当今的CISO如何理解“主动安全”?在威胁发生之前做好准备,并提前规划应对措施,需要充分的准备和正确的策略。
冰球传奇Wayne Gretzky曾分享他在冰上成功的秘诀:“我滑向冰球将要去的地方,而不是它已经去过的地方。”
安全团队若能在工作中采用Gretzky的这种前瞻性策略,将会大有裨益。那些专注于安全计划未来目标的团队,比起那些仅仅对已经发生的事件做出反应的团队,更能赢得胜利。
如今,“主动安全”已成为行业内的流行词汇,许多声音呼吁CISO从被动安全转向主动安全。今年早些时候,研究公司Omdia对北美、英国和欧洲的400多名安全决策者进行了调查,结果显示47%的受访者表示,他们的首要目标之一是“通过主动安全减少威胁的机会”。
那么,主动网络安全究竟意味着什么?虽然定义各异,但简单来说,它指的是更加注重为未来做准备,识别未来的威胁以及恶意行为者使用的战术、技术和程序(TTP),然后提前实施措施进行应对。
主动安全可能意味着重新评估团队和策略
“在职能内工作和在职能上工作之间需要取得平衡,这就是我认为被动和主动之间的区别。”IANS Research的教职员工兼公共部门CISO Wolfgang Goerlich表示,该公司是一家位于波士顿的网络安全研究和咨询公司。
“在职能上工作就是主动安全,安全团队需要养成暂时跳出日常工作、休息片刻的习惯,用全新的视角审视如何架构事务,思考是否拥有合适的人才和流程,以及技术和对手正在如何变化。”
当然,安全团队必须保持强大的响应能力,以便在事件发生时能够识别、控制并从中恢复,Goerlich和其他高级安全领导者如是说。
但他们也强调安全需要更加主动的原因,因为这使得CISO及其团队和企业能够领先于威胁,从而提高击败网络对手的机会。
CISO繁重的工作可能阻碍主动规划
提前规划并不容易,尤其是在网络安全领域,日益增多且复杂化的威胁使得许多防御者一直处于被动状态。CISO及其团队的日程已经排得满满当当,处理诸如修补漏洞和向监管机构及董事会报告等紧急任务,让他们难以腾出精力转向更加主动的安全策略。正如Goerlich所说:“压力越大,能看得多远就越有限。”
此外,还有一个相关的挑战,即需要跟踪并缓解越来越多的风险和威胁。Gretzky可能只需要滑向即将出现的冰球,但安全团队却要面对“多个冰球和许多队伍在同一个冰场上”,Goerlich指出。
CISO可以采取多种措施,将单纯的被动安全计划转变为更好地平衡主动与被动的安全计划。例如,许多CISO已经实施了威胁狩猎计划,还有一些参与了ISAC和其他信息共享实体。以下是帮助CISO领先于威胁的四个额外行动。
1. 安全框架可以帮助构建主动性
金融科技咨询公司Profinch的副总裁兼CISO、ISACA新兴趋势工作组成员Chetan Anand表示,他使用安全框架帮助他的团队“预见并防止问题发生”,从而将他的安全计划转变为更加主动的模式。
Anand使用的是ISACA的数字信任生态系统框架(DTEF),该框架于2024年初发布,旨在与其他现有框架和最佳实践兼容,包括COBIT、ITIL、GDPR以及多个ISO和NIST标准。
他说,遵循框架能够帮助安全打破孤岛,专注于弹性,提升对安全操作的可见性,在问题变成隐患之前识别潜在问题,并为新兴风险做好准备(因为这些框架本身也会随着威胁环境的变化而演变)。
Anand表示,他通过ISACA的DTEF集成了ISO 27001:2022信息安全管理系统要求、ISO 9001:2015质量管理系统要求以及ISO 31000:2018风险管理指南——这是他还遵循的三个标准。
他指出,这一切都有助于优化安全成本并提高资源效率,节省下来的资源可以重新用于前瞻性活动,而不是被动应对。他补充道,“这有助于更好的规划和准备。”
他还表示,遵循框架让安全团队更好地支持业务增长,因为安全团队可以向新客户和业务合作伙伴展示其已经实施了适当的措施来应对未来的挑战。“因此,这也是一个战略优势。”他补充道。
其他CISO似乎也同意Anand对使用框架的重视,研究显示大多数CISO至少使用一个框架,然而,这种使用并非在所有企业安全团队中都普遍存在,表明仍有改进空间。
2. 采用持续改进的安全计划方法
Info-Tech安全与隐私实践的研究分析师Ahmad Jowhar表示,他听到很多CISO谈论采取更主动的姿态——他将其描述为“在威胁和漏洞渗透或影响企业之前预测并应对。”
换句话说,他表示,这意味着今天采取行动,以减轻明天的威胁。
Jowhar指出,安全评估、安全培训和全体员工的技能提升,以及构建安全意识的企业文化,都有助于建立主动的安全姿态。
但他还建议CISO采用持续改进的方式来管理其安全计划——类似于许多软件产品团队和典型企业中其他职能领域使用的持续改进流程。
“我们看到威胁在不断演变并变得更加复杂,因此CISO也需要不断进步,”他解释道,“他们需要始终采取措施进行改进,不能认为昨天实施的方案今天和明天依然有效,这是主动安全的标志。”
