在有關(guān)網(wǎng)絡(luò)安全的一次訪談中,美國五角大樓前首席戰(zhàn)略官、Attackiq公司網(wǎng)絡(luò)安全戰(zhàn)略和政策副總裁Jonathan Reiber指出,企業(yè)比以往任何時候都需要保護自己免受網(wǎng)絡(luò)威脅參與者的侵害。他為首席信息安全官提供了一些見解,從如何與董事會成員進行對話到適當(dāng)?shù)念A(yù)算分配。
隨著地緣政治緊張局勢繼續(xù)加劇,你會向首席信息安全官提供哪些切實可行的建議,以加強企業(yè)對出于政治動機的網(wǎng)絡(luò)威脅行為者的防御?
Reiber:隨著地緣政治緊張局勢繼續(xù)加劇,對出于政治動機的網(wǎng)絡(luò)威脅行為者進行準(zhǔn)備是一個必要的過程,可以預(yù)防或更好地阻止這種情況的發(fā)生。
與人們看到的日常沖突相比,網(wǎng)絡(luò)空間中發(fā)生的沖突更加微妙和普遍。網(wǎng)絡(luò)攻擊者不斷地進行攻擊,傳播虛假信息,竊取知識產(chǎn)權(quán),勒索受害者。毫無疑問,這對于現(xiàn)代首席信息安全官來說是一個重大的挑戰(zhàn)。
但是,首席信息安全官非常了解網(wǎng)絡(luò)威脅行為者將要采取的策略,技術(shù)和程序。MITER團隊的攻擊框架列表中列出了12個主要有策略、技術(shù)和程序(TTP)的網(wǎng)絡(luò)攻擊行為。為什么這種情況還在發(fā)生?在數(shù)字威脅場景中,需要假設(shè)存在漏洞,因為這不是是否存在漏洞的問題,而是網(wǎng)絡(luò)攻擊者何時會攻擊的問題。僅僅擁有這個框架是不夠的,企業(yè)需要不斷測試和驗證這些控件,以大規(guī)模部署針對其安全控制的最佳評估和對手仿真,從而提高可見性。
這可以使首席信息安全官不斷查看性能數(shù)據(jù),并幫助他們跟蹤其安全計劃對威脅格局的有效性。
首席信息安全官如何有效地向企業(yè)董事會解釋數(shù)據(jù)泄露的損失成本?哪種類型的信息讓非技術(shù)人員明白這一點?
Reiber:根據(jù)研究,數(shù)據(jù)違規(guī)事件造成的損失在3.86萬美元至392萬美元之間,在醫(yī)療保健和金融/銀行等受監(jiān)管行業(yè)損失可能會更高,并且造成更可怕的后果。
數(shù)據(jù)違規(guī)的成本取決于事件本身。例如,當(dāng)消費者的數(shù)據(jù)處于危險之中時,業(yè)務(wù)損失是最重要的因素,占數(shù)據(jù)泄露總成本的將近40%。它包括許多因素,例如客戶流失、收入損失和獲得新業(yè)務(wù)以減輕聲譽損害的費用。
得到敵對國家資助的數(shù)據(jù)違規(guī)事件平均成本超過440萬美元,這通常是首席信息安全官最難應(yīng)對和補救的數(shù)據(jù)違規(guī)事件。
例如企業(yè)檢測和控制事件所需的時間長度等其他因素,可能對整體損害不利。其答案并不明確,但在數(shù)據(jù)違規(guī)事件發(fā)生之前實施的安全措施可以緩解嚴(yán)重且成本高昂的情況。首席信息安全官需要意識到當(dāng)前的威脅形勢,在后疫情時代,遠程工作為新的漏洞打開了大門,當(dāng)今具有前瞻性思維的首席信息安全官需要采取預(yù)防性網(wǎng)絡(luò)安全措施來管理企業(yè)面臨的長期風(fēng)險。
企業(yè)可能為網(wǎng)絡(luò)方面的硬件、軟件和人員投資達到數(shù)百萬美元,但仍然受到網(wǎng)絡(luò)攻擊。向負責(zé)預(yù)算的主管解釋安全投資回報率(ROI)的秘訣是什么?
Reiber:為了衡量成功的投資,首先需要量化要保護的成本。在簡化的模型中,第一步是衡量數(shù)據(jù)保護的給定好處,這始于資產(chǎn)評估。這些數(shù)據(jù)對企業(yè)有多重要?負責(zé)預(yù)算的主管需要承擔(dān)這些數(shù)據(jù)不受保護的風(fēng)險。如果不采取必要的措施來通過投資預(yù)防性網(wǎng)絡(luò)安全工具來降低風(fēng)險,那么當(dāng)出現(xiàn)漏洞時,成本會有多高?
驗證企業(yè)的控制權(quán)而不是采購和使用更多工具更具成本效益。通過采用專門的框架來抵御網(wǎng)絡(luò)威脅,例如可以使用漏洞和攻擊模擬(BAS)這樣的自動化平臺進行威脅信息的防御,首席信息安全官可以不斷測試并驗證其系統(tǒng)。與消防演習(xí)類似,漏洞和攻擊模擬(BAS)可以找到哪些控件失敗,使企業(yè)能夠彌補網(wǎng)絡(luò)安全防御措施中的差距,從而在網(wǎng)絡(luò)攻擊發(fā)生之前做好準(zhǔn)備。
由于任何人都可能遭遇網(wǎng)絡(luò)攻擊,因此首席信息安全官想知道他們是否應(yīng)該將更多的預(yù)算分配給網(wǎng)絡(luò)安全保險,而不是網(wǎng)絡(luò)安全技術(shù)。你認為他們做出了正確的選擇嗎?
Reiber:過度依賴網(wǎng)絡(luò)保險而沒有適當(dāng)?shù)耐顿Y可能導(dǎo)致額外成本,使企業(yè)更容易暴露在風(fēng)險和漏洞中。雖然保險公司可以抵消部分成本,但在安全事件發(fā)生后,他們通常無法修復(fù)企業(yè)的聲譽損失。同樣,如果企業(yè)在研發(fā)方面上花費數(shù)百萬美元而知識產(chǎn)權(quán)卻被竊取,其獲得的保險費用往往難以彌補投資成本。
首席信息安全官應(yīng)對網(wǎng)張攻擊的最佳方法是采用主動的安全策略,并與網(wǎng)絡(luò)保險保持平衡,采用網(wǎng)絡(luò)安全工具,例如漏洞和攻擊模擬(BAS)系統(tǒng)。有效的安全策略不僅可以保護企業(yè)數(shù)據(jù)安全,并在網(wǎng)絡(luò)威脅之前確定缺陷和漏洞,甚至獲得網(wǎng)絡(luò)保險,因此建立這些系統(tǒng)對于降低網(wǎng)絡(luò)保險的成本至關(guān)重要。
擁有正確的網(wǎng)絡(luò)保險至關(guān)重要,首席信息安全官需要密切關(guān)注保險合同的起草方式。缺乏對細節(jié)的關(guān)注可能會導(dǎo)致企業(yè)沒有正確的覆蓋范圍,尤其是鑒于當(dāng)前威脅形勢不斷變化的性質(zhì),首席信息安全官需要在購買網(wǎng)絡(luò)安全保險之前制定具體的網(wǎng)絡(luò)安全措施。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號