事实表明, 一些规模最大的数据泄露事件通常源于小错误.
在今年 5 月发生的针对 Colonial 管道进行的网络攻击事件中, 黑客使用该公司泄露的密码通过虚拟专用网络入侵 Colonial 公司的网络; Equifax 公司在 2017 年遭遇网络攻击的切入点是一个尚未修补的广为人知的漏洞; 而推特的比特币骗局始于对推特公司员工的鱼叉式网络钓鱼攻击.
虽然并没有完美的安全计划, 但此类事件表明网络安全团队不能忽视任何事情.
网络安全领导者表示, 企业需要警惕 8 个容易忽视的陷阱, 这些陷阱可能会破坏一些企业原本成功的安全计划:
1. 关注技术风险而不是业务风险
联合国项目事务署首席信息安全官, 国际信息系统审计与控制协会 (ISACA) 的董事会成员 Niel Harper 表示, 网络安全已成为企业董事会成员关注的话题, 但首席信息安全官以及其他高管往往继续将安全视为一种技术风险而不是业务风险.
Harper 表示, 当企业领导者狭隘地看待网络安全时将会带来负面影响.
他解释道,"当他们将信息安全视为技术风险而不是业务风险时, 就不会看到这样的风险会嵌入业务的各个方面. 因此, 首席信息安全官通常不会向企业董事会成员报告这种风险, 而是向下通知相关负责人员."
Harper 说, 已经看到一些首席信息安全官通过与利益相关者建立良好关系来扭转这种局面. 他们加强沟通以了解风险和目标, 然后向董事会成员展示其安全计划如何解决这两方面的问题.
2. 过分强调合规性
通常情况下, 企业必须遵循行业, 监管和法律标准才能更好开展业务. 其中著名的法规包括支付卡行业数据安全标准(PCI DSS), 适用于处理信用卡的企业; 美国健康保险流通与责任法案(HIPAA), 适用于处理医疗记录的任何人; 以及欧盟的通用数据保护条例(GDPR). 此外, 还有专门针对安全性的标准和框架, 例如 ISO/IEC27001 标准.
Harper 指出, 首席信息安全官不能忽视他们必须满足的合规性标准, 但他们和安全团队成员都不应该认为只要满足法规就证明其行为是安全可靠的.
他补充道:"合规性为企业带来了一种虚假的安全感. 事实上, 虽然许多企业遵守了这些法规, 但违规行为仍在增加."
Harper 表示, 企业不能忽视合规标准的重要性, 首席信息安全官必须始终知道, 并让其他高管了解这些要求不是动态的, 因此可能无法解决新出现的网络威胁, 也无法根据具体情况 (即人员配备, 技术堆栈, 风险) 准确衡量企业的安全性如何随着时间的推移而改变.
他说:"这样做并不能真正了解企业面临的风险和问题."
3. 在安全方面的动作不够快
很多企业正在通过迁移到云平台, 更敏捷的软件开发, 以及对客户需求的快速响应来加速实施数字化转型. 一些安全顾问指出, 并非所有首席信息安全官都能跟上安全发展步伐, 这导致了企业安全状况的整体差距.
一些企业也表达了类似的担忧. 根据 GitLab 公司于 2021 年 5 月发布的一份最新全球 DevSecOps 调查报告, 在针对 4300 名的开发人员的调查中, 约 84% 的受访者表示, 他们发布代码的速度比以往任何时候都快, 但近一半 (42%) 的受访者表示, 安全测试在发布过程中则太晚, 而几乎相同比例的受访者表示, 很难识别和解决安全漏洞. 此外, 37% 的受访者表示跟踪缺陷修复的状态是一项挑战, 33% 的受访者认为修复优先级难以确定.
UST 公司首席信息安全官 Tony Velleca 说,"安全方面需要更加敏捷, 首席信息安全官需要从根本上以不同的方式思考他们如何处理网络安全问题."
许多首席信息安全官似乎都明白了这一点. GitLab 公司在调查中发现, 70% 的开发团队在开发早期就考虑了安全性. 这比前一年略有上升, 当时 65% 的开发团队表示他们在开发的早期就嵌入了安全性.
4. 总是把注意力集中在紧急的事情上
德勤公司首席信息安全官兼网络风险服务战略, 防御与响应负责人 Andrew Morrison 表示, 安全计划面临的最大威胁之一是被安全团队被紧急事项所困扰.
他说, 首席信息安全官和他们的团队可能会忙于处理面临的最紧迫的需求 -- 即使这些是低级问题, 以至于他们没有时间和精力解决战略优先事项; 他们每天都在尽力解决那些突然出现的小问题, 而不是加强企业更关键元素的安全性.
