新冠疫情導(dǎo)致全球經(jīng)濟(jì)衰退，企業(yè)裁員、預(yù)算緊縮接踵而至，但網(wǎng)絡(luò)攻擊和數(shù)字風(fēng)險(xiǎn)也創(chuàng)下歷史新高。新冠疫情期間，勒索軟件、重大數(shù)據(jù)泄露和隱私事件頻發(fā)，微盟刪庫(kù)、萬(wàn)豪二次泄露、Zoom安全風(fēng)波、小米隱私、越南APT組織入華…

[[325207]]

過(guò)去不到一周時(shí)間，我們就被下面這些事件刷屏：B站500萬(wàn)粉絲UP主NAS數(shù)據(jù)被勒索軟件鎖死、成人網(wǎng)站CAM泄露108億條數(shù)據(jù)(7TB)、特斯拉二手車(chē)數(shù)據(jù)泄露、蘋(píng)果iPhone曝出嚴(yán)重漏洞、全球最大域名注冊(cè)商Godaddy數(shù)據(jù)泄露、歐洲多家醫(yī)療機(jī)構(gòu)和臺(tái)灣兩大煉油廠被勒索軟件襲擊、中信銀行“笑果門(mén)”…甚至疫情期間的“受益股”，例如主流游戲平臺(tái)Valve(游戲源代碼泄露)、Switch(16萬(wàn)用戶數(shù)據(jù)泄露)也紛紛中招。

隨著疫情期間安全形勢(shì)的不斷升級(jí)，全球越來(lái)越多的企業(yè)領(lǐng)導(dǎo)者都將網(wǎng)絡(luò)安全視為頭等大事，將其視為亟待加強(qiáng)管理的戰(zhàn)略風(fēng)險(xiǎn)。

然而，研究機(jī)構(gòu)對(duì)高管和董事會(huì)成員的調(diào)查表明，企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理水平依然不盡如人意。

根據(jù)Marsh和微軟的《2019年全球網(wǎng)絡(luò)風(fēng)險(xiǎn)感知調(diào)查》發(fā)現(xiàn)，有79%的受訪者將網(wǎng)絡(luò)風(fēng)險(xiǎn)視為企業(yè)TOP5優(yōu)先關(guān)注對(duì)象之一，22%的受訪者表示網(wǎng)絡(luò)風(fēng)險(xiǎn)這是他們最關(guān)注的問(wèn)題。但是，只有11%的人對(duì)其組織的安全能力表示高度信任。

與此同時(shí)，美國(guó)公司董事協(xié)會(huì)在2019-2020年上市公司治理調(diào)查中，有66%的受訪者表示，他們的公司在上一年的董事會(huì)議程中至少解決了一次網(wǎng)絡(luò)風(fēng)險(xiǎn)問(wèn)題。盡管有董事會(huì)的關(guān)注，但是仍有61%的受訪者表示，他們的組織將把業(yè)務(wù)運(yùn)營(yíng)和計(jì)劃的優(yōu)先級(jí)放在網(wǎng)絡(luò)安全之上。

安全主管表示，他們對(duì)這些調(diào)查結(jié)果并不感到驚訝，因?yàn)榘踩L(fēng)險(xiǎn)管理仍未成熟，稍有風(fēng)吹草動(dòng)，許多高管就紛紛暴露出安全風(fēng)險(xiǎn)管理的短板。以下，是企業(yè)管理層和CISO常犯的五個(gè)風(fēng)險(xiǎn)管理錯(cuò)誤：

安全與業(yè)務(wù)缺乏一致性

多位CISO和高管顧問(wèn)表示，安全運(yùn)營(yíng)與業(yè)務(wù)策略之間缺乏一致性仍然是風(fēng)險(xiǎn)管理中最常見(jiàn)的錯(cuò)誤之一。

埃森哲安全部門(mén)董事總經(jīng)理兼北美負(fù)責(zé)人Ryan LaSalle說(shuō)：

LaSalle表示，安全和業(yè)務(wù)部門(mén)也未能統(tǒng)一其風(fēng)險(xiǎn)定義并建立他們認(rèn)為可接受的風(fēng)險(xiǎn)水平，這進(jìn)一步加劇了安全性和業(yè)務(wù)部門(mén)之間的脫節(jié)，并使有效的風(fēng)險(xiǎn)管理變得更加困難。

