[[426304]]

事實表明，一些規(guī)模最大的數(shù)據(jù)泄露事件通常源于小錯誤。

在今年5月發(fā)生的針對Colonial管道進行的網(wǎng)絡攻擊事件中，黑客使用該公司泄露的密碼通過虛擬專用網(wǎng)絡入侵Colonial公司的網(wǎng)絡;Equifax公司在2017年遭遇網(wǎng)絡攻擊的切入點是一個尚未修補的廣為人知的漏洞;而推特的比特幣騙局始于對推特公司員工的魚叉式網(wǎng)絡釣魚攻擊。

雖然并沒有完美的安全計劃，但此類事件表明網(wǎng)絡安全團隊不能忽視任何事情。

網(wǎng)絡安全領導者表示，企業(yè)需要警惕8個容易忽視的陷阱，這些陷阱可能會破壞一些企業(yè)原本成功的安全計劃：

1.關注技術風險而不是業(yè)務風險

聯(lián)合國項目事務署首席信息安全官、國際信息系統(tǒng)審計與控制協(xié)會(ISACA)的董事會成員Niel Harper表示，網(wǎng)絡安全已成為企業(yè)董事會成員關注的話題，但首席信息安全官以及其他高管往往繼續(xù)將安全視為一種技術風險而不是業(yè)務風險。

Harper表示，當企業(yè)領導者狹隘地看待網(wǎng)絡安全時將會帶來負面影響。

他解釋道，“當他們將信息安全視為技術風險而不是業(yè)務風險時，就不會看到這樣的風險會嵌入業(yè)務的各個方面。因此，首席信息安全官通常不會向企業(yè)董事會成員報告這種風險，而是向下通知相關負責人員。”

Harper說，已經(jīng)看到一些首席信息安全官通過與利益相關者建立良好關系來扭轉這種局面。他們加強溝通以了解風險和目標，然后向董事會成員展示其安全計劃如何解決這兩方面的問題。

2.過分強調(diào)合規(guī)性

通常情況下，企業(yè)必須遵循行業(yè)、監(jiān)管和法律標準才能更好開展業(yè)務。其中著名的法規(guī)包括支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)，適用于處理信用卡的企業(yè);美國健康保險流通與責任法案(HIPAA)，適用于處理醫(yī)療記錄的任何人;以及歐盟的通用數(shù)據(jù)保護條例(GDPR)。此外，還有專門針對安全性的標準和框架，例如ISO/IEC27001標準。

Harper指出，首席信息安全官不能忽視他們必須滿足的合規(guī)性標準，但他們和安全團隊成員都不應該認為只要滿足法規(guī)就證明其行為是安全可靠的。

他補充道：“合規(guī)性為企業(yè)帶來了一種虛假的安全感。事實上，雖然許多企業(yè)遵守了這些法規(guī)，但違規(guī)行為仍在增加。”

Harper表示，企業(yè)不能忽視合規(guī)標準的重要性，首席信息安全官必須始終知道，并讓其他高管了解這些要求不是動態(tài)的，因此可能無法解決新出現(xiàn)的網(wǎng)絡威脅，也無法根據(jù)具體情況(即人員配備、技術堆棧、風險)準確衡量企業(yè)的安全性如何隨著時間的推移而改變。

他說：“這樣做并不能真正了解企業(yè)面臨的風險和問題。”

3.在安全方面的動作不夠快

很多企業(yè)正在通過遷移到云平臺、更敏捷的軟件開發(fā)，以及對客戶需求的快速響應來加速實施數(shù)字化轉型。一些安全顧問指出，并非所有首席信息安全官都能跟上安全發(fā)展步伐，這導致了企業(yè)安全狀況的整體差距。

一些企業(yè)也表達了類似的擔憂。根據(jù)GitLab公司于2021年5月發(fā)布的一份最新全球DevSecOps調(diào)查報告，在針對4300名的開發(fā)人員的調(diào)查中，約84%的受訪者表示，他們發(fā)布代碼的速度比以往任何時候都快，但近一半(42%)的受訪者表示，安全測試在發(fā)布過程中則太晚，而幾乎相同比例的受訪者表示，很難識別和解決安全漏洞。此外，37%的受訪者表示跟蹤缺陷修復的狀態(tài)是一項挑戰(zhàn)，33%的受訪者認為修復優(yōu)先級難以確定。

UST公司首席信息安全官Tony Velleca說，“安全方面需要更加敏捷，首席信息安全官需要從根本上以不同的方式思考他們?nèi)绾翁幚砭W(wǎng)絡安全問題。”

許多首席信息安全官似乎都明白了這一點。GitLab公司在調(diào)查中發(fā)現(xiàn)，70%的開發(fā)團隊在開發(fā)早期就考慮了安全性。這比前一年略有上升，當時65%的開發(fā)團隊表示他們在開發(fā)的早期就嵌入了安全性。

4.總是把注意力集中在緊急的事情上

德勤公司首席信息安全官兼網(wǎng)絡風險服務戰(zhàn)略、防御與響應負責人Andrew Morrison表示，安全計劃面臨的最大威脅之一是被安全團隊被緊急事項所困擾。

他說，首席信息安全官和他們的團隊可能會忙于處理面臨的最緊迫的需求——即使這些是低級問題，以至于他們沒有時間和精力解決戰(zhàn)略優(yōu)先事項;他們每天都在盡力解決那些突然出現(xiàn)的小問題，而不是加強企業(yè)更關鍵元素的安全性。

