如何成为与业务安全保持一致的信息安全领导者

坏消息是什么？业务和网络安全之间存在脱节。好消息是什么？只要保持一致，结果就会大不同。

只要曾经担任过 CISO、CSO 或其他网络安全领导职位的人员，就很可能经常被 CEO、董事会成员或其他高级管理人员问到“我们有多安全？”这样的问题。但众所周知，其实这个问题另有深意，并非表面那么简单。

在企业风险快速转变的当下，包括疫情全球大流行、经济衰退以及远程办公等现实，全球各地的网络攻击与威胁甚嚣尘上，不仅扩大了每一种风险的影响，也让网络安全升级成为董事会层面的审查议题。而身处前线的安全领导者正疲于应对接踵而至的挑战，根本无暇协助业务领导者清晰了解企业网络安全态势。

Tenable 观察到这些关键挑战渐渐浮出水面，欲帮助安全领导者与业务领导者开展一场有用的对话，因而 Tenable 委托 Forrester Consulting 对 416 位安全高管和 425 位业务高管进行了一项在线调查，从调研结果中审视大中型企业的网络安全策略和实践。研究成果“业务一致型安全高管的崛起”揭示了业务领导者的期望与安全领导者所面对的现实之间存在脱节。不过，该成果还揭示了当今数字企业可能面对的最大机会，即将 CISO 的角色提升到与其他高管角色同等地位。

未来属于与业务安全保持一致的网络安全领导者

该研究揭示了四个关键主题：

1. 网络安全威胁在充满不确定的氛围中逐渐滋生，成为值得董事会层面关注的议题。绝大多数企业 (94%) 在过去 12 个月内经历过影响业务的网络攻击或入侵事件。约三分之二 (65%) 的受调查对象表示，这些攻击涉及运营技术 (OT) 资产。
2. 业务领导者想要清晰了解企业网络安全态势，安全团队却无力提供。只有四成的安全领导者可以对“我们有多安全？面临的风险有多高？”这一问题自信作答。缺乏数据整合和相关业务上下文是网络安全决策者所面临的挑战之一。
3. 企业对网络安全风险的了解与管理之间存在脱节。只有不到 50% 的安全领导者能够在特定业务风险的背景下预判出网络安全威胁的影响范围。只有半数 (51%) 的安全领导者表示，他们的安全部门会与业务部门的利益相关者密切配合，使成本、绩效和降低风险的目标与业务需求保持一致。只有四成安全领导者 (43%) 表示会定期与业务部门的利益相关者共同审查安全部门的绩效指标。
4. 网络安全需要发展为一种业务战略。只有在安全领导者对其攻击面拥有更高的可见性时，才有可能实现这一目标。只有刚过半数的安全领导者表示，自己的安全部门能全面了解与评估企业的整个攻击面，而不到半数的安全部门会采用上下文威胁指标来衡量企业的网络安全风险。这意味着他们分析网络安全风险，并根据业务重要性和威胁上下文进行优先级分析与执行修复的能力非常有限。

本次研究表明，当安全领导者和业务领导者能够步调一致地实践达成共识的业务风险数据目标时，就能产生有据可证的显著效果。在能否自信应对企业安全或风险水平问题方面，相较于各自为政的安全领导者，与业务安全保持一致的信息安全领导者的表现要优于前者 8 倍。在当今的经济环境下，随着全球经济衰退导致企业开始重新评估其支出，更值得注意的是：85% 与业务安全保持一致的信息安全领导者能够掌握追踪网络安全 ROI 以及对业绩影响的指标，相较之下，在更为被动或各自为政的安全领导者中，只有 25% 能够掌握上述指标。

就像 Sentara Healthcare 的 CISO Dan Bowden 去年与 Tenable 的访谈所指出的那样：“在当今形势下，全社会都越来越多地关注到企业如何更好地管理风险，每家企业的每个管理层团队和每位董事会成员都希望在修复问题的过程中出一份力。如果您能提供关于风险暴露的优质数据（这也恰恰是真正要做的事情），他们就能理解数据，将风险与数据关联到一起。他们希望参与这一过程，帮您更好地解决问题和管理风险。”

“在当今的大环境下，社会高度关注公司能否在风险管理方面做得更好，因此每家企业的每个领导团队和每位董事成员对于问题的修复都予以高度重视，希望各尽一份力。” Sentara Healthcare CISO Dan Bowden

为了实现这种一致性，CISO 和其他安全和风险管理领导者需要技术、数据、流程和人员进行正确的组合。例如，大多数与业务安全保持一致的企业 (80%) 设立了业务信息安全官 (BISO) 或类似的职位，而一致性不足的企业只有 35%。该研究也表明， 在对关键漏洞进行评估流程自动化方面，与业务安全保持一致的信息安全领导者相较于被动、各自为政的安全领导者高出 +49 到 +66 个百分点。

接下来的章节将探讨上述及其他研究成果，并就 Tenable 如何帮助企业解决这种脱节背后的技术与数据挑战提供指导。在第 1 章中，我们将更深入探讨安全领导者在回答“我们有多安全？”这一问题时所面临的诸多挑战。第 2 章会以“取材自重大新闻”的角度，探讨企业如何应对新冠疫情，阐明业务与网络脱节在现实生活中的表现。在第 3 章中，我们将讨论现有的网络安全指标为何失灵，难以向 CISO 与其他安全领导者提供解决业务风险所需的数据。第 4 章与第 5 章 将讨论什么是与业务安全保持一致的网络安全实践，以及如何在企业中着手建立此类实践，并提供我们的独到见解与建议，帮助读者将自身的角色转变为与业务安全保持一致的网络安全领导者。

