诸如勒索软件、商业电子邮件诈骗和数据泄露等网络攻击是当今企业面临的一些关键问题,尽管发生了许多令人关注的网络安全事件,但许多企业并没有提供更多的预算加强网络安全以避免成为下一个受害者。
在有关网络安全的一次访谈中,美国五角大楼前首席战略官、Attackiq公司网络安全战略和政策副总裁Jonathan Reiber指出,企业比以往任何时候都需要保护自己免受网络威胁参与者的侵害。他为首席信息安全官提供了一些见解,从如何与董事会成员进行对话到适当的预算分配。
随着地缘政治紧张局势继续加剧,你会向首席信息安全官提供哪些切实可行的建议,以加强企业对出于政治动机的网络威胁行为者的防御?
Reiber:随着地缘政治紧张局势继续加剧,对出于政治动机的网络威胁行为者进行准备是一个必要的过程,可以预防或更好地阻止这种情况的发生。
与人们看到的日常冲突相比,网络空间中发生的冲突更加微妙和普遍。网络攻击者不断地进行攻击,传播虚假信息,窃取知识产权,勒索受害者。毫无疑问,这对于现代首席信息安全官来说是一个重大的挑战。
但是,首席信息安全官非常了解网络威胁行为者将要采取的策略,技术和程序。MITER团队的攻击框架列表中列出了12个主要有策略、技术和程序(TTP)的网络攻击行为。为什么这种情况还在发生?在数字威胁场景中,需要假设存在漏洞,因为这不是是否存在漏洞的问题,而是网络攻击者何时会攻击的问题。仅仅拥有这个框架是不够的,企业需要不断测试和验证这些控件,以大规模部署针对其安全控制的最佳评估和对手仿真,从而提高可见性。
这可以使首席信息安全官不断查看性能数据,并帮助他们跟踪其安全计划对威胁格局的有效性。
首席信息安全官如何有效地向企业董事会解释数据泄露的损失成本?哪种类型的信息让非技术人员明白这一点?
Reiber:根据研究,数据违规事件造成的损失在3.86万美元至392万美元之间,在医疗保健和金融/银行等受监管行业损失可能会更高,并且造成更可怕的后果。
数据违规的成本取决于事件本身。例如,当消费者的数据处于危险之中时,业务损失是最重要的因素,占数据泄露总成本的将近40%。它包括许多因素,例如客户流失、收入损失和获得新业务以减轻声誉损害的费用。
得到敌对国家资助的数据违规事件平均成本超过440万美元,这通常是首席信息安全官最难应对和补救的数据违规事件。
例如企业检测和控制事件所需的时间长度等其他因素,可能对整体损害不利。其答案并不明确,但在数据违规事件发生之前实施的安全措施可以缓解严重且成本高昂的情况。首席信息安全官需要意识到当前的威胁形势,在后疫情时代,远程工作为新的漏洞打开了大门,当今具有前瞻性思维的首席信息安全官需要采取预防性网络安全措施来管理企业面临的长期风险。
企业可能为网络方面的硬件、软件和人员投资达到数百万美元,但仍然受到网络攻击。向负责预算的主管解释安全投资回报率(ROI)的秘诀是什么?
Reiber:为了衡量成功的投资,首先需要量化要保护的成本。在简化的模型中,第一步是衡量数据保护的给定好处,这始于资产评估。这些数据对企业有多重要?负责预算的主管需要承担这些数据不受保护的风险。如果不采取必要的措施来通过投资预防性网络安全工具来降低风险,那么当出现漏洞时,成本会有多高?
验证企业的控制权而不是采购和使用更多工具更具成本效益。通过采用专门的框架来抵御网络威胁,例如可以使用漏洞和攻击模拟(BAS)这样的自动化平台进行威胁信息的防御,首席信息安全官可以不断测试并验证其系统。与消防演习类似,漏洞和攻击模拟(BAS)可以找到哪些控件失败,使企业能够弥补网络安全防御措施中的差距,从而在网络攻击发生之前做好准备。
由于任何人都可能遭遇网络攻击,因此首席信息安全官想知道他们是否应该将更多的预算分配给网络安全保险,而不是网络安全技术。你认为他们做出了正确的选择吗?
Reiber:过度依赖网络保险而没有适当的投资可能导致额外成本,使企业更容易暴露在风险和漏洞中。虽然保险公司可以抵消部分成本,但在安全事件发生后,他们通常无法修复企业的声誉损失。同样,如果企业在研发方面上花费数百万美元而知识产权却被窃取,其获得的保险费用往往难以弥补投资成本。
首席信息安全官应对网张攻击的最佳方法是采用主动的安全策略,并与网络保险保持平衡,采用网络安全工具,例如漏洞和攻击模拟(BAS)系统。有效的安全策略不仅可以保护企业数据安全,并在网络威胁之前确定缺陷和漏洞,甚至获得网络保险,因此建立这些系统对于降低网络保险的成本至关重要。
拥有正确的网络保险至关重要,首席信息安全官需要密切关注保险合同的起草方式。缺乏对细节的关注可能会导致企业没有正确的覆盖范围,尤其是鉴于当前威胁形势不断变化的性质,首席信息安全官需要在购买网络安全保险之前制定具体的网络安全措施。