Morrison補充道，“對于他們來說，安全性不再實施計劃，只是對正在發(fā)生的安全事件的一種戰(zhàn)術反應。因為緊迫的事情取代了重要的事情。”

Morrison指出，盡管將安全團隊從這樣的場景中解救出來很有挑戰(zhàn)性，但首席信息安全官可以通過識別最大的風險并專注于應對這些風險，從而使安全工作與企業(yè)優(yōu)先級保持一致。這反過來將使他們和安全團隊在處理出現(xiàn)的問題時變得不那么被動，更具戰(zhàn)略性。Morrison說：“首席信息安全官致力于管理安全事件，而不僅僅是對事件做出反應。”

5.過分關注工具和技術，而不是利益相關者及其需求

同樣，調(diào)研機構Forrester公司的首席分析師Jinan Budge表示，未能優(yōu)先考慮利益相關者的參與可能會阻礙安全計劃的實施。

她解釋道，“沒有這些計劃，首席信息安全官不知道優(yōu)先考慮什么或如何獲得支持。沒有優(yōu)先考慮利益相關者參與的首席信息安全官也更有可能面臨其他高管的抵制，甚至他們的項目資金可能被削減。首席信息安全官因此需要審視他們的戰(zhàn)略。”

她表示，除非他們與利益相關者密切合作，共同創(chuàng)建和設計業(yè)務戰(zhàn)略和網(wǎng)絡安全戰(zhàn)略，否則他們不會全面了解企業(yè)的業(yè)務風險。

6.在安全部門內(nèi)缺乏安全意識

行業(yè)專家表示，只是建立一支強大的安全團隊，但未能在企業(yè)中營造具有安全意識的文化，也可能影響安全性。

統(tǒng)計數(shù)據(jù)證明了這一點。根據(jù)Verizon公司在2021年發(fā)布的一份數(shù)據(jù)泄露調(diào)查報告，2020年85%的數(shù)據(jù)泄露事件與人為因素有關。

正如云計算技術開發(fā)商Accurics公司的首席信息安全官兼研究主管Om Moolchandani所說：“點擊錯誤的鏈接可能會破壞首席信息安全官發(fā)布的議程。”

首席信息安全官必須制定有效的安全意識和培訓計劃，旨在幫助企業(yè)員工了解他們在安全方面可以發(fā)揮作用。

Morrison說。“安全文化很重要，因為它是首席信息安全官及其安全團隊的力量倍增器。如今，幾乎每一次網(wǎng)絡攻擊都是通過破壞憑據(jù)或違反個人信任來實現(xiàn)的，例如社交工程、網(wǎng)絡釣魚、獲取密碼。因此，有效的安全措施必須包括讓每個人都意識到這些風險;包括讓安全成為每個人的工作的一部分。”

7.忽視自己的安全人員

經(jīng)驗豐富的安全領導者表示，忽視團隊成員和安全部門文化的首席信息安全官很快就會發(fā)現(xiàn)安全計劃受到影響。

Budge說，“人們通常認為運作不良的團隊會影響成員的發(fā)展，它也會影響網(wǎng)絡安全態(tài)勢和風險。”Budge的研究重點是如何使首席信息安全官獲得成功，制定變革性的網(wǎng)絡安全戰(zhàn)略，并培養(yǎng)安全意識、行為和文化。

她補充說：“如果安全團隊不堪重負，沒有采用創(chuàng)新技術，沒有實現(xiàn)自動化，也沒有考慮更大的圖景或戰(zhàn)略。這些因素都會導致安全團隊難以發(fā)揮關鍵作用。”

對現(xiàn)狀不滿意的員工更有可能離職。這可能會使首席信息安全官面臨人員短缺的情況，這也會對團隊產(chǎn)生負面影響。她說，“員工離職將進一步增加安全團隊的負面印象，而員工之間可能難以更好溝通和交流。”

Budge說，如果首席信息安全官發(fā)現(xiàn)面臨這種情況，他們需要發(fā)揮領導技能來實施管理和工作場所戰(zhàn)略，例如實施團隊建設計劃或培訓計劃，這可以使他們的部門走上更好的發(fā)展道路。

8.迷戀新事物

首席信息安全官可能選擇越來越多的新興技術和流程，例如擴展檢測和響應(XDR)、行為分析、威脅追蹤和零信任模型。但是，如果席信息安全官不能完美地執(zhí)行可靠安全計劃的更基本的元素，并且如果沒有根據(jù)企業(yè)的具體需求調(diào)整這些高級選項，那么就不會帶來真正的安全收益。

Moolchandani說，“我們最近在對漏洞進行分析時看到，網(wǎng)絡攻擊者利用了技術漏洞或安全漏洞。”

他說，為了真正有效，企業(yè)需要針對其特定風險和可能的威脅源制定安全計劃。例如，一家公用事業(yè)公司比一家小型零售商更有可能成為黑客和民族主義行為者的攻擊目標，盡管這些公司都容易受到攻擊。了解這些要點的首席信息安全官可以根據(jù)企業(yè)特殊要求定制安全策略。他指出，專注于完善網(wǎng)絡安全的基礎可以讓安全團隊即使在預算有限的情況下也能提供最大的價值。