—Tenable 首席安全官 Robert Huber 出于本研究需要，“业务影响”是指涉及到导致下列一个或多个问题的网络攻击或入侵的事件：客户、员工或其他机密数据的损失；日常运营中断；为勒索软件支付赎金；财务损失或被盗；和/或知识产权被盗。

企业如何客观度量网络安全风险

采用 Cyber Exposure 管理的最佳实践后，企业能更有效地減少职能部门壁垒，对风险的讨论和评估达成共识，即业务团队和安全团队能够从相同的角度审视问题。有了 Tenable，企业就能全面评估、管理，进而減少自身在现代攻击面中遭遇的网络安全风险。Cyber Exposure 可以为企业提供客观度量自身网络安全风险的手段（包含内部与同业比较），从而为指导战略决策提供有益见解，使安全计划更好地与业务目标保持一致。正如其他职能部门各有一套记录系统，例如 IT 部门的信息技术服务管理 (ITSM)、销售部门的客户关系管理 (CRM)，Tenable 也可以成为一种记录系统，有效管理并度量网络安全风险，进而确定是否会引发业务风险。

了解详情

网络安全很少充分集成到业务战略中，而这本该是必由之路。

试想这一场景：某个漏洞一经披露便引起各方哗然。新闻和社交媒体大肆报导。此漏洞牵扯到全球几乎每个企业都要使用的软件。董事会强烈要求交代原因，而高管们火烧眉毛，忙得不可开交。CEO 召开紧急会议。她问的第一个问题是：“我们有多安全？面临的风险有多高？”

您准备好回答这个问题了吗？

如果回答得当，自然官运亨通。Forrester Consulting 的研究“业务一致型安全高管的崛起”发现，只有四成的人员表示自己能充满自信地回答“我们有多安全？面临的风险有多高？”这一问题。

如果对网络安全稍有了解，就会知道回答这个问题为何比表面上更具挑战性。

当然，您可以提供有关受到影响的系统数量和您团队修复速度的数据。但是，这堆数据并不能给出 CEO 想要的答案。CEO 真正想知道的不过是：此漏洞是否会对实现核心业务价值的能力产生负面影响？

一言以蔽之，最高管理层同时也是网络安全专家和漏洞专家的可能性微乎其微。而他们真正想知道的不过是：我们的网络安全实践对创造价值的业务有什么影响？

Consulting Forrester 的研究显示，企业在了解与管理网络安全风险的方式之间存在脱节。例如，令人担忧的是，高达 66% 的业务领导者对于安全团队量化企业风险或安全程度的能力信心不足。该研究还揭示：

• 只有不到 50% 的安全领导者能够在特定业务风险的上下文下预判出网络安全威胁的影响范围。
• 只有半数 (51%) 的安全领导者表示，他们的安全团队与业务利益相关者合作，使成本、绩效和风险下降的目标与业务需求保持一致
• 只有 43% 的安全领导者表示，他们会定期与业务利益相关者共同审查安全团队的绩效指标。
• 不到一半 (47%) 的安全领导者在制定网络安全策略时会经常咨询业务管理人员。另一方面，在制定企业业务策略时，四成 (42%) 业务管理人员几乎不会（就算有也属于少数情况）咨询安全领导者。
• 只有 54% 的安全领导者和 42% 的业务管理人员表示其网络安全策略完全或几乎完全与业务目标保持一致。

了解业务环境

了解网络安全风险的业务上下文信息并非易事，每个企业面对这一问题时都有不同的难处。为了提供业务上下文，安全和风险管理领导者必须先要回答两个关键问题：

1. 企业存在的核心价值是什么？对于制造业而言，答案可能是制造和销售小商品来获得利润。对于医疗保健业而言，答案可能是为患者提供医疗保健服务。对于政府而言，答案可能是为了服务公众，例如发放驾照或处理垃圾。
2. 企业有哪些 IT 资产是实现其存在核心价值的关键？举例而言，如果企业有 ERP 系统、医疗记录应用程序或数据库，那么在其离线时，是否会造成业务运营陷入停顿状态？是否存在某些用户群，其计算机受损时会泄露关键的知识产权或敏感数据，从而可能妨碍企业实现该核心价值？是否存在一个云环境，在其离线时，可能会扰乱面向客户的重要 Web 服务（例如银行或电商网站）？

现有的资产管理与配置管理数据库在协助这些业务问题应对方面显得捉襟见肘。配置管理数据库首先，资产清单和配置管理是相当静态的操作。大部分企业仅限于对重要业务职能进行年度风险评估或业务影响分析。这种静态方法完全不足以捕捉到现代攻击面的实际情况，其中包括本地和基于云的 IT、物联网 (IoT) 和运营技术 (OT) 的动态组合。

现有的资产管理与配置管理数据库在协助业务问题应对方面显得捉襟见肘。

其次，在大多数大型企业中，云服务每天都会根据需要进行运转。随着员工的入职或离职，计算资产会持续进行添加或移除。应用程序和软件会根据业务需求的变化而持续进行变更和升级。而且，为了应对新冠肺炎疫情，全球大量员工已经转为居家工作模式，这可能为企业的运营方式树立新的模式。随着当今的业务正以数字商务的步伐快速发展，资产清单恐怕已无法适应新的发展趋势。安全领导者只能使用一些已有工具来尽可能全面地了解资产重要性。

