近日，美國(guó)電視頻道和品牌Nickelodeon被曝成為數(shù)據(jù)泄露的受害者。據(jù)消息人士透露，此次泄密事件發(fā)生在2023年初，但涉及的大部分?jǐn)?shù)據(jù)“只與生產(chǎn)文件有關(guān)，與長(zhǎng)格式內(nèi)容或員工或用戶(hù)數(shù)據(jù)無(wú)關(guān)，而且似乎有幾十年的歷史。”這一模棱兩可的聲明的含義是：由于這些數(shù)據(jù)是舊的，與個(gè)人的個(gè)人身份信息(PII)或任何尚未公開(kāi)的專(zhuān)有信息無(wú)關(guān)，這沒(méi)有被列入嚴(yán)重事件范圍。

讓我們假設(shè)Nickelodeon沒(méi)有因?yàn)檫@一事件受到任何實(shí)質(zhì)性的傷害——太棒了!然而，很可能有一些我們不知道的事實(shí)。任何時(shí)候，只要專(zhuān)有數(shù)據(jù)最終到達(dá)了不應(yīng)該出現(xiàn)的地方，安全專(zhuān)業(yè)人士的腦海中就應(yīng)該響起警鐘。如果“幾十年前”的文件確實(shí)包含PII，結(jié)果會(huì)是什么?有些數(shù)據(jù)可能無(wú)關(guān)緊要，但有些可能是至關(guān)重要的。如果這些文件包含其他受保護(hù)或私有的數(shù)據(jù)，該怎么辦?如果他們損害了品牌的完整性怎么辦?所有企業(yè)都需要考慮“假設(shè)”，并將最壞的和基本的情況應(yīng)用到他們當(dāng)前的安全實(shí)踐中。

Nickelodeon一案提出了一個(gè)問(wèn)題，即是否有必要保留“幾十年前”的數(shù)據(jù)。雖然保留歷史數(shù)據(jù)在某些情況下可以使企業(yè)受益，但保留的每一條數(shù)據(jù)都會(huì)增加公司的攻擊面并增加風(fēng)險(xiǎn)。為什么Nickelodeon要將舊文件保存在易于訪問(wèn)的位置?如果文件位于單獨(dú)的位置，安全團(tuán)隊(duì)很可能沒(méi)有對(duì)訪問(wèn)文件應(yīng)用足夠的控制。鑒于確保技術(shù)及其所有固有復(fù)雜性的成本已經(jīng)高得驚人，CISO需要優(yōu)先為所有安全項(xiàng)目和流程分配預(yù)算和勞動(dòng)力，包括所有過(guò)去、現(xiàn)在和未來(lái)的數(shù)據(jù)保護(hù)項(xiàng)目和流程。

在經(jīng)濟(jì)低迷的情況下，平衡系統(tǒng)安全和預(yù)算需要技巧和悟性。然而，即使在繁榮時(shí)期，在這個(gè)問(wèn)題上投入更多的資金也不總是有幫助的。沒(méi)有證據(jù)表明，安全支出的增加會(huì)按比例改善企業(yè)的安全態(tài)勢(shì)。事實(shí)上，一些研究表明，過(guò)多的安全工具會(huì)導(dǎo)致更多的混亂和復(fù)雜性。因此，首席財(cái)務(wù)官應(yīng)側(cè)重于業(yè)務(wù)風(fēng)險(xiǎn)容忍度和降低。

網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的方法

因?yàn)闆](méi)有兩個(gè)企業(yè)是完全相同的，所以每個(gè)CISO都必須找到一種與企業(yè)的目標(biāo)、文化和風(fēng)險(xiǎn)承受能力相一致的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法。預(yù)算在這里也發(fā)揮著重要作用，但如果安全目標(biāo)與業(yè)務(wù)目標(biāo)保持一致，獲得更多預(yù)算將是一項(xiàng)更容易的任務(wù)。在評(píng)估了這些考慮因素之后，CISO可能會(huì)發(fā)現(xiàn)他們的企業(yè)采用一種或多種核心風(fēng)險(xiǎn)管理方法。

