事实表明,一些最大的数据泄露事件通常来自小错误。
在今年5月发生的针对Colonial在管道网络攻击中,黑客利用公司泄露的密码通过虚拟专用网络入侵Colonial公司网络;Equifax2017年公司遭遇网络攻击的切入点是未修复的知名漏洞;推特的比特币骗局始于对推特员工的鱼叉网络钓鱼攻击。
虽然没有完美的安全计划,但这些事件表明网络安全团队不能忽视任何事情。
网络安全领导表示,企业需要警惕8个容易被忽视的陷阱,这些陷阱可能会破坏一些成功的安全计划:
1.关注技术风险而不是业务风险
联合国项目事务署首席信息安全官、国际信息系统审计控制协会(ISACA)董事会成员Niel Harper网络安全已成为董事会成员关注的话题,但首席信息安全官和其他高管往往继续将安全视为技术风险而不是商业风险。
Harper当企业领导狭隘地看待网络安全时,就会产生负面影响。
他解释道,“当他们将信息安全视为技术风险而不是业务风险时,他们不会看到这种风险嵌入到业务的各个方面。因此,首席信息安全官通常不会向董事会成员报告风险,而是通知相关负责人。”
Harper据说,我们已经看到一些首席信息安全官通过与利益相关者建立良好的关系来扭转这种局面。他们加强沟通,了解风险和目标,然后向董事会成员展示如何解决这两个问题。
2.过分强调合规性
通常,企业必须遵循行业、监管和法律标准,才能更好地开展业务。著名的法律法规包括支付卡行业的数据安全标准(PCI DSS),适用于处理信用卡的企业;美国健康保险流通和责任法案(HIPAA),适用于任何处理医疗记录的人;以及欧盟通用数据保护条例(GDPR)。此外,还有安全标准和框架,如ISO/IEC27001标准。
Harper指出,首席信息安全官不能忽视他们必须符合的合规标准,但他们和安全团队成员不应认为只要他们符合法律法规,他们的行为就是安全可靠的。
他补充道:“合规性给企业带来了虚假的安全感。事实上,尽管许多企业遵守这些规定,但违规行为仍在增加。”
Harper表示,企业不能忽视合规标准的重要性,首席信息安全官必须始终知道,让其他高管了解这些要求不是动态的,因此可能无法解决新的网络威胁,也不能根据具体情况(即人员配备、技术堆栈、风险)准确衡量企业的安全。
他说:“这并不能真正理解企业面临的风险和问题。”
3.安全行动不够快
许多企业正在通过迁移到云平台、更快速的软件开发和快速响应客户需求来加快数字转型的实施。一些安全顾问指出,并非所有的首席信息安全官员都能跟上安全发展的步伐,这导致了企业安全状况的整体差距。
一些企业也表达了类似的担忧。GitLab该公司于2021年5月发布了最新的全球公司DevSecOps调查报告显示,约84%的受访者在4300名开发人员的调查中表示,他们发布代码的速度比以往任何时候都快,但近一半(42%)的受访者表示,安全测试发布时间太晚,几乎相同比例的受访者表示很难识别和解决安全漏洞。此外,37%的受访者表示,跟踪缺陷修复的状态是一个挑战,33%的受访者认为修复优先级难以确定。
UST公司首席信息安全官Tony Velleca说,“安全需要更加敏捷,首席信息安全官需要从根本上思考如何处理网络安全问题。”
许多首席信息安全官似乎都明白这一点。GitLab公司在调查中发现,70%的开发团队在开发初期考虑安全性。这比前一年略有上升。当时,65%的开发团队表示,他们在开发初期嵌入了安全性。
4.总是关注紧急情况
德勤公司首席信息安全官兼网络风险服务战略负责人Andrew Morrison安全计划面临的最大威胁之一是被安全团队的紧急情况所困扰。
他说,首席信息安全官和他们的团队可能忙于处理最紧迫的需求——即使这些都是低级问题,他们也没有时间和精力解决战略优先事项;他们每天都在努力解决突然出现的小问题,而不是加强企业更关键要素的安全。
