要繼續招募多樣的思維,將這些最強大腦組合起來,真正解決越來越復雜和動態多變的威脅態勢。
CEO:我們總是聽到更大的威脅更緊迫的響應要求。那我們到底該怎么合理確保我們自身,以及我們客戶的安全呢?
CISO:在事件發生前主動參與到主要利益相關者之間,這可以確保公司能夠快速有效地響應現代網絡威脅。最終,說到確保安全真的非常重要的時候,我們要強調的是,必須以身作則。如果我們自己都做不到,還有什么立場告訴客戶說他們需要轉型到下一代范例?我們必須自己先想到預防,減小自身環境的攻擊界面,增強檢測和反殺能力,還必須在自動化業務安全上持續創新。
CEO:我們需要多少網絡風險保險金額才能保證不被黑?
CISO:我們已經收到了指南說,應該在我們的開發運維策略中包括進網絡風險保險金,這樣才可以兜住我們在網絡安全方面的個人責任。然而,不幸的是,網絡保險只在已經被黑之后才顯出價值,并不能免除董事們遵從法律的責任。比如說,紐約金融服務局(始于2017年3月)如今就要求,在紐約經營的所有金融服務公司,都必須有高管或董事證實:他們不僅確知公司的網絡安全操作,還負責確保該操作被實施且有效。
確保您和董事會定期收到網絡安全項目及其有效性的簡報,就是我工作的一部分。我將確保您在檢測到成功入侵的第一時間就知曉此事,并提供緩解和修復過程的詳細描述。我還與保商合作,確保保險要求被滿足,比如實施特定通信實踐、教育培訓項目、安全測試等。
CEO:在保證我們沒有任何數據泄露上,你都做了些什么?
CISO:數據泄露與被黑和數據被破壞的損害度不相上下。我定期向董事會匯報公司網絡安全項目及其危機溝通計劃的情況。同時,我們的部分精力放在開發一套專為董事和高管設立的溝通策略上,這套策略應經全體董事投票生效,并成為新董事培訓的一部分。更甚者,我還想帶領董事會進行數據泄露的桌面演練,至少每年一次吧。這將有助于董事會看清危機溝通計劃的運作方式,以及他們自己在遵從安全策略上的能力。
京公網安備 11010502049343號