每一位首席信息安全官都应当轻松回答的四大网络安全问题
在我们有关改善网络安全策略的六部分博客系列的第一部分,我们将讨论行业对超分隔化方法的依赖如何降低每个人的安全性,并将分享四个每一位首席信息安全官应当轻松回答的关键问题。
IT 基础架构会随着公司一同成长。新的工具、应用程序、系统和用户配置文件在需求出现后即被纳入到整个基础架构当中,而这通常并没有经过过多的战略考量。围绕这些新增的资产会涌现许多的组织孤岛,因为团队会发现每一种新工具都需要采用新的技能来部署和维护。用不了多久,整个运行框架可能就会像是摇摇欲坠的老屋子,而在这上面每一代屋主都添置了一个新房间。
威胁常常潜伏在黑暗的角落里。无法预料的漏洞、日渐老化的技术、分散的数据中心、网络扩张、贪婪的知情者以及容易受骗的用户等等这些都会令威胁肆意扩散。随着企业 IT 基础架构组件日趋零散和分隔化,获得整个网络的全面可见性对于任何一个人或团队而言都困难重重。
阅读完整的 Cyber Exposure 系列博客:
识别贵公司 Cyber Exposure 缺口的 3 条建议
指标和成熟度:为企业的 Cyber Exposure 随时间设定基准
缺乏可见性使得发现这些孤立的威胁媒介变得异常艰难,更别说在发现后立即予以解决了。大多数情况下,这是因为现有的工具和策略只能用来解决特定、非整合的问题。我们常常看到的现象是,安全工具零零散散地部署在整个组织之中。我们看到运营团队、应用程序安全团队、DevOps 团队、网络安全团队、机器学习团队、高性能计算团队、安全运营中心 (SOC) 以及审计与合规团队各自寻求和部署不同的工具。同时,市面上的安全工具也并不短缺。超过 600 家供应商参加了 RSA Conference 2018 展会。
虽然这些问题屡见不鲜,但是随着攻击面不断扩大,解决这些问题已变得迫在眉睫。在我们与 IT 和网络安全专业人士共事过程中,我们经常听到他们谈论在保护整个企业使用的各种孤立应用程序和分散计算与存储平台方面遇到的挑战。运营技术 (OT) 和物联网设备彼此也面临着不同的问题,因为这些互联网连接的解决方案通常部署在 IT 组织的支持范围之外的地方。
在大多数情况下结果就是,为了能够同时管理多个解决方案,组织不得不通过 API 整合应用程序并将大量云归入单一管理平台范围。但即便是这种方法也只能作权宜之计。它并不能代替全面的网络安全策略。全面的网络安全策略注重整个网络的可见性并细致洞察潜藏其中的威胁,可以帮助组织高效地确定响应的优先顺序。我们称之为 Cyber Exposure。
Cyber Exposure 是用于在数字化时代管理和衡量网络安全风险的一种新兴方法。Cyber Exposure 将静态、孤立而无法洞悉全貌的安全机制,转型为可动态、全面掌握现代网络攻击面的安全能力。它可谓是构建涵盖整个现代网络攻击面的网络安全策略的基础。
每一位首席信息安全官都应当轻松回答的四个问题
采用 Cyber Exposure 方法构建全面网络安全策略,可以让您随时回答有关您组织的四大问题:
- 我们的安全程度和网络风险暴露的程度有多高? 要回答这个问题,您需要全方位了解组织的受攻击面,包括云资源、容器、工业控制系统以及移动设备,不论其是否在 IT 部门管控范围之内。您需要盘点贵公司存在的特定威胁位于哪些地方。例如,如果您的组织特别勤于部署补丁,那么相较于七年都未给系统打过补丁的企业,最新的 Windows 漏洞于您而言可能算不上什么大问题。通过认识到您的风险源自何处或者可能源自何处,您将可以从整体上了解哪些资产暴露于风险之中。
- 我们应该优先处理哪些事项?要回答这个问题,您需要结合威胁情报与资产关键性,了解漏洞的可利用价值,以及资产所处的业务环境。您需要将业务环境考虑在内,才能高效地确定响应漏洞的优先顺序,进而优化您的工作、资源和预算。而这将让您可以专注于保护可能会在劳动力、惩罚、时间、恢复和声誉方面对您组织构成重大影响的薄弱环节。此外它还可以帮助减少警报疲劳,因为您可以根据受影响资产对您业务的重要性以及特定漏洞被恶意利用的可能性,确定您团队响应漏洞的优先顺序。
- 我们如何逐渐减少暴露风险?您的答案将体现出您在减少暴露风险方面的工作进展。您需要确定用于衡量您工作的指标和 KPI。此类指标应当可以按照业务单元、地理区域和资产类型进行查看。其目标是了解您的暴露风险情况如何逐月、逐季度和逐年变化,让您可以帮助您业务方面的同事以及高管了解公司在网络安全上作的投资是否收到回报。