在识别重要业务资产工作的同时，您还必须能够对企业每年面对的成千上万个威胁和漏洞进行优先级分析，以识别实际上对核心资产造成最大风险的漏洞。安全领导者需要在漏洞或攻击方式带来的威胁与修复或缓解的业务影响之间取得平衡。基本而言，您需要了解问题是如何暴露的、使用已有的流程系统解决此问题的响应速度，以及对此问题不作为和解决此问题对您的核心业务价值产生哪些影响。

如果再有头条新闻大肆报导的漏洞引起了最高管理层的注意，企业能准备好如何应对吗？

一言以蔽之，最高管理层同时也是网络安全专家和漏洞专家的可能性微乎其微。而他们真正想知道的不过是：我们的网络安全实践对创造价值的业务有什么影响？采用与业务安全保持一致的方法，便能自信评估，在对业务核心领域存在巨大影响的资产之中，有多少至关重要的漏洞，从而寻得“我们有多安全？面临的风险有多高？”这一问题的清晰脉络。

对“我们是否处于风险之中？”这一问题不再语焉不详

信息安全领域的至理名言是：“如果对保护对象一无所知，那么保护工作也无从谈起。”如果不能完全了解环境中的资产，就难以从根本上了解自身面临的网络安全风险。除此之外，如果不了解各个资产在支持重要业务职能中所起的作用，就无法度量系统离线修补漏洞会造成哪些影响，也无法决定解决特定系统漏洞的价值所在。那么该从何着手？

1. 了解业务环境。与安全供应商共同合作，了解、识别需要保护的服务与应用程序，并进行优先级分析。如果不将事项划分轻重缓急，则注定一事无成。没有这些信息，就无从识别哪些业务环节可能会受到漏洞利用的影响，而一旦发生问题，几乎无法得知哪一方才是解决问题的合作对象。
2. 持续评估所有资产。大部分传统扫描程序是为了传统 IT 环境而打造，并不适合于在现代攻击面最多变的领域中检测漏洞，包括云、OT 和容器环境。理想之道是升级到全方位解決方案，提供主动扫描、被动监控、代理、连接程序与集成功能，尽可能彻底评估企业环境，不论资产位于何处、何种环境，也不论是否在审查范围内，亦或资产连网的频率。
3. 利用描述性元数据标记资产，以添加业务上下文信息。使用标签识别业务重要资产。标签可以按业务实体（即这些资产支持什么“工作”？），也可以按团队（即需要和谁合作以修复潜在问题？）度量风险。借助 Tenable，既能自动（使用规则）也能手动标记资产。
4. 基于风险对漏洞进行优先级分析，并决定要采取的行动。在识别业务重要型资产的同时，还需要对企业面临的威胁和漏洞进行优先级分析，找出对核心资产影响最大的风险。安全领导者需要在漏洞或攻击方式带来的威胁与修复或缓解带来的业务影响之间寻找平衡。在每年出现的成千上万新漏洞中，评估已经存在攻击利用方式或预测未来哪些最可能遭到攻击者利用、企业对这些漏洞的暴露程度多高、使用现有修复程序解决漏洞的速度有多快，以及与解决问题相比，不采取任何行动会对核心业务价值产生何种影响。

尽管全球企业已经竞相制定新冠疫情响应策略，但显然网络安全不在其列。

众所周知，网络罪犯往往会在重大新闻事件发生时闻风而动（无论是全球危机还是 WannaCry 这类抢尽新闻版面的漏洞），企图实施恶意软件与网络钓鱼诈骗。在 2020 年，新冠病毒无疑占据了各大新闻版块的头条位置，这次疫情藉由病毒传播，最终引发了全球疫情危机。这场危机使许多企业猝不及防，同时也突显出若缺乏网络安全应急响应与业务连续性准备，并且如果业务与安全领导者出现各自为政的局面，则企业就会陷入风险之中。

在 Forrester Consulting 接受委托进行的研究中，几乎所有受访者 (96%) 都表示其企业已经制定了新冠病毒的应对策略，但绝大部分 (75%) 受访者表示，业务与安全部门的工作方向充其量只是“有点”一致。

这样的情况令人深感忧虑，尤其是当下为了应对疫情，企业突然广泛采用居家办公模式，导致公司网络中涌现大量用户设备。过去，远端桌面只是提供给一组特定员工的可有可无的方案，而现在为了维持企业运转，远端桌面已然成为许多员工的必要工具。顷刻之间，员工纷纷使用自己未经过测试、可能包含漏洞的消费级路由器和家用网络，连接到核心业务系统与应用程序。物联网 (IoT) 设备广受欢迎，因此也成为潜在的威胁载体。普通家用网络可能包含 Amazon Alexa 或其他语音控制工具、互联网电视与主机游戏设备，更有员工配偶、子女或其他家庭成员所使用的各式笔记本电脑、平板电脑和手机。