他解釋?zhuān)谠S多情況下，業(yè)務(wù)和安全對(duì)風(fēng)險(xiǎn)及其影響的看法有所不同，安全有時(shí)無(wú)法為業(yè)務(wù)區(qū)分固有風(fēng)險(xiǎn)與實(shí)施控制和緩解措施后留下的剩余風(fēng)險(xiǎn)之間的區(qū)別。

Ryan建議CISO闡明與特定業(yè)務(wù)目標(biāo)相關(guān)的風(fēng)險(xiǎn)、如何降低風(fēng)險(xiǎn)、可以降低風(fēng)險(xiǎn)的程度以及以何種成本降低風(fēng)險(xiǎn)，以便業(yè)務(wù)和安全部門(mén)對(duì)風(fēng)險(xiǎn)有相同的了解，該組織正在采取行動(dòng)。他補(bǔ)充說(shuō)：

安全能見(jiàn)度低

許多高管正在以“瞎子摸象”的方式管理部分(而非全部)組織的風(fēng)險(xiǎn)，因?yàn)樗麄儗?duì)企業(yè)安全風(fēng)險(xiǎn)沒(méi)有完全的了解。

畢馬威(KPMG)網(wǎng)絡(luò)安全服務(wù)全球聯(lián)合負(fù)責(zé)人托尼·布豐曼特(Tony Buffomante)表示：“人們普遍認(rèn)為企業(yè)對(duì)情況有完整的了解，這顯然是一個(gè)誤會(huì)。”事實(shí)上，很多CISO并沒(méi)有完整的IT資產(chǎn)清單，也沒(méi)有員工和業(yè)務(wù)部門(mén)使用的所有第三方供應(yīng)商和云應(yīng)用程序的完整列表。他說(shuō)：“結(jié)果，許多公司僅對(duì)不健全或不準(zhǔn)確的庫(kù)存執(zhí)行風(fēng)險(xiǎn)評(píng)估程序。”

不少業(yè)內(nèi)人士支持該觀點(diǎn)：CISO常常對(duì)他們的企業(yè)環(huán)境沒(méi)有完整的了解。其背后的原因各不相同。有時(shí)，被收購(gòu)的公司沒(méi)有完全融入母公司。有時(shí)，各部門(mén)運(yùn)行自己的技術(shù)業(yè)務(wù)并在這些孤島周?chē)鸶綦x墻。無(wú)論出于何種原因，這種情況都會(huì)使CISO無(wú)法全面評(píng)估整個(gè)組織面臨的風(fēng)險(xiǎn)。

與此同時(shí)，許多安全運(yùn)營(yíng)團(tuán)隊(duì)對(duì)自己的工作的了解有限，Insight的安全咨詢業(yè)務(wù)高級(jí)經(jīng)理Mike Sprunger認(rèn)為，這是因?yàn)榘踩珗F(tuán)隊(duì)沒(méi)有使用可幫助他們量化和跟蹤風(fēng)險(xiǎn)變化的指標(biāo)。他說(shuō)，中小型組織通常不跟蹤風(fēng)險(xiǎn)指標(biāo)，因?yàn)樗鼈內(nèi)狈Υ祟?lèi)實(shí)踐的資金和專(zhuān)業(yè)知識(shí)，而大型公司有時(shí)也不跟蹤，因?yàn)樗鼈儗?duì)此類(lèi)工作的復(fù)雜性感到不知所措。

不少安全顧問(wèn)承認(rèn)，全面了解技術(shù)環(huán)境和安全運(yùn)營(yíng)需要花費(fèi)大量精力。CISO必須依靠他們的執(zhí)行技能來(lái)打破長(zhǎng)期存在的IT孤島，而且他們必須優(yōu)先考慮監(jiān)督要求，以創(chuàng)建可以提供定量觀測(cè)分析的指標(biāo)計(jì)劃。

Sprunger補(bǔ)充道：

框架優(yōu)先

復(fù)雜性是企業(yè)網(wǎng)絡(luò)安全面臨的的最大挑戰(zhàn)，因此也產(chǎn)生了很多框架來(lái)幫助企業(yè)盡快提高網(wǎng)絡(luò)安全成熟度并從網(wǎng)絡(luò)安全投資中獲得最大受益。但是，企業(yè)安全主管們不要迷信“框架即正義“。AttackIQ客戶成功副總裁克里斯托弗·肯尼迪(Christopher Kennedy)認(rèn)為，過(guò)于關(guān)注使用監(jiān)管和合規(guī)性框架來(lái)管理風(fēng)險(xiǎn)是有風(fēng)險(xiǎn)的。

