2018年2月，澳大利亞正式實施新的數(shù)據(jù)泄露法案——《數(shù)據(jù)泄露通報法案》。

據(jù)悉，該法案適用于年營業(yè)額超過300萬美元并持有個人可識別信息的組織和機構。一旦實行，這些組織機構必須向澳大利亞信息專員辦公室和受影響的個人報告數(shù)據(jù)泄露事件，有效地防止數(shù)據(jù)泄露事件悄無聲息地發(fā)生。

3月底爆發(fā)的Facebook數(shù)據(jù)泄露事件在全球范圍內(nèi)引起了軒然大波，據(jù)悉，劍橋分析公司以不正當?shù)姆绞将@取了大量Facebook用戶的信息，其中包括用戶居住地、個人喜好、朋友信息等等。甚至有媒體認為，該公司可能與2016年美國總統(tǒng)選舉期間的廣告定向投放有關，從而一定程度上影響了大選結果。

2018年5月25日，被視為“史上最嚴”的歐盟隱私法案《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，GDPR)于歐盟全面實施，該條例現(xiàn)已成為歐盟法律的一部分，用來改善歐盟公民的數(shù)據(jù)保護情況。

總之，無論是近來發(fā)生的網(wǎng)絡安全事件，還是澳大利亞和歐洲相繼引入新的數(shù)據(jù)泄露法案，種種事件都正在提醒人們要對網(wǎng)絡安全最佳實踐需求的多多認識。這種意識的覺醒也推動眾多企業(yè)開始著手評估當前自身的網(wǎng)絡安全狀況，并實施相應的解決方案以降低安全風險。

愿景是美好的，但不幸的是，企業(yè)并未能發(fā)揮安全評估和解決方案的最大效用，他們只是繼續(xù)在新的、孤立的安全工具上分層，而沒有挖掘出現(xiàn)有工具的最大化價值，或完全解決潛在的漏洞威脅。

隨著每天越來越多的設備和端點連接到網(wǎng)絡，能夠保護這些設備并防止未經(jīng)授權的訪問行為應該成為安全專業(yè)人員最關心的問題。這種安全覺悟無疑是正確的，因為攻擊者只需要通過一個受損設備就能夠瓦解整個基礎架構。

如今，大多數(shù)安全方法都依賴于后見之明——不知道接下來會發(fā)生什么情況，企業(yè)只能對已發(fā)生的事情做出響應，然后在事件已發(fā)生的情況下修復攻擊影響。

想要改變這種“事后諸葛亮”的現(xiàn)狀，讓企業(yè)以更為積極主動地方式應對威脅，將對企業(yè)整體安全性產(chǎn)生戰(zhàn)略性意義，而這一切主要取決于企業(yè)安全方向的決策者對自身的認知與決策方向。

[[241985]]

CSO需要能夠立即回答如下5個關鍵問題

1. 您的組織是否錯誤地以為自己具備必要(但通常缺失)的安全基礎?

完整、持續(xù)的可視性對于有效的網(wǎng)絡保護至關重要。如今，整個行業(yè)的假設是，所有組織都具備這種可視性，但事實是，大多數(shù)組織根本不具備充足的可視性。

鑒于缺乏可視性，企業(yè)將無法確保不可視內(nèi)容的安全，所以組織必須避免這種盲目假設，并采取有效措施來確保自身確實具備完整、持續(xù)的可視性。

2. 如果一組未知的設備或端點連接到網(wǎng)絡，企業(yè)應該如何了解其風險狀況?

當組織只具備部分可視性時，他們對風險狀況的了解也就會不完整。當消費者購買家庭內(nèi)容的保險時，保險公司會詢問的第一個問題就是他們的資產(chǎn)價值。如果消費者不知道自己擁有哪些東西，自然也就無法衡量自己的財產(chǎn)價值。同樣的道理，如果無法確切地知道連接到網(wǎng)絡中的內(nèi)容，企業(yè)自然也就無法有效地保護它。

3. 量化企業(yè)網(wǎng)絡中未知的“未知數(shù)”的第一步是什么?

絕大多數(shù)組織都知道自身存在可視性差距，但是他們并不知道如何縮小這種差距。如果網(wǎng)絡會說話的話，我想安全專業(yè)人士一定想直接問它，“究竟哪些東西連接到了網(wǎng)絡”。通常情況下，當詢問網(wǎng)絡時，其給出的“未知數(shù)”(連接到網(wǎng)絡的設備或端點)數(shù)量可能會比預期的還要多出35%-40%。加上如今大多數(shù)企業(yè)都擁有擴展的網(wǎng)絡，想要明確未知設備規(guī)模將變得更為艱難。完全關閉可見性差距的唯一方法，就是直接詢問所有不同的網(wǎng)絡。

4. 組織如何避免添加其他孤立的安全工具?

組織不希望繼續(xù)在新的、孤立的安全工具上分層，相反地，他們需要從自己已經(jīng)投入的工具中獲取更多。所以，企業(yè)應該通過提供對網(wǎng)絡上所有內(nèi)容的可見性，來確保自己的下一次投資能夠更好地利用他們現(xiàn)有的工具，而不是簡單地添加另一個增加成本和復雜性，卻無法提供可操作信息的孤立工具。

5. 組織可以量化他們浪費的安全支出嗎?

組織會為安全工具分配預算，但這些工具無法發(fā)揮最大性能來完整地保護企業(yè)業(yè)務安全。因此，一些預算就等于浪費掉了。完整、持續(xù)的可視性使企業(yè)能夠識別并恢復浪費的支出，并確保安全預算能夠覆蓋其預期覆蓋范圍的100%。

通過縮小可視性差距，以及獲得有關網(wǎng)絡上每個設備或端點的完整且準確的信息，企業(yè)將不僅可以減少其安全預算，還能夠更可靠地保護其網(wǎng)絡。這將有助于企業(yè)改進數(shù)據(jù)保護措施，以及更輕松地滿足數(shù)據(jù)保護法規(guī)合規(guī)性要求。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文