Forrester Consulting 调查的网络安全领导者中，将近半数 (48%) 表示自己对于远程居家办公的员工只有中等程度甚至零可见性。

布鲁金斯学会 (Brookings Institute) 估计，截至 2020 年 4 月 9 日，有多达一半的美国职工正在居家办公，可谓是“巨大的转变”。此外，皮尤研究中心 (Pew Research) 的研究显示，在疫情之前，美国只有 7% 的普通职工（约 980 万人，而全国普通职工总数约为 1.4 亿）享有“弹性工作场所”的福利或可以选择远程办公。

现在，网络罪犯正蜂拥而至，想尽一切办法利用呈指数级扩张的攻击面。Forrester 的研究还指出，截至 2020 年 4 月中旬，有四成企业 (41%) 已经因与新冠病毒相关的网络钓鱼或恶意软件欺诈遭受过至少一次影响业务的网络攻击。事实上，与新冠病毒相关的诈欺是该研究报告中所有影响业务的网络攻击的头号来源。尽管世界卫生组织在几周前才刚刚宣布新冠病毒疫情升级为大流行，但在研究进行时，新冠病毒相关的攻击已远超其他类型影响业务的攻击，例如欺诈 (40%)、数据外泄 (37%)、勒索软件 (36%) 和软件漏洞 (34%)。

网络安全领导者必然会对上述趋势感到殚精竭虑。根据 Forrester 的调查，三分之二的受访者 (67%) 表示自己非常或极度担忧受新冠病毒引发的人力资源变化将加剧企业的风险程度。

更严重的是，将近一半接受调查的网络安全领导者 (48%) 表示，自己对远程居家办公的员工只有中等程度甚至零可见性。

弥合这种脱节的关键方法之一在于，企业在制定风险管理战略时将网络安全纳入其中。

风险管理如何帮助您成为与业务风险保持一致的网络安全领导者

在风险管理以及业务连续性、灾难恢复、危机管理的相关领域中，CISO、CSO 和其他网络安全领导者其实可以发挥更大的作用，是承担这一职责的理想人选。安全领导者的工作正好介于技术与业务之间，需要对实现业务连续性与灾难恢复计划所需的所有系统、数据、流程拥有充分可见性。而将风险管理纳入其中还可以让工作变得更加可控：如果能从广泛的企业风险角度了解所有重要流程与资产，那么网络安全也将变得更强健。

执行风险管理活动还能获得明显的运营收益，即架起企业的业务部门与信息安全部门之间的桥梁。在这个过程中发现的信息将有助于整个企业了解如何采用最佳方式对资源（包含人力资源与财务资源）进行优先级分析，即使在危机期间也能维持业务运转。

如果能从广泛的企业风险角度了解所有重要流程与资产，那么网络安全也将变得更强健。

当经济形势不明朗且有可能持续时，基于风险的投资优先级分析对企业而言就变得至关重要。Forrester 的研究表明，当安全与业务保持一致时，就能带来显著的成果。例如，85% 与业务安全保持一致的安全领导者能够掌握追踪网络安全 ROI 以及对业绩影响的指标，相较之下，在更为被动或各自为政的安全领导者中，只有四分之一 (25%) 能够掌握上述指标。

参与制定企业风险管理 (ERM) 策略是成为与业务安全保持一致的信息安全领导者的必由之路。

以下六个步骤有助于初步识别与评估企业风险：

1. 制定风险评估调查并分发给关键利益相关者。这些调查通常交由高级总监及以上级别的人员处理，其中应包括企业所有主要部门的代表，包含财务、法律、人力资源、信息技术、信息安全、销售、运营、营销、研发部门。调查完成后，建议将所得答案整理归入风险类别之中，以编制企业风险清单。
2. 执行研究与分析，将企业风险与行业风险调查进行比较。
3. 制定风险评估方法，包含概率与影响，以获得总体风险评级。
4. 确定企业中的关键管理者，投入时间与他们面谈，获得他们对风险和优先级分析、以及风险概率和影响方面的反馈。
5. 向高级管理层呈报风险评估的结果，以最终确定首要风险，并邀请高级管理层人员担任风险负责人。
6. 与高级管理层风险负责人合作，确定首要风险的缓解行动。

执行上述步骤虽然艰辛，却能提供一系列明确的优先级，从而带来更高效益；并且将拥有一份共同制定的企业风险清单。尽管网络安全本身也算是一种独有的企业风险，但其还会以某种形式牵扯出许多甚至是所有企业风险，而这种情况无法避免。

将企业风险评估与业务影响分析相结合，对于业务连续性与灾难恢复至关重要，可确定企业哪些重要系统与业务流程最不可或缺，并成为制定与业务安全保持一致的网络安全战略的基础。企业将形成最重要风险与流程的清单，进而在遭遇危机（无论危机是来自于网络攻击、自然灾难，还是全球疫情），以及在恢复正常业务营运时，采用有条不紊且分优先级的方式予以应对。

在稳定时期，企业很容易将风险管理视为只是填填表格的表面工作，交给风险专业人员组成的独立团队就好。通过此次新冠病毒疫情，业务与技术主管犹如被迫参与了一次危机管理速成班，发现自己不得不正视风险管理这项工作。不妨将当下当成一种机遇，重新思考应对企业风险的方式，在一切顺利时做好更完善的准备，以便在低迷时期能够掌握先机。

出于本研究需要，“业务影响”指造成下列一个或多个后果的网络攻击或入侵相关事件：包括损失客户、员工或其他机密资料；日常运营中断；为勒索软件支付赎金；财务损失或遭窃；和/或知识产权遭窃。

