CISO應如何構建全面的安全文化與風險緩解策略?
責編:gltian |2024-08-15 18:03:25安全是每個人的責任。雖然在組織中培養安全文化并非易事,但卻是必不可少的。為了培養安全文化并獲得員工的認可,重點關注提高安全意識和評估現有安全措施的有效性非常重要。首席信息安全官 (CISO) 或其他安全職能崗位必須領導、提供資源并提供支持,以在組織中建立安全文化。通過對員工進行網絡安全最佳實踐教育并讓員工參與其中,組織可以培養安全作為共同責任的文化。CISO對組織目標的理解程度以及相應的安全舉措的調整程度可以幫助他們識別普遍存在的無效安全措施和浪費的資源。然而,僅僅關注安全而不考慮其對運營效率或客戶體驗的影響可能會導致潛在的缺點和限制,例如阻礙安全團隊與其他部門之間的增長和協作。此外,高層管理人員的支持不足給有效分配資源和實施必要的變革帶來了挑戰。這些變量意味著每個組織都有獨特的安全環境,CISO必須不斷評估組織的具體挑戰。他們應該相應地調整策略,以保護寶貴的資產并維持穩健的安全態勢。CISO必須運用從網絡事件、勒索軟件攻擊和威脅中汲取的經驗教訓來增強組織的網絡安全防御能力。
溝通與協作
CISO應采取積極措施來加強組織內的溝通與協作。這包括優先與利益相關者如項目經理、高管、IT團隊、員工和外部合作伙伴建立有效的互動。
為了強調其重要性,我們以醫療保健行業為例,由于 IT 和臨床人員之間缺乏溝通,該行業特別容易受到數據泄露的影響。網絡安全中溝通與協作的重要性體現在以下事實:60%網絡攻擊是由內部人員造成的。WannaCry?勒索軟件攻擊在2017年影響了全球范圍內的組織,其中英國國民醫療服務體系由于不同部門之間缺乏溝通和協作而受到的影響尤為嚴重。組織的安全團隊和組織之間要有有效的溝通渠道才能使其他部門更快地發現違規行為。當不同的團隊共享信息和擔憂時,無論是安全團隊還是第三方發現異常活動,他們都可以迅速采取行動。
IBM和Ponemon Institute的《2023年數據泄露成本報告》研究了2022年3月至 2023年3月期間發生的數據泄露事件影響的 553個組織。報告指出,數據泄露的平均成本在2023年達到歷史新高,達到445萬美元,51%的組織計劃因數據泄露情況而增加安全投資。協作事件響應可以幫助最大限度地減少違規行為的財務和時間影響。當各個部門協同工作時,可以有效地整合資源。
有趣的是,該報告還指出,在安全策略中使用人工智能 (AI) 和自動化功能的組織,數據泄露成本相比其他組織少了176萬美元。當安全人工智能和自動化可以與跨職能團隊共享時,它們會更加有效這些知識可用于預防或應對安全事件。
通過建立清晰的溝通渠道和促進協作,CISO可以協調安全工作,防止優先事項不一致,并確保有效應用吸取的經驗教訓,以增強整體網絡安全措施。CISO應該:
-
定期舉行跨職能會議和培訓。 -
建立統一的事件響應計劃。 -
實施用戶友好的安全策略。 -
與外部安全社區和咨詢機構合作。
因此,溝通和協作打破了組織內的信息孤島,從而實現了更高效、更協調和更具成本效益的網絡安全方法。
安全意識和培訓
SANS Institute和IBM的一項研究發現,95%的數據泄露是人為錯誤造成的。Verizon2023年數據泄露調查報告 (DBIR) 顯示,74%的數據泄露涉及人為因素,例如網絡釣魚攻擊或社會工程。該報告還指出,社會工程攻擊的比例已從 2022年的14%增加到2023年的21%。
忽視考慮員工的安全意識和培訓的優先級是一個常見的錯誤。意識培訓向員工傳授安全最佳實踐,最大限度地減少人為錯誤,并在組織中創建安全意識文化。如果沒有適當的培訓和意識,員工可能會在不知不覺中做出危險行為,例如點擊可疑鏈接、不當共享敏感數據、使用弱密碼、離開工作站時不注意安全以及忽視軟件更新,所有這些都可能危及安全。