Jowhar指出,CISO可以通过各种启发性步骤来做到这一点。
其中一个步骤是识别企业的主要业务目标,并确保安全策略与这些目标保持一致并提供支持。
另一个关键步骤是了解当前安全计划的状态,明确未来理想的状态,并详细说明如何实现这一目标。“如果你现在处于2级,那就要找出如何提升到5级。列出从2级到3级,再从3级到4级,最后到5级的渐进步骤,并为这些步骤争取业务上的支持。”Jowhar解释道。
3. 定期举行以未来为重点的会议
正如Goerlich指出的那样,想要打造更主动安全计划的CISO需要着眼未来。为了确保他有时间做到这一点,Goerlich每季度都会安排一次定期的外出会议,他和团队在会上讨论即将发生的变化。
“这为我们建立了一个流程和节奏,帮助我们摆脱日常事务,从而看到更大的全局,”他解释道,“我们从头开始,看看下个季度将会发生什么变化,问自己需要为哪些情况做好准备,我们回顾一下,看看哪些做得好,哪些不够好,然后我们设定目标,以便继续前进。”
Goerlich表示,他经常邀请外部的安全专家,如供应商高管和其他思想领袖,参加这些会议,听取他们对威胁演变的见解,以及新兴的安全工具和技术来应对这些威胁,他有时还会邀请公司内部的高管同事,以便他们分享自己的计划和策略——这有助于确保安全工作与业务需求保持一致,推动企业前进。
他已经看到了这种努力带来的效果,他举例说明,在一次外出会议上,团队发现了其特权访问管理(PAM)流程中的挑战,特别是该流程所需的大量手动步骤。
“这是那种企业多年来逐步建立起来的流程,在当时看来完全合理,但随着时间推移,情况发生了变化,流程不再运作良好。”Goerlich解释道。
因此,团队对PAM计划进行了重新设计,减少了步骤,并用新工具取代了旧工具,创建了一个更加自动化、更加高效且更安全的流程。
Goerlich表示,这个例子说明了定期召开以预见性为重点会议的价值,以及采取主动措施如何转化为更好的安全性。他解释说,重新设计的PAM流程提高了操作效率,减少了安全团队为了支持依赖大量手动操作的传统流程所需的紧急应对工作量。
4. 在企业内创建并掌控网络安全叙事
全球情报与网络安全咨询公司S-RM的美洲网络安全咨询主管Michael Clark表示,CISO面临的最大挑战之一是获得足够的支持和资源,以建立一个具备弹性的安全计划,该计划能够在未来防护活动与响应能力之间取得适当的平衡。
Clark将这一问题很大程度上归咎于典型企业中当前的网络安全叙事状态,他表示,CISO的叙事往往通过另一位高管传达给董事会,而这位高管常常对威胁形势和企业的安全状况呈现出一个“更加乐观的画面”。
“CISO想要传达的信息并没有传达到董事会,”他说,并补充道,CISO需要一个与董事会沟通的渠道,“让他们能够以不被那个[沟通人]粉饰的方式提出他们的担忧。”
他说,这对领先一步至关重要。
“威胁和监管环境在变化,技术的复杂性也在不断演进。如果CISO得不到他们需要的支持,就很难在这些变化中保持领先地位。”他解释道。
能够向CEO和董事会清晰表达安全动态,并成功争取所需资源,这一直是CISO面临的长期挑战。
2024年SPMB Executive Search的调查数据反映了这一问题,调查发现,只有27%的CISO在2024年直接向CEO汇报(相比2023年的22%有所上升),且只有54%的CISO至少每季度向董事会汇报一次,调查还发现,5%的CISO根本不向董事会汇报。
尽管其他调查显示,向CEO和董事会汇报的CISO比例较高,但整体研究表明,CISO直接接触董事会的情况仍然并不普遍或频繁。
为了应对这些挑战并获得实施主动安全措施所需的资源,Clark建议CISO们“创造一种叙事,说明安全如何赋能业务、保护业务、支持品牌并提升投资者的信任。”
他说,CISO应该衡量并报告与风险相关的关键指标,展示这些安全措施如何与业务需求和战略保持一致,并支持它们,然后,利用这些信息讲述安全工作的故事,并指出需要改进的领域。
“领导者不希望向董事会传递负面信息,而CISO也不希望被指责为夸大其词,因此他们必须创造并掌控叙事,他们需要学会如何阐明自己如何支持业务、如何保护品牌,然后从另一个角度说明存在的问题、如何解决这些问题,以及如何优先处理这些工作。”Clark说道。
Clark曾与一位CISO客户合作,该客户向董事会汇报时说安全团队已经识别了98%的需要保护的终端,而没有说明如何识别剩下的2%,有多少终端得到了保护,这为什么重要,关闭保护缺口需要什么,以及不采取行动的风险。
“他们应该说,‘这是我们在当前预算下能做到的事情,如果我们想做更多或加快速度,这就是安全所需要的。’”Clark说道。
他补充道,这样坦诚的讨论更有可能让CISO获得他们所需的资源,以便实施安全措施,帮助他们领先于被动应对模式。