无惧瞬息万变的安全态势，让管理变得易如反掌

在形势迅速变化的时期，理解新业务战略会如何扩大企业攻击面和引入新风险尤为重要。身为安全领导者，必须能够度量上述变化对企业安全态势的影响，同时用企业内不同运营团队间能够理解的方式，将信息传达给对方。

为了满足这两项需求，Tenable 建立了 Cyber Exposure 评分 ，这是一套简单客观的评分系统，可呈现出技术与业务风险的交叉点。CES 以大数据分析为后盾，结合漏洞数据与其他风险指标（如威胁情报与资产重要性），利用机器学习算法每天自动更新。该评分结合了 Tenable 的漏洞优先级评级 (VPR) 与资产重要性评级 (ACR)，前者用于度量可利用性的概率与其潜在影响，后者用于追踪每项受影响资产的业务价值。

随着威胁环境的不断变化，持续沟通必不可少，Tenable 还支持持续观察 Cyber Exposure 趋势，包括可视化展示风险随时间的改进或下降情况，为企业与业务利益相关者提供洞察，使其了解安全计划的有效性。该产品可展示出企业过去六个月以来的 CES，并突出显示七天内的变化，以标记潜在的安全问题。这些数据可用于绘制一段时间内的进度图，识别问题覆盖范围，并以此分配资源。

即使有丰富的工具任凭使用，信息安全领导者仍难以弥合业务与安全之间的脱节。

如何向企业最高管理层传达网络安全计划的业务风险上下文？

安全与风险管理领导者掌握着大量框架与控制措施，可度量安全计划中最细微的领域。虽然这类指标在帮助管理安全团队的日常运营方面极具价值，但在向业务领导者传达时还有所欠缺。

面对最高管理层甚至审查委员会级别（通常是负责安全的董事会机构）时，管理人员往往希望了解网络安全计划对于企业实现核心价值主张的能力有何影响。然而，Forrester Consulting 代表 Tenable 对超过 800 名业务领导者与网络安全领导者进行的一项全球委托研究显示，66% 的业务领导者对安全团队量化企业风险或安全水平的能力信心不足。

当前度量网络安全风险的方式无法提供企业所需的业务上下文信息。

这并不代表安全领导者的工作出现了纰漏。相反，这个结论清晰地揭露出一个无法避免的现实：当前度量网络安全风险的方式无法提供企业所需的业务上下文信息。调查中，超过半数安全领导者对自己现有的技术或流程能否预测出业务面临的网络安全威胁缺乏信心，将近五分之二的安全领导者不确定自己是否掌握了相关数据。

如何计算网络安全风险？

网络安全风险是任何指定时间点的资产、安全控制措施、威胁、漏洞所构成的函数。如果不清楚哪些资产对于核心业务价值的重要性最高，就无从了解哪些网络安全风险会对业务构成实际威胁。一旦确定了最重要的资产，下一步是要了解企业每年面临的数以万计的威胁和漏洞中，哪些实际上对核心资产构成了最大风险。

Forrester Consulting 调查的安全领导者中，过半数 (56%) 在漏洞优先级分析流程中缺乏业务风险管理目标。

Forrester 的研究指出，只有不到 50% 的安全领导者能够在特定业务风险的上下文下预判出网络安全威胁的影响范围。接受调查的安全领导者中，过半数 (56%) 在漏洞优先级分析流程中缺乏业务风险管理目标。只有半数 (51%) 安全领导者表示，其部门会与业务利益相关者密切合作，使成本、绩效及降低风险的目标与业务需求保持一致。此外，只有四分之一的安全领导者表示，自己会定期与业务领导者共同审查安全部门的绩效指标。

该研究还揭示：

• 超过半数 (56%) 的安全领导者表示，自己的企业缺乏良好可见性，难以掌握最重要资产的安全状况。
• 约 60% 的受访者表示，自己对于本地员工的风险评估具有较高或完全可见性，但当员工远程办公或居家办公时，只有 52% 的受访者表示出同样的信心。
• 只有 51% 的受访者表示自己对承包商或合作伙伴使用的系统具有较高或完全可见性，换成第三方供应商时，只有 55% 的受访者表示出同样的信心。

缺少业务上下文信息，计算网络安全风险便无从谈起

高级业务领导者与董事会最常向安全领导者提出的两个问题分别是：“我们的安全程度如何？”以及“我们的计划与同行业者相较如何？”

然而，与业务领导者不同的是，安全领导者只掌握有限的客观数据，还需要借此建立资产、安全控制、威胁和漏洞之间的网络安全风险方程，才能回答上述两个问题。任何现有框架都无法捕获信息安全运营的全貌，因此安全领导者只能拼凑各种度量指标。如果没有客观指标度量每项资产的业务上下文，网络安全风险计算就会陷入僵局。

Forrester Consulting 调查的安全领导者中，只有不到半数认为自己使用的行业基准分析构架能够非常有效地准确报告业务风险。

事实上，Forrester 的研究显示，只有不到半数的安全领导者认为自己使用的业界基准框架能够非常有效地准确报告业务风险。超过半数的安全领导者表示，自己并未对安全控制措施进行充分的基准分析。

同时，企业攻击面中牵涉了太多变数，在可预见的未来，整个业界很可能无法就安全指标达成共识。从来没有企业能保证自己 100% 安全。安全领导者只能根据所掌握的信息计算出可接受的风险水平，从而在解决合理水平的风险之后，就如何继续应对风险做出业务决策。

