[[401420]]

 一些網(wǎng)絡(luò)攻擊，尤其是諸如目前似乎永無(wú)止境的勒索軟件事件之類的攻擊，對(duì)組織造成了一些非常嚴(yán)重的后果，比如面向客戶的服務(wù)會(huì)突然中斷、失去生產(chǎn)力、收入和聲譽(yù)下降，更不用說(shuō)補(bǔ)救的成本，比如支付贖金，以及可能的數(shù)據(jù)泄漏甚至是監(jiān)管罰款。但是，此類網(wǎng)絡(luò)事件不僅會(huì)造成對(duì)組織的損害，而且還會(huì)造成受害組織的人員變動(dòng)。從著名的“塔吉特黑客事件”開(kāi)始，到家得寶、索尼、Equifax和Imperva的黑客事件，幾位首席執(zhí)行官已經(jīng)被追究責(zé)任，并在嚴(yán)重的網(wǎng)絡(luò)事件后被迫辭職。

丟錢又丟人：塔吉特(Target)安全事件損失慘重

2013年年底，美國(guó)零售巨頭塔吉特(Target)宣布公司被黑客入侵，7000萬(wàn)的用戶個(gè)人信息和4000萬(wàn)的信用卡數(shù)據(jù)被盜，涉及用戶名、電話號(hào)碼、電子郵箱和信息卡信息等隱私數(shù)據(jù)。據(jù)估計(jì)塔吉特的損失可能達(dá)到10億美元，同時(shí)塔吉特還將向個(gè)人受害者支付最高10000美元的的損害賠償，并將增加數(shù)據(jù)安全保護(hù)措施。對(duì)公司內(nèi)部而言，因此安全事件，塔吉特辭退了時(shí)任CEO并重新任命一位首席信息安全官。

人們可能會(huì)認(rèn)為CISO(首席信息安全官)會(huì)成為這類攻擊的主要受害者，但行業(yè)分析機(jī)構(gòu)Gartner表示，到2024年，未來(lái)的網(wǎng)絡(luò)攻擊可能會(huì)導(dǎo)致75%的CEO承擔(dān)“個(gè)人責(zé)任”。簡(jiǎn)而言之，整個(gè)高管層需要為一次成功的網(wǎng)絡(luò)攻擊的后果做好背鍋準(zhǔn)備，因?yàn)榫W(wǎng)絡(luò)攻擊可能會(huì)損害那些負(fù)責(zé)確保組織安全的人的業(yè)務(wù)和職業(yè)生涯。

直到最近，企業(yè)還可以將網(wǎng)絡(luò)事件和數(shù)據(jù)泄漏事件隱藏起來(lái)，遠(yuǎn)離公眾的視線。然而，監(jiān)管的進(jìn)步、公眾情緒和網(wǎng)絡(luò)攻擊的性質(zhì)改變了這一切。

HIPAA，GDPR，CCPA，NYC DFS和許多其他數(shù)據(jù)泄漏通知和隱私法規(guī)使公司無(wú)法合法地掩蓋遭受重大網(wǎng)絡(luò)事件的事實(shí)。試圖輕描淡寫的公司和個(gè)人可能會(huì)受到追究和處罰，就像Uber的前CISO一樣，他現(xiàn)在被指控妨礙司法公正。據(jù)稱，他試圖掩蓋2016年的一次黑客攻擊。Uber 2016年發(fā)生了一起重大數(shù)據(jù)泄漏事件，該事件中黑客攻擊并竊取了5700萬(wàn)名Uber客戶和司機(jī)的個(gè)人數(shù)據(jù)，而Uber并沒(méi)有將此事告知監(jiān)管機(jī)構(gòu)，而選擇與黑客和解，支付10萬(wàn)美金讓黑客保持沉默。

