企業網絡安全投資的法拉利陷阱
責編:gltian |2020-04-21 11:08:52如果企業購買了最先進、最昂貴的網絡安全工具和服務,就能在安全賽道上甩掉同行?這種想法我們不妨稱之為企業網絡安全的“法拉利陷阱”。
如果駕駛水平不夠,購買昂貴的跑車不但浪費,而且可能會發生危險。
根據針對《財富》 500強公司的網絡安全調查,很多企業擁有先進的網絡安全技術,而這些技術僅僅發揮了一小部分功能。不可否認這些都是很優秀的產品,但是企業決策者要么對產品缺乏全面了解,要么不完全了解實施前后的工作量。這就像購買了一輛法拉利卻不會開一樣。
術高莫用
購買大型網絡安全解決方案時,尤其是附帶硬件的網絡安全解決方案時,企業決策者必須記住,這些解決方案通常需要大量的協調和高級技能才能“正確打開”。例如,有些云服務商告訴你他們的云端零信任方案是“開箱即用”的,這聽上去是不是“too good to be true”?
確實,部署復雜的網絡安全解決方案僅需幾天時間,但真正有挑戰的是構建高級用例,將環境中的技術作為基準,然后根據業務最有可能面臨的風險對其進行更新和配置,這個過程需要數周甚至數月。
就像購買一輛時髦的豪華汽車前需要做充足的功課,企業不應該只看標價,篤信“一分錢一分貨“,要知道喬布斯買臺滾筒洗衣機還要用平衡記分卡召開多次家庭會議,耗時數周才能敲定。企業必須考慮在自身環境中日常維護和運營這些產品/方案的成本和時間。
此外,企業還需要評估團隊成員的技能和專業知識,確定他們是否具有配置解決方案所需的能力,這里說的能力不僅是讓解決方案正常運行起來,還包括對其進行優化和充分利用的能力。這絕非易事,如果從未使用過類似技術或從未參與過如此大規模的部署項目,即使是經驗豐富的安全團隊成員也會迅速掉進大坑。
我們經常在網絡安全技術(例如端點檢測和響應EDR、行為分析、欺騙技術和人工智能(AI)驅動的解決方案)的案例中看到這種情況,許多大型企業都有EDR解決方案,但實際上很少有公司在進行托管檢測和響應。他們只是在EDR上收集事件,而繞過了對事件做出快速響應所必需的更深入的調查或威脅分析。
一些安全方案對其技術檢測、緩解和消除威脅的能力的描述聽起來令人印象深刻,安全專業人員和決策者很容易產生“剁手”沖動。但是,如果您的團隊沒有足夠的資源來維護和有效地驅動產品,那么首先購買它就沒有任何意義,并且最終將導致預算浪費。
框架優先
下去我所見過的公司是這個常見問題的受害者,通常他們沒有購買該網絡安全解決方案的完整商業理由。他們可能已經看到了需求,或者被某個特定解決方案可以為他們提供即時可見性的想法所吸引,但是他們再也沒有進一步詢問自己,該產品將如何適應他們的安全生態系統。可見性到目前為止。如果您沒有能力在您自己的團隊中或通過合作伙伴審查可見性并采取行動,就不要急著出手。
為了從網絡安全投資中獲得最大收益,企業應該首先創建一個安全成熟度框架。該框架將幫助您的企業評估自身的安全能力,發現弱點和優勢,并為開發更高級的網絡安全計劃選定一條前進道路。首先需要評估組織的風險承受能力。風險承受能力越低,您的安全成熟度就需要越高。
接下來,通過將程序與經過驗證的行業框架(例如NIST網絡安全框架和網絡安全能力成熟度模型C2M2)的要求進行比較,評估您的人員,流程和技術。后者是由美國政府開發的,用于能源領域,但是基本模型可以應用于任何領域。
一旦建立了三到五年周期的安全性成熟度框架,您就可以確定存在哪些漏洞或風險領域,然后可以對技術或服務進行優先級排序以填補這些漏洞。安全成熟度框架可幫助組織專注于適合其計劃的技術或產品,而不會被新技術新方案弄花了眼,盲目采購。
此外,企業還可以關注安全業界較為關注的CMMC安全成熟度框架,以及系統安全工程能力成熟度模型(SSE-CMM)和國標GB/T 37988-2019數據安全成熟度模型(DSMM),這些模型各有側重,國內企業可以結合自身行業特性和實際情況參考借鑒。
此外,針對不同行業的安全需求,企業也可以開發自己的安全成熟度模型,例如在此前的文章中,安全牛介紹過立邦網絡安全主管嚴偉設計的安全成熟度模型,針對制造業的安全需求進行了優化,特別適合注重實效的數字化轉型階段的制造業企業參考。
人的因素
在創建安全成熟度框架之后,評估您的團隊管理,以及持續優化計劃中的技術產品的能力。問問自己,您的團隊能否勝任,是否需要借助外部資源的支持。問問自己,新產品功能現在是否是運營的核心,以及針對這些功能的專業知識是否很重要。如果是這樣,請準備投資培訓和繼續教育,以提高當前和將來團隊成員的技能。
每次購買網絡安全產品時,企業決策者都應該進行全面的技能和服務評估。只有這樣,您才能確保您正在優化和最大化領先的網絡安全技術,將您的網絡安全計劃帶入快速通道,充分發揮其潛力。
參考資料:
NIST網絡安全框架:
https://www.nist.gov/cyberframework
網絡安全成熟度模型C2M2:
https://www.energy.gov/ceser/activities/cybersecurity-critical-energy-infrastructure/energy-sector-cybersecurity-0
上一篇:暗網“爆品”報告:欺詐指南占半數
下一篇:醫療行業郵件安全將何去何從?