由于2017年夏天Equifax數(shù)據(jù)泄露事件導(dǎo)致近1.47億美國(guó)公民個(gè)人信息暴露，今年Equifax董事會(huì)成員的連任遭到強(qiáng)烈反對(duì)。投資者們對(duì)Equifax董事的高度不滿，反映出董事會(huì)成員對(duì)網(wǎng)絡(luò)安全沒(méi)有給予足夠重視所導(dǎo)致的嚴(yán)重后果。

那么具體來(lái)說(shuō)，董事會(huì)成員應(yīng)該如何更注重安全?在Black Hat 2018大會(huì)上，我們向6位CEO和技術(shù)領(lǐng)導(dǎo)者提出了這個(gè)問(wèn)題，他們強(qiáng)烈建議董事會(huì)成員深入了解數(shù)據(jù)隱私、破壞模擬練習(xí)以及開(kāi)放軟件源代碼。

以下是參加Black Hat 2018大會(huì)的行業(yè)領(lǐng)導(dǎo)者認(rèn)為董事會(huì)需要更深入地探討的網(wǎng)絡(luò)安全戰(zhàn)略六大要素。

開(kāi)源庫(kù)

Veracode公司研究副總裁Chris Eng認(rèn)為，企業(yè)面臨著因開(kāi)源庫(kù)可能導(dǎo)致信息泄露的風(fēng)險(xiǎn)。Eng說(shuō)，近5、6年來(lái)看，這對(duì)安全專業(yè)人員完全是個(gè)盲點(diǎn)，而且開(kāi)發(fā)人員仍然不太可能考慮這種做法，或者更新他們正在用來(lái)保存代碼片段的庫(kù)。

“軟件就像牛奶一樣會(huì)過(guò)期，而不是葡萄酒那樣時(shí)間越長(zhǎng)越好。對(duì)軟件來(lái)說(shuō)，時(shí)間越長(zhǎng)安全性就越來(lái)越差。”

Eng表示，董事會(huì)成員很少直接詢問(wèn)與借用或沿用下來(lái)的項(xiàng)目有關(guān)的安全風(fēng)險(xiǎn)，不過(guò)這個(gè)問(wèn)題已經(jīng)開(kāi)始成為CISO感興趣的領(lǐng)域。

業(yè)界通常會(huì)考慮與其合作的廠商或者承包商所帶來(lái)的第三方風(fēng)險(xiǎn)，但Eng表示，此外還需要考慮用于運(yùn)行企業(yè)應(yīng)用的軟件和代碼來(lái)自何處。

數(shù)據(jù)隱私

根據(jù)Micro Focus安全和信息管理與治理產(chǎn)品組總經(jīng)理John Delk的說(shuō)法，在通過(guò)立法(如GDPR或者美國(guó)加州的隱私法規(guī))實(shí)施隱私要素之前，數(shù)據(jù)安全并不是董事會(huì)層面關(guān)注的主題。

隨著董事會(huì)開(kāi)始討論如何存儲(chǔ)和傳輸個(gè)人身份信息及訪問(wèn)數(shù)據(jù)的位置時(shí)，終究會(huì)有那么一天，董事成員們會(huì)就加密和生命周期管理進(jìn)行更廣泛的討論。

Delk說(shuō)，有越來(lái)越多的企業(yè)組織開(kāi)始設(shè)置熟悉數(shù)據(jù)官這個(gè)職位，作為董事會(huì)的代理，圍繞建立隱私政策、了解如何實(shí)施控制、維持對(duì)潛在敏感數(shù)據(jù)生命周期的全面了解。

因此，IT部門或者組織內(nèi)其他下游部門需要選擇正確的隱私工具，并將這些工具融合在一起，使其符合高管實(shí)施的管控框架。

泄露模擬演練

Xerox首席信息安全官Alissa Johnson表示，當(dāng)數(shù)據(jù)泄露事件時(shí)，企業(yè)組織應(yīng)該有一個(gè)單獨(dú)的管理鏈，以確保業(yè)務(wù)繼續(xù)像一臺(tái)運(yùn)行良好的機(jī)器一樣。為了打造深入腦海的記憶和適當(dāng)?shù)膱?chǎng)景，企業(yè)需要定期演練他們的數(shù)據(jù)泄露響應(yīng)計(jì)劃。

隨著時(shí)間的推移，董事會(huì)會(huì)要求提供關(guān)于數(shù)據(jù)泄露模擬演練的更多信息，要求提供有關(guān)模擬所關(guān)注數(shù)據(jù)類型的信息，以確保企業(yè)為此做好了準(zhǔn)備，不管最終哪些數(shù)據(jù)受到了影響。Johnson說(shuō)，圍繞這種演練的指標(biāo)很重要，每年練習(xí)一次也都算不上頻繁。