基于風(fēng)險(xiǎn)容忍度的方法

每家公司--甚至公司內(nèi)部的每個(gè)部門(mén)——都對(duì)他們?cè)敢獬袚?dān)的風(fēng)險(xiǎn)的數(shù)量和類(lèi)型有一定的容忍度。特定于安全的容忍度必須基于期望的業(yè)務(wù)結(jié)果;網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不能僅基于網(wǎng)絡(luò)安全努力來(lái)確定或計(jì)算，而是這些努力如何支持更大的企業(yè)。

要使網(wǎng)絡(luò)安全與業(yè)務(wù)風(fēng)險(xiǎn)保持一致，安全團(tuán)隊(duì)必須通過(guò)考慮以下問(wèn)題來(lái)解決業(yè)務(wù)彈性問(wèn)題：

• 如果發(fā)生網(wǎng)絡(luò)安全事件，業(yè)務(wù)會(huì)受到怎樣的影響?
• 網(wǎng)絡(luò)事件或數(shù)據(jù)泄露對(duì)生產(chǎn)效率、運(yùn)營(yíng)和財(cái)務(wù)有何影響?
• 企業(yè)內(nèi)部處理活動(dòng)的能力有多強(qiáng)?
• 需要哪些外部資源來(lái)支持內(nèi)部能力?

有了這些問(wèn)題的答案和支持它們的指標(biāo)，就可以適當(dāng)?shù)卦O(shè)置網(wǎng)絡(luò)風(fēng)險(xiǎn)級(jí)別。

基于成熟度的方法

如今，許多公司根據(jù)他們認(rèn)為自己的網(wǎng)絡(luò)安全團(tuán)隊(duì)和控制措施的成熟程度來(lái)評(píng)估他們的網(wǎng)絡(luò)風(fēng)險(xiǎn)承受能力。例如，擁有支持全部經(jīng)驗(yàn)員工的內(nèi)部安全運(yùn)營(yíng)中心(SOC)的公司可能比僅僅啟動(dòng)和運(yùn)行其安全團(tuán)隊(duì)的公司更有能力處理持續(xù)監(jiān)控和漏洞分類(lèi)。成熟的安全團(tuán)隊(duì)擅長(zhǎng)對(duì)關(guān)鍵漏洞進(jìn)行優(yōu)先排序和補(bǔ)救，并在迫在眉睫的威脅上縮小差距，這通常會(huì)使他們具有更高的安全風(fēng)險(xiǎn)容忍度。

也就是說(shuō)，許多SOC團(tuán)隊(duì)被數(shù)據(jù)、警報(bào)和技術(shù)維護(hù)壓得喘不過(guò)氣來(lái)，無(wú)法專(zhuān)注于降低風(fēng)險(xiǎn)。如果一家公司決定采用基于成熟度的方法，它必須做的第一件事是誠(chéng)實(shí)地評(píng)估自己的安全成熟度、功能和有效性級(jí)別。一個(gè)真正成熟的網(wǎng)絡(luò)安全企業(yè)可以更好地管理風(fēng)險(xiǎn)，但無(wú)論成熟程度如何，自我意識(shí)對(duì)安全團(tuán)隊(duì)來(lái)說(shuō)都是至關(guān)重要的。

基于預(yù)算的方法

如今，預(yù)算限制在企業(yè)的各個(gè)方面都很普遍，運(yùn)行一個(gè)人員齊全、裝備齊全的網(wǎng)絡(luò)安全計(jì)劃在成本方面并不劃算。然而，擁有大量員工和技術(shù)的企業(yè)在安全性或風(fēng)險(xiǎn)方面并不一定表現(xiàn)得更好。這一切都是關(guān)于精通預(yù)算，這將是對(duì)現(xiàn)有系統(tǒng)的真正稱(chēng)贊。

