CISO常犯的五個風險管理錯誤
責編:gltian |2020-05-09 10:44:29新冠疫情導致全球經濟衰退,企業裁員、預算緊縮接踵而至,但網絡攻擊和數字風險也創下歷史新高。新冠疫情期間,勒索軟件、重大數據泄露和隱私事件頻發,微盟刪庫、萬豪二次泄露、Zoom安全風波、小米隱私、越南APT組織入華…
過去不到一周時間,我們就被下面這些事件刷屏:B站500萬粉絲UP主NAS數據被勒索軟件鎖死、成人網站CAM泄露108億條數據(7TB)、特斯拉二手車數據泄露、蘋果iPhone曝出嚴重漏洞、全球最大域名注冊商Godaddy數據泄露、歐洲多家醫療機構和臺灣兩大煉油廠被勒索軟件襲擊、中信銀行“笑果門”…甚至疫情期間的“受益股”,例如主流游戲平臺Valve(游戲源代碼泄露)、Switch(16萬用戶數據泄露)也紛紛中招。
隨著疫情期間安全形勢的不斷升級,全球越來越多的企業領導者都將網絡安全視為頭等大事,將其視為亟待加強管理的戰略風險。
然而,研究機構對高管和董事會成員的調查表明,企業的網絡安全風險管理水平依然不盡如人意。
根據Marsh和微軟的《2019年全球網絡風險感知調查》發現,有79%的受訪者將網絡風險視為企業TOP5優先關注對象之一,22%的受訪者表示網絡風險這是他們最關注的問題。但是,只有11%的人對其組織的安全能力表示高度信任。
與此同時,美國公司董事協會在2019-2020年上市公司治理調查中,有66%的受訪者表示,他們的公司在上一年的董事會議程中至少解決了一次網絡風險問題。盡管有董事會的關注,但是仍有61%的受訪者表示,他們的組織將把業務運營和計劃的優先級放在網絡安全之上。
安全主管表示,他們對這些調查結果并不感到驚訝,因為安全風險管理仍未成熟,稍有風吹草動,許多高管就紛紛暴露出安全風險管理的短板。以下,是企業管理層和CISO常犯的五個風險管理錯誤:
安全與業務缺乏一致性
多位CISO和高管顧問表示,安全運營與業務策略之間缺乏一致性仍然是風險管理中最常見的錯誤之一。
埃森哲安全部門董事總經理兼北美負責人Ryan LaSalle說:
大多數CISO都不衡量企業實際關心的是什么。他們正在衡量技術風險,而不是對業務的影響。他們仍然沉溺于工具和“數漏洞”,但這并不是衡量企業網絡風險的方法。首席信息安全官需要對業務所關心的事情承擔風險。
LaSalle表示,安全和業務部門也未能統一其風險定義并建立他們認為可接受的風險水平,這進一步加劇了安全性和業務部門之間的脫節,并使有效的風險管理變得更加困難。
他解釋,在許多情況下,業務和安全對風險及其影響的看法有所不同,安全有時無法為業務區分固有風險與實施控制和緩解措施后留下的剩余風險之間的區別。
Ryan建議CISO闡明與特定業務目標相關的風險、如何降低風險、可以降低風險的程度以及以何種成本降低風險,以便業務和安全部門對風險有相同的了解,該組織正在采取行動。他補充說:
換句話說,首席信息安全官必須解釋為什么這種風險對業務很重要。
安全能見度低
許多高管正在以“瞎子摸象”的方式管理部分(而非全部)組織的風險,因為他們對企業安全風險沒有完全的了解。
畢馬威(KPMG)網絡安全服務全球聯合負責人托尼·布豐曼特(Tony Buffomante)表示:“人們普遍認為企業對情況有完整的了解,這顯然是一個誤會。”事實上,很多CISO并沒有完整的IT資產清單,也沒有員工和業務部門使用的所有第三方供應商和云應用程序的完整列表。他說:“結果,許多公司僅對不健全或不準確的庫存執行風險評估程序。”
不少業內人士支持該觀點:CISO常常對他們的企業環境沒有完整的了解。其背后的原因各不相同。有時,被收購的公司沒有完全融入母公司。有時,各部門運行自己的技術業務并在這些孤島周圍筑起隔離墻。無論出于何種原因,這種情況都會使CISO無法全面評估整個組織面臨的風險。