Morrison 补充道,"对于他们来说, 安全性不再实施计划, 只是对正在发生的安全事件的一种战术反应. 因为紧迫的事情取代了重要的事情."
Morrison 指出, 尽管将安全团队从这样的场景中解救出来很有挑战性, 但首席信息安全官可以通过识别最大的风险并专注于应对这些风险, 从而使安全工作与企业优先级保持一致. 这反过来将使他们和安全团队在处理出现的问题时变得不那么被动, 更具战略性. Morrison 说:"首席信息安全官致力于管理安全事件, 而不仅仅是对事件做出反应."
5. 过分关注工具和技术, 而不是利益相关者及其需求
同样, 调研机构 Forrester 公司的首席分析师 Jinan Budge 表示, 未能优先考虑利益相关者的参与可能会阻碍安全计划的实施.
她解释道,"没有这些计划, 首席信息安全官不知道优先考虑什么或如何获得支持. 没有优先考虑利益相关者参与的首席信息安全官也更有可能面临其他高管的抵制, 甚至他们的项目资金可能被削减. 首席信息安全官因此需要审视他们的战略."
她表示, 除非他们与利益相关者密切合作, 共同创建和设计业务战略和网络安全战略, 否则他们不会全面了解企业的业务风险.
6. 在安全部门内缺乏安全意识
行业专家表示, 只是建立一支强大的安全团队, 但未能在企业中营造具有安全意识的文化, 也可能影响安全性.
统计数据证明了这一点. 根据 Verizon 公司在 2021 年发布的一份数据泄露调查报告, 2020 年 85% 的数据泄露事件与人为因素有关.
正如云计算技术开发商 Accurics 公司的首席信息安全官兼研究主管 Om Moolchandani 所说:"点击错误的链接可能会破坏首席信息安全官发布的议程."
首席信息安全官必须制定有效的安全意识和培训计划, 旨在帮助企业员工了解他们在安全方面可以发挥作用.
Morrison 说."安全文化很重要, 因为它是首席信息安全官及其安全团队的力量倍增器. 如今, 几乎每一次网络攻击都是通过破坏凭据或违反个人信任来实现的, 例如社交工程, 网络钓鱼, 获取密码. 因此, 有效的安全措施必须包括让每个人都意识到这些风险; 包括让安全成为每个人的工作的一部分."
7. 忽视自己的安全人员
经验丰富的安全领导者表示, 忽视团队成员和安全部门文化的首席信息安全官很快就会发现安全计划受到影响.
Budge 说,"人们通常认为运作不良的团队会影响成员的发展, 它也会影响网络安全态势和风险."Budge 的研究重点是如何使首席信息安全官获得成功, 制定变革性的网络安全战略, 并培养安全意识, 行为和文化.
她补充说:"如果安全团队不堪重负, 没有采用创新技术, 没有实现自动化, 也没有考虑更大的图景或战略. 这些因素都会导致安全团队难以发挥关键作用."
对现状不满意的员工更有可能离职. 这可能会使首席信息安全官面临人员短缺的情况, 这也会对团队产生负面影响. 她说,"员工离职将进一步增加安全团队的负面印象, 而员工之间可能难以更好沟通和交流."
Budge 说, 如果首席信息安全官发现面临这种情况, 他们需要发挥领导技能来实施管理和工作场所战略, 例如实施团队建设计划或培训计划, 这可以使他们的部门走上更好的发展道路.
8. 迷恋新事物
首席信息安全官可能选择越来越多的新兴技术和流程, 例如扩展检测和响应(XDR), 行为分析, 威胁追踪和零信任模型. 但是, 如果席信息安全官不能完美地执行可靠安全计划的更基本的元素, 并且如果没有根据企业的具体需求调整这些高级选项, 那么就不会带来真正的安全收益.
Moolchandani 说,"我们最近在对漏洞进行分析时看到, 网络攻击者利用了技术漏洞或安全漏洞."
他说, 为了真正有效, 企业需要针对其特定风险和可能的威胁源制定安全计划. 例如, 一家公用事业公司比一家小型零售商更有可能成为黑客和民族主义行为者的攻击目标, 尽管这些公司都容易受到攻击. 了解这些要点的首席信息安全官可以根据企业特殊要求定制安全策略. 他指出, 专注于完善网络安全的基础可以让安全团队即使在预算有限的情况下也能提供最大的价值.
来源: http://netsecurity.51cto.com/art/202109/683915.htm