如何协调员工和预算以更好地保护组织?
尽管我们认为,在 WannaCry、NotPetya 和其他引人注目的漏洞席卷全球之后,网络安全意识状态会发生变化,但事实证明,许多企业仍然没有认真地对待 IT 安全问题。这背后的原因其实很容易理解:毕竟那些经历过网络攻击的企业(如 Target、Sony Pictures、Equifax 以及 Maersk)仍在正常运行中,且表现得很好。
那么,这些遭受过攻击的组织是否为此改变了其网络安全协议呢?答案是毋庸置疑的。网络攻击总是通过巨大的财务影响直接打击一个组织,来强制其进行改变。只有及时做出了改变,其业务才能照常运行下去,否则将面临淘汰的命运。
当然,这对 CISO 及其网络安全团队来说也成了一个巨大的压力源。他们每天都会被提醒 “组织是多么容易受到攻击”——修补程序已经过时;远程工作人员将未受保护的系统置于危险境地;预算和资源不足以及IT运营和IT安全之间缺乏合作(甚至更糟糕的是存在直接冲突)等因素都使组织面临攻击的风险加剧。
IE 公司发布的一份有关 IT 安全的最新报告《整顿内部 (Getting Your House in Order) 》发现,IT 正面临 3 大挑战:保护新技术,限制性预算,以及IT安全和IT运营之间缺乏对彼此工作方式的理解。更糟糕的是,在预算分配方面,90% 的组织会在 IT 安全性之前优先考虑其他事项(如客户服务、销售等等)。
那么公司应该如何整合这些因素来妥善地保护组织安全呢?他们必须做到以下几点:
1. 确认数据的可访问性
事实证明,人们对于 “数据集是多么容易被发现”(即便是在所谓的安全云平台上)普遍缺乏了解。太多的操作是基于这样一个假设:他们可以将数据转储到云中的 S3 存储桶中,因为它位于安全平台上,所以它也是安全的。但事实上,云存储的安全性就像用于访问它的协议和端点一样脆弱。单个受损用户凭证就可以提供对最有价值数据的自由访问权限。
2. 认识到 “外包” 并不是解决方案
大多数公司认为,当他们把数据转储到云端时,他们也将安全责任一并丢给了云服务提供商。他们认为,在亚马逊Web服务 (AWS) 或 Azure 上购买云服务就像购买保险单一样。事实当然并非如此,相反地,大量的 S3 存储桶其实完全不安全。即便这些服务会受到云服务提供商的保护,但数据的安全性却与访问它的端点的安全性一样脆弱,这也就解释了为什么对于组织而言保护端点才是至关重要的。
3. 将其数据价值与等价资源相匹配
除非你在保护数据方面投入了足够的资源和财力,否则它不会是安全的。为了改善网络安全,超过 75% 的安全专家表示,他们的组织需要在培训IT安全和IT运营团队,以及将其软件迁移至自动化方面投入更多资金。而超过 60% 的受访者表示,他们的组织需要在软件修补方面投入更多资金。显然,安全价值和分配给它的资源之间存在错位现象。
4. 评估其 IT 资产的风险等级
数据显示,只有大约 60% 的组织对其网络上的端点和正在使用的软件配置了高级别的控制机制和可见性。由于存在远程工作者,本地管理员权限以及部门或基于位置的自治权限,如果没有某种类型的自动化解决方案,IT 团队根本没有能力追踪组织的资产状况。但是,你永远无法保护自己看不到的东西,所以组织必须要清楚地了解其 IT 资产状况,以便为其提供适当的保护。
5. 迁移至Windows 10
目前来说,企业将系统升级至 Windows 10 大多出于安全性考虑,还没有一个出于商业目的的案例。然而,无论你是选择 Windows 7 的扩展支持协议还是咬紧牙关并迁移至 Windows 10,你仍然需要为端点安全买单。首席信息官们必须意识到,提高安全性是一个行之有效的商业案例,既可以帮助组织守住底线,又可以保护董事会和股东的商业利益。事实上,58% 的受访者认为,到 2020 年未能迁移至 Windows 10 的组织将面临 “重大安全风险”。首席信息安全官可以利用这种风险潜力来获取用于升级所需的投资。
6. 解决修补和宽带问题
更新的速度和有限的宽带所带来的挑战正在成为许多企业的发展瓶颈。假设你正在运营一家金融企业,但是由于一个系统补丁问题却致使你的交易员们被迫停工一小时,那么他们每人可能会损失 100 万美元。考虑到超过一半的 IT 专家认为,未修补的软件是导致安全漏洞的主要原因之一,所以修补必须成为优先事项。此外,组织还需要投入适当的工具来实现流程自动化,以帮助克服修补挑战和宽带不足的问题。
将 IT 运营和 IT 安全结合在一起,可以确立他们 “朝着一个目标努力” 的凝聚力。在微软,不仅所有开发人员都接受过一定程度的安全培训,他们还会让安全人员坐在这些开发人员旁边。他们之间的合作可以确保正在进行的工作从一开始就符合公司既定的安全准则,以降低安全漏洞的风险并防止两个团队出现对抗或冲突的情况。
通过教育 IT 运营和 IT 安全团队了解彼此的工作职责、目标等内容,公司可以充分利用其 IT 资源的全部功能,并通过上述这些反映其对安全价值的投资来更好地保护组织。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】