那么该如何利用所掌握的资源，开始弥合网络安全与业务之间的脱节？

利用现有数据朝正确方向迈进

风险是相对的，不是绝对的。企业内部永远存在风险。关键在于企业管理层采取的特定业务行动会降低还是增加风险。现有的安全评估方案只提供了快速划分界线的能力，为着手确定进一步完善安全计划所需的工作提供一个起点。

要想识别对企业最重要的关键风险指标，绝没有一劳永逸的方法。作为行业专业人士，安全领导者能做的只有着手合作制定业务风险指标，能够与最高管理层的业务领导者产生共鸣。

为此，Tenable CSO Robert Huber 总结了他在实际职业生涯中被董事会与最高管理层问到过最多的问题，并提供了以下的问题清单。在准备与企业高层领导的会议时，请考虑以下例子。

1. 最重要的风险、职能、资产分别是什么和/或位于何处？
2. 目前保护措施为何？
3. 与业界以及同行相比，我们的计划成熟度如何？
4. 改善成熟度的路线图是什么？
5. 与业界竞争对手或同行相比，我们的安全计划资源如何？
6. 业务重要性最高的职能部门是否比一年前得到了更完善的安全保障？
7. 我们如何应对热门漏洞（如 Ripple20）？

或许以上问题还有助于联想到其他值得度量的业务风险指标，共同帮助安全领导者找出更好的方法，使网络安全与业务安全保持一致。

在交流方式层面达成共识，向业务领导者与董事会传达安全策略

弥合业务与安全之间的差距是一项艰巨的挑战。安全领导者需要以更好的方式来回答业务领导者提出的问题。Forrester 的报告明确指出，企业需要可以清晰、精准度量出业务风险的工具，让业务领导者据此采取行动，同时​为安全团队提供所需的广泛功能。这恰是 Tenable Lumin 的用武之地。

• 计算并传达 Cyber Exposure
  Cyber Exposure 评分 (CES) 结合了漏洞数据与威胁情报和资产重要性等其他风险指标，可提供客观的网络安全风险度量方式。CES 适用于所有资产组，无论是单一资产或整个企业的所有资产。具备了这些信息后，企业就可以对防护工作进行优先级分析，保护最重要的功能与资产，同时报告进展情况。
• 利用“Cyber Exposure 趋势”追踪进度
  先进的可视化呈现方式，有助于理解趋势随时间的改善情况，从而度量安全计划的有效性。追踪企业在过去六个月以来的 CES，并突出显示七天内的变化，以标记潜在的安全问题。这些数据可用于绘制一段时间内的进度图，以识别问题领域并据此分配资源。
• 与同业基准比较成熟度
  企业可以与同行基准进行对比，以快速找出自身的优缺点。许多关键指标都可用于基准分析，例如 CES 与评估成熟度，为分析安全运营的有效性、并且与同业其他公司以及整体平均水平进行比较提供了基线。
  
• 分析企业中的缺口与最佳实践
  由于 CES 适用于所有资产组，因此安全团队能够相互比较内部运营小组（如业务部门、运算环境、分支机构点）间的基准。此分析有助于集中精力和资源解决企业中的高暴露风险和确定最佳实践。利用现有标签可对资产组进行全方位定制，支持筛选和分析企业中的各个部分。

安全和业务部门能够在上下文数据方面达成一致且实现共同行动时，就能缔造出显著成果。实现方法如下。

网络安全领导者往往沉浸在数据之中。安全领导者知道存在多少漏洞。安全领导者知道部署过多少补丁。安全领导者甚至可以对最新的威胁倒背如流。然而，即使掌握了所有这些信息，可能仍然难以自信地回答“我们有多安全？面临的风险有多高？”这一问题。

原因何在？因为遗漏了一项关键信息：即业务上下文。

用于计算企业安全或风险水平的典型公式，通常是由资产、安全控制措施、威胁和漏洞构成的函数。如果缺乏业务上下文，就无法评估哪些资产对核心业务的重要性，也不了解这些资产使用了哪些安全控制措施，那么任何安全风险计算的结果充其量只能揭示出片面的信息。

但是安全领导者不可能坐井观天就培养出对业务上下文的认识。要想培养认识，需要业务领导者与网络安全领导者之间达成一定程度的战略一致性，而这正是大部分企业的短板。这项委托 Forrester Consulting 进行的研究表明，业务与安全部门之间存在明显的脱节：调查中，只有 54% 的安全领导者和 42% 的业务管理人员表示，自己的网络安全策略与业务目标保持完全或高度一致。调查显示，只有不到半数的安全领导者表示自己在制定网络安全策略时，会频繁咨询业务领导者。更严重的是，四成业务管理人员在制定企业业务策略时，几乎不会（就算有也属于少数情况）咨询安全领导者。

在 Forrester Consulting 的调查中，只有 54% 的安全领导者和 42% 的业务管理人员表示，自己的网络安全策略能够完全或紧密地与业务目标保持一致。