投資于將企業(yè)推向零信任架構(gòu)的工具，首先關(guān)注安全基礎(chǔ)和良好衛(wèi)生。通過(guò)奠定正確的基礎(chǔ)，并擁有稱(chēng)職的員工來(lái)管理它們，網(wǎng)絡(luò)安全團(tuán)隊(duì)將比在沒(méi)有掌握CIS頂級(jí)控制的情況下實(shí)施最新和最偉大的工具：企業(yè)和軟件資產(chǎn)的庫(kù)存和控制、基本數(shù)據(jù)保護(hù)、安全配置管理、強(qiáng)化訪問(wèn)管理、日志管理等更好。

基于威脅的方法

基于威脅的風(fēng)險(xiǎn)管理方法的一個(gè)重要方面是理解漏洞和威脅不是一回事。公開(kāi)的漏洞可能導(dǎo)致威脅(因此應(yīng)該成為每個(gè)企業(yè)安全流程和計(jì)劃的標(biāo)準(zhǔn)部分)。然而，“威脅”指的是漏洞有可能被利用的人或事件。威脅還依賴(lài)于系統(tǒng)或資源的上下文和可用性。

例如，Log4Shell漏洞利用了Log4j漏洞。該漏洞對(duì)運(yùn)行該實(shí)用程序的未打補(bǔ)丁版本的企業(yè)造成威脅。沒(méi)有運(yùn)行未打補(bǔ)丁的版本的企業(yè)——沒(méi)有威脅。

因此，各企業(yè)必須具體了解：

• 其IT產(chǎn)業(yè)中的所有資產(chǎn)和實(shí)體。
• 這些資產(chǎn)的安全衛(wèi)生狀況(時(shí)間點(diǎn)和歷史)。
• 資產(chǎn)的背景(非關(guān)鍵、業(yè)務(wù)關(guān)鍵;暴露在互聯(lián)網(wǎng)上或有空隙;等等)。
• 為確保這些資產(chǎn)的安全而實(shí)施的和操作的控制。

有了這些信息和環(huán)境，安全團(tuán)隊(duì)就可以開(kāi)始構(gòu)建適合企業(yè)及其風(fēng)險(xiǎn)承受能力的威脅模型。反過(guò)來(lái)，使用的威脅模型將允許團(tuán)隊(duì)對(duì)威脅進(jìn)行優(yōu)先排序和管理，并更有效地降低風(fēng)險(xiǎn)。

基于人員、流程和技術(shù)的方法

人、流程和技術(shù)(PPT)通常被認(rèn)為是技術(shù)的“三大支柱”。一些安全專(zhuān)家認(rèn)為PPT是一個(gè)框架。無(wú)論從哪個(gè)角度來(lái)看，PPT都是最全面的風(fēng)險(xiǎn)管理方法。

PPT方法的目標(biāo)是允許安全團(tuán)隊(duì)全面管理風(fēng)險(xiǎn)，同時(shí)納入企業(yè)的成熟度、預(yù)算、威脅概況、人力資源、技能集和整個(gè)企業(yè)的技術(shù)堆棧，以及其運(yùn)營(yíng)和程序、風(fēng)險(xiǎn)偏好等。一個(gè)平衡良好的PPT計(jì)劃是一個(gè)多層次的計(jì)劃，它均勻地依賴(lài)于這三個(gè)支柱;其中一個(gè)領(lǐng)域的任何弱點(diǎn)都會(huì)傾斜天平，并使安全團(tuán)隊(duì)更難取得成功-并管理風(fēng)險(xiǎn)。

結(jié)束語(yǔ)

每個(gè)企業(yè)都應(yīng)該仔細(xì)評(píng)估其個(gè)人能力、業(yè)務(wù)目標(biāo)和可用資源，以確定最適合它們的風(fēng)險(xiǎn)管理戰(zhàn)略。無(wú)論選擇哪條道路，安全團(tuán)隊(duì)都必須與業(yè)務(wù)保持一致，并讓企業(yè)利益相關(guān)者參與進(jìn)來(lái)，以確保持續(xù)的支持。