坏消息是什么?业务和网络安全之间存在脱节。好消息是什么?只要保持一致,结果就会大不同。
只要曾经担任过 CISO、CSO 或其他网络安全领导职位的人员,就很可能经常被 CEO、董事会成员或其他高级管理人员问到“我们有多安全?”这样的问题。但众所周知,其实这个问题另有深意,并非表面那么简单。
在企业风险快速转变的当下,包括疫情全球大流行、经济衰退以及远程办公等现实,全球各地的网络攻击与威胁甚嚣尘上,不仅扩大了每一种风险的影响,也让网络安全升级成为董事会层面的审查议题。而身处前线的安全领导者正疲于应对接踵而至的挑战,根本无暇协助业务领导者清晰了解企业网络安全态势。
Tenable 观察到这些关键挑战渐渐浮出水面,欲帮助安全领导者与业务领导者开展一场有用的对话,因而 Tenable 委托 Forrester Consulting 对 416 位安全高管和 425 位业务高管进行了一项在线调查,从调研结果中审视大中型企业的网络安全策略和实践。研究成果“业务一致型安全高管的崛起”揭示了业务领导者的期望与安全领导者所面对的现实之间存在脱节。不过,该成果还揭示了当今数字企业可能面对的最大机会,即将 CISO 的角色提升到与其他高管角色同等地位。
未来属于与业务安全保持一致的网络安全领导者
该研究揭示了四个关键主题:
- 网络安全威胁在充满不确定的氛围中逐渐滋生,成为值得董事会层面关注的议题。绝大多数企业 (94%) 在过去 12 个月内经历过影响业务的网络攻击或入侵事件。约三分之二 (65%) 的受调查对象表示,这些攻击涉及运营技术 (OT) 资产。
- 业务领导者想要清晰了解企业网络安全态势,安全团队却无力提供。只有四成的安全领导者可以对“我们有多安全?面临的风险有多高?”这一问题自信作答。缺乏数据整合和相关业务上下文是网络安全决策者所面临的挑战之一。
- 企业对网络安全风险的了解与管理之间存在脱节。只有不到 50% 的安全领导者能够在特定业务风险的背景下预判出网络安全威胁的影响范围。只有半数 (51%) 的安全领导者表示,他们的安全部门会与业务部门的利益相关者密切配合,使成本、绩效和降低风险的目标与业务需求保持一致。只有四成安全领导者 (43%) 表示会定期与业务部门的利益相关者共同审查安全部门的绩效指标。
- 网络安全需要发展为一种业务战略。只有在安全领导者对其攻击面拥有更高的可见性时,才有可能实现这一目标。只有刚过半数的安全领导者表示,自己的安全部门能全面了解与评估企业的整个攻击面,而不到半数的安全部门会采用上下文威胁指标来衡量企业的网络安全风险。这意味着他们分析网络安全风险,并根据业务重要性和威胁上下文进行优先级分析与执行修复的能力非常有限。
本次研究表明,当安全领导者和业务领导者能够步调一致地实践达成共识的业务风险数据目标时,就能产生有据可证的显著效果。在能否自信应对企业安全或风险水平问题方面,相较于各自为政的安全领导者,与业务安全保持一致的信息安全领导者的表现要优于前者 8 倍。在当今的经济环境下,随着全球经济衰退导致企业开始重新评估其支出,更值得注意的是:85% 与业务安全保持一致的信息安全领导者能够掌握追踪网络安全 ROI 以及对业绩影响的指标,相较之下,在更为被动或各自为政的安全领导者中,只有 25% 能够掌握上述指标。
就像 Sentara Healthcare 的 CISO Dan Bowden 去年与 Tenable 的访谈所指出的那样:“在当今形势下,全社会都越来越多地关注到企业如何更好地管理风险,每家企业的每个管理层团队和每位董事会成员都希望在修复问题的过程中出一份力。如果您能提供关于风险暴露的优质数据(这也恰恰是真正要做的事情),他们就能理解数据,将风险与数据关联到一起。他们希望参与这一过程,帮您更好地解决问题和管理风险。”
“在当今的大环境下,社会高度关注公司能否在风险管理方面做得更好,因此每家企业的每个领导团队和每位董事成员对于问题的修复都予以高度重视,希望各尽一份力。” Sentara Healthcare CISO Dan Bowden
为了实现这种一致性,CISO 和其他安全和风险管理领导者需要技术、数据、流程和人员进行正确的组合。例如,大多数与业务安全保持一致的企业 (80%) 设立了业务信息安全官 (BISO) 或类似的职位,而一致性不足的企业只有 35%。该研究也表明, 在对关键漏洞进行评估流程自动化方面,与业务安全保持一致的信息安全领导者相较于被动、各自为政的安全领导者高出 +49 到 +66 个百分点。
接下来的章节将探讨上述及其他研究成果,并就 Tenable 如何帮助企业解决这种脱节背后的技术与数据挑战提供指导。在第 1 章中,我们将更深入探讨安全领导者在回答“我们有多安全?”这一问题时所面临的诸多挑战。第 2 章会以“取材自重大新闻”的角度,探讨企业如何应对新冠疫情,阐明业务与网络脱节在现实生活中的表现。在第 3 章中,我们将讨论现有的网络安全指标为何失灵,难以向 CISO 与其他安全领导者提供解决业务风险所需的数据。第 4 章与第 5 章 将讨论什么是与业务安全保持一致的网络安全实践,以及如何在企业中着手建立此类实践,并提供我们的独到见解与建议,帮助读者将自身的角色转变为与业务安全保持一致的网络安全领导者。
—Tenable 首席安全官 Robert Huber 出于本研究需要,“业务影响”是指涉及到导致下列一个或多个问题的网络攻击或入侵的事件:客户、员工或其他机密数据的损失;日常运营中断;为勒索软件支付赎金;财务损失或被盗;和/或知识产权被盗。企业如何客观度量网络安全风险
采用 Cyber Exposure 管理的最佳实践后,企业能更有效地減少职能部门壁垒,对风险的讨论和评估达成共识,即业务团队和安全团队能够从相同的角度审视问题。有了 Tenable,企业就能全面评估、管理,进而減少自身在现代攻击面中遭遇的网络安全风险。Cyber Exposure 可以为企业提供客观度量自身网络安全风险的手段(包含内部与同业比较),从而为指导战略决策提供有益见解,使安全计划更好地与业务目标保持一致。正如其他职能部门各有一套记录系统,例如 IT 部门的信息技术服务管理 (ITSM)、销售部门的客户关系管理 (CRM),Tenable 也可以成为一种记录系统,有效管理并度量网络安全风险,进而确定是否会引发业务风险。