- 我们与同行业者相较如何?要回答此问题,您需要跳出公司的内部圈子,去了解您的网络安全实践相较于业内的其他公司以及其他行业的公司孰优孰劣。您的组织相较于同行以及业内最佳安全组织如何,对于每一个希望开展更具战略性的讨论的董事会而言都是一个非常重要的话题,并且可以帮助确保董事会大力支持他们委托的高管人员为公司提供适当的风险监督。网络风险与其他业务风险并没有什么区别,因此应当以相同的方式进行管理和衡量。
能否准确回答这四个问题对于理解总风险暴露以及您所采取的网络安全措施的有效性至关重要。但如果您面临的是一个分隔化严重的 IT 基础架构,那么要制定一个更加全面的策略,您可能连从哪里着手都弄不清楚。
您可以立即实施的三种网络安全实践
以下是三种非常实用的小技巧,您可以现学现用,帮助开启自己的全面网络安全策略之旅。
- 从钓鱼攻击到漏网之鱼,深入全面地了解漏洞。下一种攻击可能源自未知且意想不到的方向。臭名昭著的赌场鱼缸黑客攻击就是一个非常典型的例子,黑客通过鱼缸中的联网传感器从一家赌场窃取了 10 GB 的数据。事实上,IoT 设备数量的迅速增长也为不法分子入侵创造了大量机会,因此安全团队需要不断更新他们的漏洞列表。但是 IoT 设备并非唯一需要照亮并加强防范的隐藏角落。切不可忘记云服务和云环境、容器、视频监控系统、工业控制设备、零售终端装置、暖通空调系统,以及通常并非由 IT/SecOps 团队处理的其他联网系统。例如,在九月份,Tenable 研究人员披露了他们发现的新漏洞 Peekaboo,这种漏洞会潜在影响视频监控系统中使用的成千上万的联网摄像头。确保您的安全团队做到真正的全面兼顾,并配备能够及时察觉出现在新地方的漏洞的专业工具。
- 并非所有资产生而平等。非常有必要了解哪些资产对于您的企业最为关键,以便有的放矢、强而有力的应对威胁。相比于前台使用的用于登记访客的 iPad,公司首席财务官使用的 iPad 可能是价值更高的入侵目标。确保将最关键的资产摆在首要位置。立即着手确定每一项资产的关键性,并依照响应时间对其重要性进行排名。然后定期更新此信息。根据关键性构建资产库的一种好方法便是为资产添加标签。记得要在资产关键性评估过程中考量合规要求,例如 GDPR、HIPAA 和 PCI。
- 确定修复优先顺序。实际上在每年披露的数以千计的漏洞中,只有一小部分会被恶意利用。您需要知道在通常环境中哪些漏洞正被恶意利用,以及有关在不远的将来可能遭到攻击的对象的早期预警。掌握这类信息有助于安全团队根据资产关键性、威胁情报和概率分析,确定威胁响应的优先顺序。
了解详情
阅读完整的 Cyber Exposure 系列博客:
相关文章
FBI and CISA Release Cybersecurity Advisory on Royal Ransomware Group
March 3, 2023The FBI and CISA have released a joint Cybersecurity Advisory discussing the Royal ransomware group.
Cybersecurity Snapshot: A ChatGPT Special Edition About What Matters Most to Cyber Pros
March 3, 2023Since ChatGPT’s release in November, the world has seemingly been on an “all day, every day” discussion about the generative AI chatbot’s impressive skills, evident limitations and potential to be used for good and evil. In this special edition, we highlight six things about ChatGPT that matter right now to cybersecurity practitioners.
Tenable 2022 Threat Landscape Report: Reduce Your Exposure by Tackling Known Vulnerabilities
February 28, 2023Tenable’s annual analysis of the security and threat landscape offers guidance to help security professionals navigate the expanding attack surface.
