近些年,随着需要缓解的网络威胁层出不穷愈趋严重,企业安全管理员的角色也变得越来越复杂了,同时,他们自身的痛点也发生了改变。
今天的安全主管们要负责整个公司网络风险的评估、沟通和管理。他们必须通告队友具体安全漏洞的位置,然后指派相关负责人采取行动缓解威胁。安全管理员们还要负责通报高管和董事会公司网络风险事务的当前状况,以及该怎样减小这些风险。风险情报软件提供商 Bay Dynamics 带来的研究结果和深度行业信息,为大型企业的高管们,呈现了一些常见的痛点和建议解决方案。对照一下,你自己的安全系统中有没有发现几个呢?
安全主管只知道自身环境中的一部分动向。系统、数据和业务部门在大型企业中是极端孤立的。每个团队管理着自己的系统和应用。可以将之想象成安全主管们在大楼前台指挥一队保安的情况。他们会确保只有具备进入大楼权限的人进来;然而,一旦进了门,保安便看不见这些人都在做什么了。他们无法知道某个访客是否走进了办公室打开了存有敏感信息的文件柜。
二、不良报告方式
Bay Dynamics的研究《向董事会报告:CISO和董事会的失败之处》中,81%的IT和安全主管承认,他们通过手工编辑的电子表格向董事会汇报数据。该手工过程产生了一些痛点。安全团队花费数小时从各业务部门收集电子表格,再将散乱的表格编辑成一个清晰连贯的数据文档供CISO向董事会报告。该数据通常是不准确的,因为手工过程会导致数据篡改,不可避免地向数据中引入了偏差。而一旦安全主管、其他高管和董事会没有看到准确的数据,评估网络风险就会成为一件几乎不可能完成的任务了。
三、低效安全响应
没有基于资产风险值和事件影响对安全控制进行优先级排序会产生无穷无尽的警报通知,再加上有限的资源,意味着安全主管必然挣扎于繁重的噪音排除任务中。他们投入了很多安全工具,却依然在如何用好这些工具产出的信息上问题多多。每一条信息都被当成了画面中的一个像素。由于不能看清所有这些像素是怎样组合成整体画面的,他们便不知道该从何处入手。比如说,他们很可能将精力投放在了低优先级的漏洞上而放过了高风险漏洞。
四、网络风险的无效沟通
安全主管们难以将网络风险信息以一种可追溯的、可理解的、脉络化的方式传达给董事会。最近的研究《董事会对网络安全报告的真实感受》中指出,超过一半(54%)的董事会成员都强烈认同,安全主管们提交的数据太过于技术化了。
五、业务主管参与难
安全主管通常都难以将管理着公司最敏感资产却不属于安全团队的业务主管拉进安全管控中来。业务主管对自己手下的资产有着最清晰的理解,因而在检测到非常规事件时可以提供需要的相关上下文。安全主管必须在网络风险管理过程中得到他们的参与,以便能为警报和通知添加上下文信息。
为解决这些痛点,安全主管们可以参考如下做法:
* 识别最有价值资产
在解决上述痛点之前,安全主管们必须先识别出自己最有价值的资产,也就是一旦被盗会对公司产生最严重损害的那些资产。找出这些资产是什么、在哪里、谁在管之后,安全主管应将最多的精力放在对这些资产的保护上。这包括了:发现与这些资产相关的威胁和漏洞,以及攻击的可能性。然后,将相应的安全资源应用到这上面。
* 让业务主管能容易地参与进安全实践中
业务主管应收到自己辖下有价值资产的顶级威胁和漏洞的排序视图。这样他们就能准确地知道应采取哪些动作来保护他们的资产。当安全工具发现对他们辖下资产的非正常访问时,业务主管也应收到自动化的警报,以便能通知事件响应者这些访问是经授权的还是可疑而需要立即调查的。
* 数据收集必须自动化
电子表格可以被抛弃了。安全主管们应部署自动化的网络风险数据收集过程,这样所有的利益相关者——业务主管、IT主管、董事会、高管和安全团队,才能看到同一份自动产出的网络风险信息。安全主管也可有效产出准确的、可追溯的、可操作的网络风险报告,以便董事会作出英明的决策。
* 用风险语言交流
董事会理解风险,安全主管同样必须理解。安全主管不再被看做是只管理网络安全技术的“技术宅”。他们越来越被看做是与其他运营风险主管(例如:法务、财务等等)相当的风险专家。有鉴于这种转变,安全主管必须改变他们的方式方法。不是报告补丁、错误配置和其他以技术为中心的信息,而要报告威胁、与最有价值资产相关的漏洞,以及二者火星撞地球的可能性,然后据此分配相应的安全资源。这才是董事会能理解的说话方式。