與此同時,許多安全運營團隊對自己的工作的了解有限,Insight的安全咨詢業務高級經理Mike Sprunger認為,這是因為安全團隊沒有使用可幫助他們量化和跟蹤風險變化的指標。他說,中小型組織通常不跟蹤風險指標,因為它們缺乏此類實踐的資金和專業知識,而大型公司有時也不跟蹤,因為它們對此類工作的復雜性感到不知所措。
不少安全顧問承認,全面了解技術環境和安全運營需要花費大量精力。CISO必須依靠他們的執行技能來打破長期存在的IT孤島,而且他們必須優先考慮監督要求,以創建可以提供定量觀測分析的指標計劃。
Sprunger補充道:
安全從業人員應該希望以可測量、可重復和有意義的方式量化風險。太多的CISO會關注所有可能的事情,但那無濟于事。您必須側重查看組織中最可能發生的狀況,才能更好地管理風險。
框架優先
復雜性是企業網絡安全面臨的的最大挑戰,因此也產生了很多框架來幫助企業盡快提高網絡安全成熟度并從網絡安全投資中獲得最大受益。但是,企業安全主管們不要迷信“框架即正義“。AttackIQ客戶成功副總裁克里斯托弗·肯尼迪(Christopher Kennedy)認為,過于關注使用監管和合規性框架來管理風險是有風險的。
他說,一些安全領導者錯誤地過分強調了滿足框架要求,并將遵守框架視為最終目標,而不是將資源集中在理解自己組織的獨特需求上,使安全計劃與業務戰略保持一致。并縮小安全計劃中的差距。
滿足框架要求所需要的工作量使資源偏離了CISO最初的問題。因此,作為首席信息安全官,如果我的大部分員工都綁在這些框架上工作,那安全就不會與業務建立密不可分的關系。這意味著安全會被視為業務的阻礙者,因為我專注于這些框架要求而不是業務需求。
肯尼迪并沒有完全否認框架的價值。然而他說,組織需要將框架的要求與企業戰略、行業風險特性、風險承受力聯系。
缺乏針對性
如今所有企業和組織都面臨不斷增長的威脅、攻擊矢量和漏洞。CISO可能會試圖解決所有這些威脅。但是,很多CISO和安全顧問認為,這種眉毛胡子一把抓的方法是錯誤的。相反,他們需要更加專注。
Coinbase的CISO Philip Martin說:
許多人并非一開始就清楚自己容易受到攻擊的薄弱環節和人員,因此往往會無的放矢。
Martin表示,缺乏重點的方法會稀釋本就稀缺的人力資源并增加費用,而安全狀況和風險管理能力卻不會相應提高。
為了最好地管理風險,他和其他安全負責人表示,組織應該更具針對性。
我們需要考慮(風險的)可能性和影響。我們經常查看最新,最“抓眼球“的攻擊。但是,您需要建立有針對性的緩解計劃,并專注于最有可能使您陷入困境的攻擊。我們的預算和人員有限,必須關注最有可能使公司陷入困境的問題。
例如,一家汽車零制造工廠需要優先考慮保護其知識產權和基礎設施,而不是銀行木馬。
沒有考慮時間因素
盡管安全或合規審核可以讓管理層了解安全運營狀況,但專家警告說,審核或審計結果僅反映審核時的安全表現,不能保證未來的有效性。尤其是考慮到新威脅的發展速度,以及安全策略和風險評估同樣需要迅速變化以應對這些威脅。
Buffomante指出:
我們看到許多組織都執行審計流程,但他們沒有利用實時威脅情報來幫助他們澄清與組織相關的當前風險。他們需要對其高優先級區域進行更連續的評估。
企業開始通過實施自動化,機器學習和人工智能來生成更多實時安全評估,來逐漸滿足這一需求。然后,企業需要創建流程,更快地通過實時評估來調整和管理風險。
但是,安全領導者們強調,企業還必須認識到,解決新發現的風險的舉措往往需要更多時間。
LaSalle說:“分析的速度目前超過了決策和采取行動的速度。”安全團隊必須將其納入計劃和進度報告中。如果安全部門要求IT部門和業務部門協同應對新威脅,將風險降低到可接受的水平,那么安全部門就要做好準備,接受各種不可控的延遲。
您不希望安全團隊的敦促使業務部門產生抵觸情緒,安全部門的指南、緩解或者強化措施需要針對業務部門提供循序漸進的計劃,確保其中的要求在業務部門力所能及的范圍內。