网络安全失败以及如何预防
网络掠夺者是无情且无情的。一旦出现失误,您的企业就可能陷入瘫痪。这就是为什么不仅要建立强大、有弹性的保障措施和实践,而且要确保它们有效发挥作用。
在网络安全方面,失败绝对不是一个选择。麻省理工学院斯隆管理学院网络安全执行主任 Keri Pearlson 认为,企业领导者必须将重点从保护转向恢复能力。“我们需要假设坏人将进入我们的系统,找到新的方法来攻击我们,并不断创新以实现他们的目标,”她解释道。
虽然强有力的保护仍然很重要,但领导者还需要考虑他们的组织如何吸收攻击、恢复并继续前进。皮尔森设想了一个未来的世界,在这个世界中,组织遭受攻击时,其系统、声誉、资产、组织和供应链将受到零损害。“简而言之,它们很有弹性。”
皮尔森建议组织建立安全技能、流程和程序,让他们能够注意到、阻止、响应、恢复和改进。“具有弹性意味着采用动态的网络安全方法,不断适应不断变化的条件,这样当攻击发生时,组织的运营就不会受到影响,”她说。
协调漏洞
安全服务公司 HackerOne 的首席安全技术专家 Kayla Underkoffler 主张更多地使用协调漏洞披露——公开披露新发现的网络安全漏洞。她指出,虽然这个概念已经成为公认的最佳实践,但许多组织仍然不愿意向前迈进。“在披露已修补的漏洞时保持透明和协作不仅有利于披露的组织,而且有利于整个互联网的安全,”Underkoffler 说。
只有承认并分享导致违规的漏洞和错误,才能提高所有组织的安全性。实现透明度的一种方法是采用漏洞披露计划(VDP),该计划提供了如何报告漏洞的计划。“其核心是‘看什么、说什么’的政策,”安德科夫勒说。“这有助于组织通过明确的指导方针与安全研究人员进行协调,并避免过早或意外发布仍可能对组织构成风险的漏洞。”
运营与风险
Baker Donelson 律师事务所数据保护、隐私和网络安全团队主席 Alisa Chestler 敦促组织不要将安全规划视为严格的网络问题。她指出,保护企业资产实际上是一个运营和风险问题,需要整个管理团队进行仔细、详细的规划。
Chestler 警告说,将安全规划仅限于企业的 IT 团队完全没有抓住重点,并使企业面临重大风险。她表示:“未能针对可能发生在组织身上的各种潜在行动和事件做好计划,意味着企业对可能发生的一系列事件完全没有准备。”
切斯特勒建议创建一个强有力的治理计划,该计划需要定期安排管理团队会议,专门讨论安全问题。她建议,该团队的最初任务应该是绘制风险图,然后努力减少漏洞。她解释说,一旦制定了适当的治理计划来与运营、IT、法律和财务同事一起审查和分析安全问题,企业就可以开始认真关注当前和潜在的未来威胁。
实施工作治理计划的最大障碍之一是企业文化,特别是来自信息较少的管理团队成员的抵制。Chestler 认为,通过持续的知识共享可以赢得管理层对强有力的安全治理的支持。她建议,继续发布有关当前网络安全事件的新闻是促使管理层了解他们的角色在持续努力降低组织风险(尤其是新威胁不断演变的风险)方面的重要性的一种方式。
过度自信会致命
也许一个组织可能犯的最大的网络安全错误是对其成功应对当今复杂、广泛的攻击的能力过于自信。技术研究和咨询公司 ISG 的总监 Phil Quitugua 解释说:“威胁行为者不断发展他们的策略和技术来规避防御。” 太警觉和准备是不可能的。
跟上威胁形势并定期进行评估应该成为企业网络安全的关键。Quitugua 表示:“持续改进网络安全方法是避免过度自信的关键。”
此外,验证安全控制是否按预期运行应该是一个永无止境的过程。Quitugua 建议:“更进一步,企业应该通过网络范围演习了解其整体弹性能力。”