Morrison补充道,“对他们来说,安全不再是计划,而是对正在发生的安全事件的战术反应。因为紧急情况取代了重要的事情。”
Morrison指出,虽然从这样的场景中拯救安全团队是非常具有挑战性的,但首席信息安全官可以识别最大的风险,并专注于处理这些风险,从而使安全工作与企业优先级保持一致。这将使他们和安全团队在处理问题时变得不那么被动和战略性。Morrison说:“首席信息安全官致力于管理安全事件,而不仅仅是反应事件。”
5.过于关注工具和技术,而不是利益相关者及其需求
同样,研究机构Forrester公司首席分析师Jinan Budge利益相关者的参与可能会阻碍安全计划的实施。
她解释道,“没有这些计划,首席信息安全官就不知道该优先考虑什么或如何获得支持。未优先考虑利益相关者的首席信息安全官更有可能面临其他高管的抵制,甚至可能削减他们的项目资金。因此,首席信息安全官需要审查他们的策略。”
她说,除非他们与利益相关者密切合作,共同创建和设计业务战略和网络安全战略,否则他们不会充分了解企业的业务风险。
6.安全部门缺乏安全意识
行业专家表示,只建立一支强大的安全团队,但未能在企业中创造安全意识文化,也可能影响安全。
统计数据证明了这一点。Verizon公司2021年发布的数据泄露调查报告,2020年85%的数据泄露与人为因素有关。
就像云计算技术开发商一样Accurics公司首席信息安全官兼研究主管Om Moolchandani所说:“点击错误的链接可能会破坏首席信息安全官发布的议程。”
首席信息安全官必须制定有效的安全意识和培训计划,帮助员工了解他们在安全方面的作用。
Morrison说。“安全文化非常重要,因为它是首席信息安全官及其安全团队的力量倍增器。如今,几乎每一次网络攻击都是通过破坏证据或违反个人信任来实现的,如社会工程、网络钓鱼和获取密码。因此,有效的安全措施必须包括让每个人都意识到这些风险;包括让安全成为每个人工作的一部分。”
7.忽视自己的安全人员
经验丰富的安全领导人表示,忽视团队成员和安全部门文化的首席信息安全官很快就会发现安全计划受到影响。
Budge说,“人们通常认为,运作不善的团队会影响成员的发展,也会影响网络安全的情况和风险。”Budge研究重点是如何使首席信息安全官成功,制定变革性的网络安全战略,培养安全意识、行为和文化。
她补充说:“如果安全团队不堪重负,不采用创新技术,不实现自动化,不考虑更大的图景或策略。这些因素将使安全团队难以发挥关键作用。”
对现状不满意的员工更有可能离职。这可能会使首席信息安全官面临人员短缺,对团队产生负面影响。“员工离职将进一步增加安全团队的负面印象,员工之间可能难以更好地沟通。”
Budge如果首席信息安全官发现面对这种情况,他们需要发挥领导技能来实施管理和工作场所战略,如团队建设计划或培训计划,这可以使他们的部门走上更好的发展道路。
8.迷恋新事物
首席信息安全官可能会选择越来越多的新技术和流程,如扩展检测和响应(XDR)、行为分析、威胁跟踪和零信任模型。然而,如果席信息安全官不能完美地执行可靠安全计划的更基本要素,如果这些高级选项没有根据企业的具体需要进行调整,就不会带来真正的安全效益。
Moolchandani说,“我们最近在对漏洞进行分析时看到,网络攻击者利用了技术漏洞或安全漏洞。”
他说,为了真正有效,企业需要根据其特定的风险和可能的威胁来源制定安全计划。例如,虽然这些公司很容易受到攻击,但一家公用事业公司比一家小型零售商更有可能成为黑客和民族主义行为者的攻击目标。了解这些要点的首席信息安全官可以根据企业的特殊要求定制安全策略。他指出,专注于改善网络安全的基础可以为安全团队提供最大的价值,即使预算有限。