但研究也表明，当安全与业务保持一致时，就会产生明显的结果。例如，与业务安全保持一致的信息安全领导者能够：

• 有充分的信心报告安全状况与风险。在能否自信应对企业安全或风险程度问题方面，相较于各自为政的安全领导者，与业务安全保持一致的信息安全领导者的表现要优于前者 8 倍。
• 有充分的信心展示安全计划的 ROI。绝大部分与业务安全保持一致的信息安全领导者 (85%) 都能掌握指标，追踪网络安全的 ROI 以及对业绩的影响，相较之下，在更为被动或各自为政的安全领导者中，只有 25% 能够掌握上述指标。
• 具备明确的基准比较流程。近九成与业务安全保持一致的信息安全领导者 (86%) 都具备了流程来明确实现这一目标，并针对同业公司和/或内部团队进行持续的流程改进。未能保持一致的安全领导者中则只有 32% 能做到。

但这并不是说，实现一致性的责任完全落在安全领导者的肩上。有些企业在文化上就容易产生各自为政的氛围。如果企业文化使然，那么无论投入多少精力，也可能始终难以与业务领导者保持一致。

如果不确定企业一致性的程度，有一种快速辨别的方法：如果企业具有"业务信息安全官"头衔的管理人员，那么一致性程度就偏向更成熟的一端。Forrester 的研究指出，绝大部分与业务安全保持一致的企业 (80%) 中都具有业务信息安全官 (BISO) 或类似职位，一致性较低的企业中则只有 35% 设有这类职位。

如何成为与业务安全保持一致的网络安全领导者

如果有幸在已拥有相对成熟的业务与网络安全一致性的企业中工作，那么成为与业务安全保持一致的信息安全领导者的道路就相当清晰，即使在推进上可能需要付出大量努力。但如果在一致性成熟度较低的企业中工作，那么这段旅程将更具挑战性。由于没有适用所有企业的方法，以下指导原则提供了适合三种较为广泛的一致性成熟度的方案。

在各个级别的企业成熟度上改善与业务利益相关者一致性的五个步骤

资料来源：Tenable，2020 年 8 月。

成为与业务安全保持一致的网络安全领导者是一场马拉松，而不是短跑冲刺。这个过程要求学会如何同样流畅地运用业务与技术领域的语言。但是，正如 Forrester 的研究所指出的，“现代安全威胁需要新的方法”。未来属于准备好将网络安全当成业务风险管理的安全领导者。

未来属于能够将目标与对业务风险的理解保持一致的网络安全领导者。要实现这一目标，以下是八项日常需要采取的行动。

前几个章节探讨了信息安全领导者在技术、流程和数据方面的局限性如何加剧了网络安全部门与业务部门之间的长期脱节。但如果没有充分考虑到造成这种脱节的核心人为因素，上述讨论难免有失完整。

CISO 与其他网络安全领导者是公司高层中特别的参与者。有必要同样流畅地使用技术与业务语言。但与拥有商科硕士或其他类似的教育背景的财务或销售同事不同的是，大部分网络安全领导者拥有的是计算机科学等技术背景。信息安全领导者往往经由企业技术级别晋升。在最终成为一名高级管理人员或最高管理层时，这将成为最直接的劣势因素。

CISO 与其他网络安全领导者是公司高层中特别的参与者。有必要同样流畅地使用技术与业务语言。

技术是第一母语。所使用的工具和流程全都基于技术语言，因此可以用母语清晰地表达出结果。尽管大部分安全领导者也已经学会了“以业务作为第二语言”，但这种脱节现象仍然存在，部分原因在于工作所需的工具和框架并不适合于直接翻译成业务语言。

每一天的工作计划

2003 年 SANS 协会的一篇论文所阐述的挑战在目前看来仍然存在：“[CISO] 的职责不同于其他最高管理层，甚至连 CIO 都不涉足这个领域。”SANS 的论文详细说明了一些大部分 CISO 履行的最重要职责，包括：

• 作为企业代表处理客户、合作伙伴和普通公众对企业安全策略的询问。
• 作为企业代表与执法机构接洽，同时追查员工发动的网络攻击和信息窃取源头。
• 平衡安全需求和企业的战略业务计划，识别风险因素，并确定两者的解决方案。
• 制定安全策略和流程，在不干扰核心业务需求的情况下提供充分的业务应用程序保护。
• 计划和测试应对安全漏洞，包括可能会与客户、合作伙伴或普通公众讨论相关事件。
• 监督安全硬件和软件产品的选择、测试、部署和维护以及外包安排。
• 监督负责企业安全的员工团队，从管理防火墙设备的网络技术人员到安保警卫。

鉴于其岗位职责范围如此之广，很难明确如何在日常工作中的各项职责分配时间进行优先级管理。大部分安全管理人员更愿意停留在上面最后三项所代表的技术舒适区，每天的时间都投入在事件规划和监督运营中，以将其可能性降至最低。

但停留在舒适区中并不能改善安全形势。Forrester Consulting 接受委托进行的研究表明，94% 的企业在过去 12 个月内经历过造成下列至少一个后果的网络攻击：包括损失客户、员工或其他机密资料；日常运营中断；为勒索软件支付赎金；财务损失或遭窃；和/或知识产权遭窃。绝大部分受访者 (77%) 预计未来两年网络攻击还会增加。

研究还发现，66% 的业务领导者对于安全团队量化企业风险或安全水平的能力信心不足。

成为与业务安全保持一致的信息安全领导者：8 大步驟

很明显，需要做出一些改变。安全领导者需要找到改进业务一致性的方法。这需要在日常工作中注重点滴累积。安全领导者需要注意如何对时间进行优先级管理，以确保安排好日常运营，从而有足够的时间把精力集中在业务一致性中。可以将以下八种实践融入日常工作中，从而迈进与业务安全保持一致的未来：