他說(shuō)，一些安全領(lǐng)導(dǎo)者錯(cuò)誤地過(guò)分強(qiáng)調(diào)了滿足框架要求，并將遵守框架視為最終目標(biāo)，而不是將資源集中在理解自己組織的獨(dú)特需求上，使安全計(jì)劃與業(yè)務(wù)戰(zhàn)略保持一致。并縮小安全計(jì)劃中的差距。

肯尼迪說(shuō)：

肯尼迪并沒(méi)有完全否認(rèn)框架的價(jià)值。然而他說(shuō)，組織需要將框架的要求與企業(yè)戰(zhàn)略、行業(yè)風(fēng)險(xiǎn)特性、風(fēng)險(xiǎn)承受力聯(lián)系。

缺乏針對(duì)性

如今所有企業(yè)和組織都面臨不斷增長(zhǎng)的威脅、攻擊矢量和漏洞。CISO可能會(huì)試圖解決所有這些威脅。但是，很多CISO和安全顧問(wèn)認(rèn)為，這種眉毛胡子一把抓的方法是錯(cuò)誤的。相反，他們需要更加專(zhuān)注。

Coinbase的CISO Philip Martin說(shuō)：

Martin表示，缺乏重點(diǎn)的方法會(huì)稀釋本就稀缺的人力資源并增加費(fèi)用，而安全狀況和風(fēng)險(xiǎn)管理能力卻不會(huì)相應(yīng)提高。

為了最好地管理風(fēng)險(xiǎn)，他和其他安全負(fù)責(zé)人表示，組織應(yīng)該更具針對(duì)性。

Martin說(shuō)：

例如，一家汽車(chē)零制造工廠需要優(yōu)先考慮保護(hù)其知識(shí)產(chǎn)權(quán)和基礎(chǔ)設(shè)施，而不是銀行木馬。

沒(méi)有考慮時(shí)間因素

盡管安全或合規(guī)審核可以讓管理層了解安全運(yùn)營(yíng)狀況，但專(zhuān)家警告說(shuō)，審核或?qū)徲?jì)結(jié)果僅反映審核時(shí)的安全表現(xiàn)，不能保證未來(lái)的有效性。尤其是考慮到新威脅的發(fā)展速度，以及安全策略和風(fēng)險(xiǎn)評(píng)估同樣需要迅速變化以應(yīng)對(duì)這些威脅。

Buffomante指出：

企業(yè)開(kāi)始通過(guò)實(shí)施自動(dòng)化，機(jī)器學(xué)習(xí)和人工智能來(lái)生成更多實(shí)時(shí)安全評(píng)估，來(lái)逐漸滿足這一需求。然后，企業(yè)需要?jiǎng)?chuàng)建流程，更快地通過(guò)實(shí)時(shí)評(píng)估來(lái)調(diào)整和管理風(fēng)險(xiǎn)。

但是，安全領(lǐng)導(dǎo)者們強(qiáng)調(diào)，企業(yè)還必須認(rèn)識(shí)到，解決新發(fā)現(xiàn)的風(fēng)險(xiǎn)的舉措往往需要更多時(shí)間。

LaSalle說(shuō)：“分析的速度目前超過(guò)了決策和采取行動(dòng)的速度。”安全團(tuán)隊(duì)必須將其納入計(jì)劃和進(jìn)度報(bào)告中。如果安全部門(mén)要求IT部門(mén)和業(yè)務(wù)部門(mén)協(xié)同應(yīng)對(duì)新威脅，將風(fēng)險(xiǎn)降低到可接受的水平，那么安全部門(mén)就要做好準(zhǔn)備，接受各種不可控的延遲。

您不希望安全團(tuán)隊(duì)的敦促使業(yè)務(wù)部門(mén)產(chǎn)生抵觸情緒，安全部門(mén)的指南、緩解或者強(qiáng)化措施需要針對(duì)業(yè)務(wù)部門(mén)提供循序漸進(jìn)的計(jì)劃，確保其中的要求在業(yè)務(wù)部門(mén)力所能及的范圍內(nèi)。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文