CISO應確保員工充分了解安全最佳實踐、潛在威脅以及他們在維護安全環境中的角色和責任。這可以通過與人力資源團隊合作進行培訓集成、推廣用戶友好的安全策略以及根據特定角色、措施和文化定制培訓來實現。培訓計劃的持續進行也至關重要。
主動安全措施
CISO必須了解采取主動安全措施的價值而不是依賴被動方法。埃森哲報告稱,“雖然35%的受訪者表示,他們從一開始就將安全控制措施嵌入到所有轉型計劃中,但仍有18%的受訪者在事后才部署安全措施。”
創建安全文化需要組織中每個人的集體努力。每個員工都應該積極主動地遵守安全策略和最佳實踐。此外,投資支持收集威脅情報等策略的技術有助于檢測安全事件。入侵檢測和預防系統也是緩解事件的寶貴投資,因為它們可以防止嚴重損害。
供應商和第三方風險管理
組織通常依賴外部供應商和第三方來提供各種服務和解決方案。Ponemon Institute2022年的一份報告顯示,所有行業中55%的組織表示,管理第三方是一項艱巨的任務,而且會消耗資源。此后,更多的第三方數據泄露事件曝光,危及數百萬人的個人信息。2023年8月,英國大都會警察局宣布涉及其供應商之一的IT系統的安全漏洞。6月2023年,據證實,許多組織以及多個美國政府機構都經歷了與利用 MOVEit Transfer(Progress Software 開發的企業文件傳輸工具)中的漏洞相關的入侵。
因此,必須實施強大的供應商風險管理流程來評估和監控這些第三方的安全狀況。這些流程包括加強合同安全協議、持續監控供應商安全實踐、優先考慮持續風險管理以及從過去的錯誤中吸取教訓。組織應該讓第三方對安全負責,明確保護數據是共同的責任。忽視這些策略可能會使組織面臨外部合作伙伴潛在的違規行為。
在2013年Target數據泄露事件中,網絡犯罪分子通過第三方供暖、通風和空調供應商獲得了對塔吉特網絡的訪問權限。該供應商的憑據遭到泄露,這使得攻擊者能夠滲透Target的系統并竊取4100萬客戶的個人信息。為了防止這種情況發生,Target可以實施更強大的供應商安全實踐,例如多因素身份驗證 (MFA) 和限制對關鍵系統的訪問,這將使攻擊者更難破壞其網絡。
在ISACA的“2023年網絡安全狀況”網絡研討會上,Parkerson指出:“當您將其他供應商添加到您的組織中時,您會增加風險并降低韌性。安全和信任是任何組織的基本能力。” Brandt補充道,“組織內部必須有基線能力,而不是被外部服務提供商和顧問淹沒。”
定期風險評估
美國國家標準與技術研究院 (NIST) 的一項研究發現,定期進行風險評估的組織遭遇數據泄露的可能性會降低60%。Facebook在2018年面臨重大數據泄露,其中事件發生后進行的根本原因分析表明,缺乏適當的風險評估是導致數據泄露的原因。定期進行風險評估對于識別組織內的安全風險并確定其優先級至關重要。CISO應確保以適當的時間間隔進行風險評估,并將評估結果用于推動安全改進和資源分配。達信和微軟進行的全球網絡風險認知調查發現,定期進行風險評估的組織在網絡風險導致重大事件發生之前發現網絡風險的可能性是其他組織的5.5倍。
CISO應該明白,完全消除風險是不切實際且成本高昂的。相反,他們必須專注于實施風險緩解策略,并將資源分配到能夠對組織的安全態勢產生最重大影響的任何地方。
持續監控和威脅情報
組織必須實施持續監控和威脅情報計劃,以有效檢測和響應不斷變化的威脅。僅僅依靠防火墻和防病毒軟件等靜態安全措施是不夠的。實時監控至關重要。如果沒有它,組織很容易受到繞過傳統防御的新威脅的影響。例如,領先的IT管理軟件提供商?SolarWinds在2020年成為高度復雜的供應鏈攻擊的受害者。該攻擊在幾個月內未被發現,從而使攻擊者能夠滲透到眾多組織中。