1. 每天投入时间阅览公司的对外文件。留意企业管理人员通过财务报表、新闻稿、新闻文章、社交媒体网站和行业论坛传达的信息。
2. 安排时间与业务线管理人员共同了解其日常挑战，建立融洽关系。了解他们的绩效度量方式。帮助他们将安全视为实现业务需求的助力，而非阻力。这样他们就更有可能在制定策略计划时及早邀请安全领导者参与。
3. 培养实务知识，了解行业中各家企业所面临的优先任务与挑战。加入行业协会或其他专业组织，阅读行业期刊上的企业间交流文章，参加网络研讨会与其他业界活动。这样能掌握实用的词汇与重要观点，有助于更好地将自己的安全计划与企业独特的业务需求保持一致。
4. 定期与最高管理层管理人员交流近况，并借此机会了解他们的关切点。只有了解了更广泛的业务痛点，才能开始培养全面认识，理解“风险”对企业的真正意义。
5. 利用季度业务审查，作为主要学习机会。仔细倾听其他主管提出的战略重点与难点，思考对其造成影响的外部业务因素。留意每位管理人员如何展示各自的业务投资回报，找到相应的方法定制自己的安全 ROI 指标。
6. 建立值得信赖的业务顾问网络。邀请不同业务领域的指导人员提供见解，建立自己的智囊团来精进沟通技巧，使之更贴合业务。
7. 与企业内的风险专家建立联系。网络安全既是一种特别的风险，也是所有其他业务风险对话中的关键因素。了解如何有效参与制定企业风险管理策略，并使网络安全处于前沿和中心地位。
8. 关注企业内发生的第三方关系。对关键关系（如工资处理或企业资源规划供应商）掌握实务知识。但对 Web 团队或负责维护和检修企业运营技术的服务和支持承包商所使用的工具和平台又具有多大的可见性？

除了有效履行岗位的所有其他职责之外，还要挤出时间完成上述所有工作，实在是令人望而生畏。任何人不可能一次性完成所有任务。请从中选择一到两个最能获得共识的工作，并以此为切入点。主动选择跳出技术舒适区，成为更加与业务安全保持一致的安全领导者，不仅会使企业受益，更有助于个人的职业生涯，让自己在推动业务风险策略方面占据梦寐以求的“一席之地”。

可用于为与业务保持一致的工具

Tenable 为您提供洞悉全貌、预测影响最大的问题以及采取行动解决整个攻击面上风险的工具。能够清楚、简明和有权威地回答“我们有多安全或我们风险有多高？”这个重要问题，是与业务保持一致的安全领导者通过每一天考验的关键。

洞悉全貌

洞悉全貌的原因在于威胁态势始终处于变化之中，因此需要通过实时仪表盘对融合攻击面进行持续深入的评估，从而对哪些资产暴露于风险之下提供清晰的洞见。Tenable 可针对推动现代业务策略的工具和技术提供全面的可见性，涵盖云、容器、基础设施、运营技术 (OT)、Web 应用等。这些工具既能够支持业务战略，同时也扩大了企业的攻击面并给业务带来风险。借助 Tenable，企业能够评估每个资产的状态，包括漏洞、错误配置和其他状况指标。Tenable 主动扫描、Agent、被动监控和 Lumin大数据分析等功能可针对所有资产（已知和过去未知）提供可见性和连续视角。Tenable 拥有业界最为丰富的 CVE 和安全配置支持，能够帮助企业洞悉所有风险暴露点。

预测影响最大的问题

企业因漏洞数量巨大而焦头烂额。2019 年发布的新漏洞超过 17000 个，但其中只有不到 7% 公开了活跃的漏洞利用方式。在这些最危险的漏洞受到攻击利用之前将其识别出来至关重要。Tenable 拥有超过二十年的漏洞风险管理经验，基于 5PB 的数据池运用机器学习算法，其中包含超过 20 万亿条持续评估的威胁、漏洞和资产信息，使安全团队能够识别出对企业中业务战略的安全执行最为关键的漏洞、重要资产和风险。 Tenable 的预测方法有助于根据现有的和新兴的威胁及其对业务的潜在影响来对工作进行优先级分析。因此，企业可以关注最可能受到攻击者利用的漏洞，并优先修复影响最大的漏洞。

采取行动解决风险

被动、各自为政、短期的安全策略会阻碍安全领导者清晰了解企业的网络安全状况和对业务构成最大风险的威胁。这也导致了安全领导者难以采取行动并与团队和业务伙伴进行有效沟通。Tenable 提供的指标能够度量网络安全风险和计划成熟度，从而改进企业流程、解决风险，并以清晰和易于理解的方式传达结果。在这些指标的协调下，业务转型速度和适当的安全态势之间就拥有了共同的语言，并可以维持微妙的平衡。Tenable 的风险暴露量化与基准衡量，可随着时间就企业内部运营的有效性与同行业者进行比较，这些指标对预算、资源分配和流程改进至关重要。

借助 Tenable，企业能够轻松确定关注领域，优化安全投入。直观呈现完整的网络攻击面，帮助包括分析师和管理人员在内的所有人快速了解、传达并采取措施，降低企业的 Cyber Exposure 状况。