攻擊的性質(zhì)也發(fā)生了變化，最近幾年的勒索軟件攻擊除了加密數(shù)據(jù)外還會(huì)向全世界宣布其竊取的大量數(shù)據(jù)。如果他們的贖金要求得不到滿足，攻擊者就揚(yáng)言要發(fā)布或出售被盜數(shù)據(jù)。在許多情況下，這意味著公眾幾乎肯定會(huì)意識(shí)到該事件，這時(shí)，如果受害者繼續(xù)否認(rèn)該事件甚至拒絕對(duì)此發(fā)表評(píng)論，則只會(huì)進(jìn)一步損害受害者的聲譽(yù)。此外，隨著公眾越來(lái)越了解關(guān)于其中保存的數(shù)據(jù)量及其敏感程度，越來(lái)越多的公司和組織被指責(zé)缺乏安全實(shí)踐?，F(xiàn)在，許多消費(fèi)者表示應(yīng)該對(duì)組織的安全疏忽負(fù)責(zé)，最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，英國(guó)35%的消費(fèi)者將CEO視為發(fā)生網(wǎng)絡(luò)事件時(shí)的首要責(zé)任人。201年奧地利飛機(jī)零部件制造商FACC公司宣布將解雇其CEO沃爾特·史蒂芬(Walter Stephan)，史蒂芬由于誤信詐騙郵件而令該公司損失4700萬(wàn)美元(約合人民幣3.09億元)。 監(jiān)管理事會(huì)做出這個(gè)決定是由于沃爾特·史蒂芬嚴(yán)重失職，特別是涉及到“假總裁事件”。雖然該公司并未透露關(guān)于這場(chǎng)騙局的更多細(xì)節(jié)，但“假總裁事件”卻是企業(yè)電子郵件攻擊的標(biāo)志性事件，“假總裁事件”指的是已在全世界蔓延的“CEO郵件騙局”，又稱為CEO欺詐或者釣鯨。手法是犯罪分子偽裝成公司首席執(zhí)行官或者其他高管,通過(guò)電子郵件下達(dá)虛假電匯指令。犯罪分子有時(shí)候聲稱這筆資金將用于收購(gòu)對(duì)手，要求進(jìn)行保密。

在其他情況下，高管也會(huì)被追究責(zé)任，因?yàn)榫W(wǎng)絡(luò)安全現(xiàn)在被認(rèn)為是一項(xiàng)基本的業(yè)務(wù)運(yùn)營(yíng)要求。例如，2018年新加坡最大的醫(yī)療保健集團(tuán)SingHealth遭受了大規(guī)模的數(shù)據(jù)泄露，暴露了150萬(wàn)患者記錄。被盜記錄包括患者的姓名，地址，性別，種族，日期出生和國(guó)民登記身份證(NRIC)號(hào)碼。包括其首席執(zhí)行官Bruce Liang在內(nèi)的五名高級(jí)管理人員因?qū)ingHealth安全漏洞的“集體領(lǐng)導(dǎo)責(zé)任”而被罰款。

高管們?nèi)绾未_保組織安全的七個(gè)步驟

有責(zé)任的組織可以遵循明確定義的企業(yè)安全路徑，限制安全破壞的風(fēng)險(xiǎn)和后果。步驟如下：

1.評(píng)估你的安全狀況，第一步是評(píng)估組織的安全狀況。最高管理者(CIO，CSO，CISO)需要對(duì)組織的安全機(jī)制有清晰和最新的了解，包括人員配備水平、培訓(xùn)、系統(tǒng)和程序、事件響應(yīng)和業(yè)務(wù)連續(xù)性。你是否仍在依賴傳統(tǒng)的防病毒解決方案，而這些解決方案容易被當(dāng)今的攻擊者所繞過(guò)?誰(shuí)負(fù)責(zé)威脅搜尋，每隔多長(zhǎng)時(shí)間搜尋一次?事件反應(yīng)程序是怎樣的?在我們現(xiàn)在面臨的高度安全環(huán)境中，當(dāng)從腳本小子到APT的攻擊者能夠訪問(wèn)和使用復(fù)雜的惡意軟件時(shí)，必須清楚地了解你當(dāng)前的安全狀況。

2.進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估，CEO和C級(jí)管理人員需要了解組織面臨的網(wǎng)絡(luò)威脅的性質(zhì)，目前有許多可用于風(fēng)險(xiǎn)評(píng)估的工具，包括使用行業(yè)基準(zhǔn)、政府和執(zhí)法機(jī)構(gòu)的建議以及威脅情報(bào)反饋。風(fēng)險(xiǎn)評(píng)估還應(yīng)包括監(jiān)管和商業(yè)風(fēng)險(xiǎn)，例如由于網(wǎng)絡(luò)攻擊而導(dǎo)致的聲譽(yù)損失。

3.制定企業(yè)范圍的安全計(jì)劃：清楚地了解組織所面臨的威脅和當(dāng)前的安全狀況，就有可能評(píng)估組織在哪些方面表現(xiàn)良好，哪些方面還有改進(jìn)的空間。根據(jù)組織的風(fēng)險(xiǎn)偏好制定計(jì)劃來(lái)解決這些差距是至關(guān)重要的。該計(jì)劃應(yīng)包括一個(gè)現(xiàn)代EDR平臺(tái)、事故響應(yīng)和緩解能力、備份系統(tǒng)和業(yè)務(wù)連續(xù)性程序。