對網絡流量的持續監控和分析在識別和減輕網絡威脅(例如網絡釣魚活動)方面發揮著至關重要的作用。通過檢測與活動相關的可疑電子郵件地址、惡意URL和惡意軟件簽名等入侵指標 (IOC),安全團隊可以及時響應威脅。與其他組織或安全供應商共享這些IOC有助于防止網絡釣魚活動的蔓延,并能夠實施有針對性的防御來應對類似的攻擊。
另一種主動方法是利用威脅情報源,提供有關已知惡意IP地址、域或文件哈希的實時信息。通過將這些源集成到監控系統中,組織可以主動識別并阻止與惡意活動相關的來源的連接或通信。這使組織能夠利用最新的威脅情報來加強防御,從而顯著降低網絡攻擊成功的可能性。
密切關注新出現的威脅和漏洞是每個人都關心的任務。應鼓勵員工報告可疑活動并分享威脅情報。通過持續監控網絡流量并利用威脅情報,組織可以主動識別IOC 并領先于不斷變化的威脅。將這些實踐整合到他們的安全策略中可以增強他們檢測和響應新興威脅的能力,降低網絡攻擊成功的風險并保護關鍵資產。
遵守法規和標準
組織必須了解并遵守相關的安全法規和標準。遵守合規性法規有多種目的。首先,它可以幫助組織避免因違規而受到處罰、罰款或法律訴訟,從而降低法律和財務風險。其次,合規性通過展示對維護敏感數據安全和隱私的承諾,向客戶、合作伙伴和投資者等利益相關者展示信任和信心。
2023年,Meta因違反歐盟通用數據保護條例 (GDPR) 被處以開創性的12億歐元罰款,亞馬遜、TikTok、谷歌和英國航空公司緊隨其后。一家美國企業因未能遵守美國健康保險流通與責任法案 (HIPAA) 法規而被罰款 150 萬美元。
為了避免類似性質的罰款,CISO必須隨時了解不斷變化的合規性要求,并確保其組織維持必要的控制和文檔來履行義務。
治理、風險和合規 (GRC) 實踐(例如建立GRC框架和進行合規審計)使CISO及其團隊能夠建立強大的控制機制并監控法規的遵守情況。此外,他們還強制維護適當的審計和評估文件。CISO應與法律和合規團隊合作,并優先考慮利益相關者的信任。
事件響應和業務連續性
及時檢測、遏制安全事件并從中恢復對于最大限度地減少對組織運營、聲譽和財務的影響至關重要。因此,制定明確的事件響應計劃和業務連續性策略至關重要。
Equifax在2017年披露,黑客從其服務器竊取了約1.47億人的個人信息。此次泄露是由于Web應用程序中的漏洞未及時修補而造成的。該企業因反應遲緩、缺乏有效的事件響應計劃而受到嚴厲批評。
為了避免出現此類情況,CISO必須培訓其團隊并使其做好準備,以進行有效的事件響應。程序不完善可能會導致延誤、響應不足,并在安全事件期間加劇損害。埃森哲和波耐蒙研究所 2020年網絡犯罪成本研究報告稱,制定快速有效的事件響應計劃的組織可以將網絡攻擊的平均成本降低 200萬美元。有效的事件響應計劃取決于明確定義的角色和定期培訓、高效的溝通、監控機制以及通過事后審查持續改進。與業務連續性和合規性要求的集成也很重要。為了增強網絡安全事件的準備和響應能力,組織應進行事件響應桌面演習,其中涉及模擬攻擊場景。
持續學習和適應
最后,CISO們必須認識到網絡安全格局不斷變化的性質以及持續學習和適應的必要性。通過訂閱信譽良好的網絡安全出版物、參加行業會議以及參與有關新興威脅、行業趨勢和最佳實踐的信息共享網絡來了解最新信息,對于維持有效的安全策略至關重要。與 ISACA、ISC2和信息系統安全協會 (ISSA) 等專業組織合作也可以提供寶貴的見解和交流機會。
結論
高效的CISO了解安全威脅和技術的快速發展。他們明白持續監控、威脅情報收集和相應調整安全措施的必要性。緊跟最新的安全趨勢并保持主動的安全態勢對于有效應對新出現的威脅至關重要。