隨著董事會(huì)越來(lái)越多地關(guān)注數(shù)據(jù)泄露管理，首席信息安全官的任務(wù)就是要讓董事會(huì)了解最新的準(zhǔn)備情況。Johnson表示，人們往往會(huì)評(píng)價(jià)那些成為數(shù)據(jù)泄露受害者的企業(yè)的響應(yīng)情況，因此制定數(shù)據(jù)泄露響應(yīng)計(jì)劃也是向外界表明企業(yè)是準(zhǔn)備就緒的。

量化風(fēng)險(xiǎn)

根據(jù)Digital Guardian全球渠道副總裁Marcus Brown的說(shuō)法，為了減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，企業(yè)組織必須首先找到衡量風(fēng)險(xiǎn)的方法，然后制定控制措施和政策以降低風(fēng)險(xiǎn)。

因此，董事會(huì)已經(jīng)開(kāi)始建立自己的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)委員會(huì)，以準(zhǔn)確了解其組織內(nèi)存在的風(fēng)險(xiǎn)，并確保正確的補(bǔ)救流程是到位的。然而，Brown表示，通常只有財(cái)富500強(qiáng)企業(yè)或者其他成熟企業(yè)才會(huì)設(shè)置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)委員會(huì)。

Brown表示，董事會(huì)成員應(yīng)該了解企業(yè)的數(shù)字資產(chǎn)在哪、誰(shuí)可以訪問(wèn)、這些資產(chǎn)最經(jīng)常遷移的路徑是什么、可能使這些資產(chǎn)面臨風(fēng)險(xiǎn)的原因有哪些。鑒于大多數(shù)企業(yè)在他們的生態(tài)系統(tǒng)中既有個(gè)人客戶信息也有知識(shí)產(chǎn)權(quán)信息，所以Brown說(shuō)董事會(huì)應(yīng)該參與數(shù)據(jù)泄露計(jì)劃流程。

基準(zhǔn)績(jī)效

BitSight總裁兼首席執(zhí)行官Tom Turner表示，董事會(huì)制定的網(wǎng)絡(luò)安全策略，通常由關(guān)注特定事件或服務(wù)故障所決定，特別是競(jìng)爭(zhēng)對(duì)手經(jīng)歷的大事件。

為了擺脫被動(dòng)局面，Turner建議董事會(huì)成員要建立網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理的績(jī)效基準(zhǔn)，類似于在銷售、營(yíng)銷和庫(kù)存等領(lǐng)域所建立的基準(zhǔn)。

特別是董事會(huì)應(yīng)該根據(jù)NIST(國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院)等行業(yè)框架以及同行成員來(lái)衡量企業(yè)的治理和安全控制措施。他建議，董事會(huì)應(yīng)該重點(diǎn)關(guān)注企業(yè)組織通過(guò)打補(bǔ)丁等措施保護(hù)面向外部的基礎(chǔ)設(shè)施的效率。

危及整體業(yè)務(wù)的風(fēng)險(xiǎn)

Cybereason聯(lián)合創(chuàng)始人兼首席執(zhí)行官Lior Div認(rèn)為，那些將網(wǎng)絡(luò)安全視為IT問(wèn)題的企業(yè)，傾向于認(rèn)為可以通過(guò)IT相關(guān)手段來(lái)解決這一問(wèn)題，例如制定備份政策或更頻繁地備份。

但鑒于黑客也在不斷發(fā)展并改變他們的行為方式，Div認(rèn)為，網(wǎng)絡(luò)安全不是提出一個(gè)宏大的解決方案，而是要更多地了解企業(yè)愿意承擔(dān)的風(fēng)險(xiǎn)程度，以及如何對(duì)公司面臨的各種風(fēng)險(xiǎn)進(jìn)行分類。

Div說(shuō)，董事會(huì)應(yīng)該確定他們可能面臨的最重大威脅的后果是什么，然后再回過(guò)頭來(lái)弄清楚每個(gè)風(fēng)險(xiǎn)因素如何得到緩解。

例如，針對(duì)醫(yī)院的勒索軟件攻擊，可能會(huì)導(dǎo)致醫(yī)院的計(jì)算機(jī)無(wú)法正常工作，Div稱這將是一場(chǎng)災(zāi)難，因?yàn)檫@種攻擊實(shí)際上會(huì)讓各種設(shè)備設(shè)施無(wú)法運(yùn)行，而中斷為患者的服務(wù)。