4.分配足夠的資源：在制定和批準(zhǔn)安全計(jì)劃后，必須分配適當(dāng)?shù)娜藛T、組織和財(cái)務(wù)資源。這很關(guān)鍵。一項(xiàng)計(jì)劃如果沒(méi)有人力資源和財(cái)務(wù)資源的支持，則這不是真正的計(jì)劃，而是一廂情愿的想法。如果一個(gè)計(jì)劃因?yàn)樾枰M織不愿意做出的結(jié)構(gòu)性改變而無(wú)法實(shí)施，那它只是一個(gè)浪費(fèi)時(shí)間的想法。缺乏充分制定和批準(zhǔn)預(yù)算的計(jì)劃則表明這是沒(méi)有真正的意愿或意圖推動(dòng)變革。

5.持續(xù)進(jìn)行監(jiān)督：就算有實(shí)施周密、資源充足的計(jì)劃時(shí)，也必須進(jìn)行監(jiān)督并向高級(jí)管理層報(bào)告。如果一個(gè)應(yīng)急計(jì)劃只是部分執(zhí)行，沒(méi)有按照預(yù)期執(zhí)行，或者在實(shí)踐中不像預(yù)期那樣，則可能比沒(méi)有計(jì)劃更糟糕。安全主管還應(yīng)監(jiān)控業(yè)務(wù)運(yùn)營(yíng)的發(fā)展以及運(yùn)營(yíng)變更如何影響安全計(jì)劃。例如，突然轉(zhuǎn)移到在家工作的計(jì)劃明顯改變了組織所面臨的風(fēng)險(xiǎn)，但是有多少企業(yè)已經(jīng)更新了他們的安全計(jì)劃和解決方案來(lái)考慮到這一點(diǎn)呢?

6.進(jìn)行外部審核：建議進(jìn)行外部審核，以驗(yàn)證CISO的計(jì)劃及其執(zhí)行。這樣做的好處包括無(wú)黨派，客觀地了解你的準(zhǔn)備情況和實(shí)施情況，這不僅可以讓內(nèi)部相信你正在做正確的事情，而且還可以作為安全漏洞發(fā)生后迅速重建外部信任的重要組成部分。

7.計(jì)劃是否持續(xù)：在一個(gè)完整階段的安全計(jì)劃結(jié)束時(shí)，必須評(píng)估計(jì)劃的成功與否以及決定是否繼續(xù)執(zhí)行或進(jìn)行更改。許多組織認(rèn)為他們已經(jīng)有了一個(gè)很好的計(jì)劃，卻發(fā)現(xiàn)在實(shí)踐中一個(gè)行動(dòng)者已經(jīng)連續(xù)數(shù)月不斷地突破了他們的防御。

發(fā)生網(wǎng)絡(luò)攻擊時(shí)高管們?nèi)绾螒?yīng)對(duì)?

但衡量高管的標(biāo)準(zhǔn)不僅僅是他們的計(jì)劃和具體執(zhí)行情況，衡量它們的標(biāo)準(zhǔn)還包括它們對(duì)危機(jī)的反應(yīng)，當(dāng)危機(jī)來(lái)臨時(shí)，最好是按照預(yù)先設(shè)定的計(jì)劃行事。如果沒(méi)有的話，盡快引進(jìn)事件反應(yīng)和危機(jī)管理方面的專家。

高管們必須與董事會(huì)、員工、客戶和媒體及時(shí)公開(kāi)地溝通情況，迅速、誠(chéng)實(shí)和透明地做出反應(yīng)的組織通常會(huì)得到以上所有人的支持。

例如，2018年美版“知乎”Quora遭黑客入侵，1億用戶受影響。首席執(zhí)行官迅速做出反應(yīng)，發(fā)布了一個(gè)非常透明的博客文章，并通過(guò)電子郵件通知了所有用戶，并建立了專門的問(wèn)答站點(diǎn)，并將最新情況通報(bào)給用戶。

總結(jié)

保護(hù)你的組織免受當(dāng)今的網(wǎng)絡(luò)威脅是企業(yè)高管們的當(dāng)務(wù)之急，如今，那個(gè)只需要雇用IT管理員來(lái)安裝現(xiàn)成的防病毒軟件，并在網(wǎng)絡(luò)外圍建立防火墻就完事大吉的日子已經(jīng)一去不復(fù)返了。在當(dāng)今的云計(jì)算世界中，容器化的工作負(fù)載，遠(yuǎn)程的勞動(dòng)力以及令人眼花的不安全的IoT設(shè)備已經(jīng)讓網(wǎng)絡(luò)安全發(fā)生了質(zhì)變，再加上網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊者的呈指數(shù)級(jí)增長(zhǎng)和復(fù)雜性，需要高管們付的安全責(zé)任就越來(lái)越多了。

本文翻譯自：https://www.sentinelone.com/blog/the-c-suite-guide-to-cyber-safety-7-steps-to-securing-your-organization/如若轉(zhuǎn)載，請(qǐng)注明原文地址。