一篇文章告訴你如何計算安全的價值
如何協(xié)調員工和預算以更好地保護組織?
盡管我們認為,在 WannaCry、NotPetya 和其他引人注目的漏洞席卷全球之后,網絡安全意識狀態(tài)會發(fā)生變化,但事實證明,許多企業(yè)仍然沒有認真地對待 IT 安全問題。這背后的原因其實很容易理解:畢竟那些經歷過網絡攻擊的企業(yè)(如 Target、Sony Pictures、Equifax 以及 Maersk)仍在正常運行中,且表現得很好。
那么,這些遭受過攻擊的組織是否為此改變了其網絡安全協(xié)議呢?答案是毋庸置疑的。網絡攻擊總是通過巨大的財務影響直接打擊一個組織,來強制其進行改變。只有及時做出了改變,其業(yè)務才能照常運行下去,否則將面臨淘汰的命運。
當然,這對 CISO 及其網絡安全團隊來說也成了一個巨大的壓力源。他們每天都會被提醒 “組織是多么容易受到攻擊”——修補程序已經過時;遠程工作人員將未受保護的系統(tǒng)置于危險境地;預算和資源不足以及IT運營和IT安全之間缺乏合作(甚至更糟糕的是存在直接沖突)等因素都使組織面臨攻擊的風險加劇。
IE 公司發(fā)布的一份有關 IT 安全的最新報告《整頓內部 (Getting Your House in Order) 》發(fā)現,IT 正面臨 3 大挑戰(zhàn):保護新技術,限制性預算,以及IT安全和IT運營之間缺乏對彼此工作方式的理解。更糟糕的是,在預算分配方面,90% 的組織會在 IT 安全性之前優(yōu)先考慮其他事項(如客戶服務、銷售等等)。
那么公司應該如何整合這些因素來妥善地保護組織安全呢?他們必須做到以下幾點:
1. 確認數據的可訪問性
事實證明,人們對于 “數據集是多么容易被發(fā)現”(即便是在所謂的安全云平臺上)普遍缺乏了解。太多的操作是基于這樣一個假設:他們可以將數據轉儲到云中的 S3 存儲桶中,因為它位于安全平臺上,所以它也是安全的。但事實上,云存儲的安全性就像用于訪問它的協(xié)議和端點一樣脆弱。單個受損用戶憑證就可以提供對最有價值數據的自由訪問權限。
2. 認識到 “外包” 并不是解決方案
大多數公司認為,當他們把數據轉儲到云端時,他們也將安全責任一并丟給了云服務提供商。他們認為,在亞馬遜Web服務 (AWS) 或 Azure 上購買云服務就像購買保險單一樣。事實當然并非如此,相反地,大量的 S3 存儲桶其實完全不安全。即便這些服務會受到云服務提供商的保護,但數據的安全性卻與訪問它的端點的安全性一樣脆弱,這也就解釋了為什么對于組織而言保護端點才是至關重要的。
3. 將其數據價值與等價資源相匹配
除非你在保護數據方面投入了足夠的資源和財力,否則它不會是安全的。為了改善網絡安全,超過 75% 的安全專家表示,他們的組織需要在培訓IT安全和IT運營團隊,以及將其軟件遷移至自動化方面投入更多資金。而超過 60% 的受訪者表示,他們的組織需要在軟件修補方面投入更多資金。顯然,安全價值和分配給它的資源之間存在錯位現象。
4. 評估其 IT 資產的風險等級
數據顯示,只有大約 60% 的組織對其網絡上的端點和正在使用的軟件配置了高級別的控制機制和可見性。由于存在遠程工作者,本地管理員權限以及部門或基于位置的自治權限,如果沒有某種類型的自動化解決方案,IT 團隊根本沒有能力追蹤組織的資產狀況。但是,你永遠無法保護自己看不到的東西,所以組織必須要清楚地了解其 IT 資產狀況,以便為其提供適當的保護。
5. 遷移至Windows 10
目前來說,企業(yè)將系統(tǒng)升級至 Windows 10 大多出于安全性考慮,還沒有一個出于商業(yè)目的的案例。然而,無論你是選擇 Windows 7 的擴展支持協(xié)議還是咬緊牙關并遷移至 Windows 10,你仍然需要為端點安全買單。首席信息官們必須意識到,提高安全性是一個行之有效的商業(yè)案例,既可以幫助組織守住底線,又可以保護董事會和股東的商業(yè)利益。事實上,58% 的受訪者認為,到 2020 年未能遷移至 Windows 10 的組織將面臨 “重大安全風險”。首席信息安全官可以利用這種風險潛力來獲取用于升級所需的投資。
6. 解決修補和寬帶問題
更新的速度和有限的寬帶所帶來的挑戰(zhàn)正在成為許多企業(yè)的發(fā)展瓶頸。假設你正在運營一家金融企業(yè),但是由于一個系統(tǒng)補丁問題卻致使你的交易員們被迫停工一小時,那么他們每人可能會損失 100 萬美元。考慮到超過一半的 IT 專家認為,未修補的軟件是導致安全漏洞的主要原因之一,所以修補必須成為優(yōu)先事項。此外,組織還需要投入適當的工具來實現流程自動化,以幫助克服修補挑戰(zhàn)和寬帶不足的問題。
將 IT 運營和 IT 安全結合在一起,可以確立他們 “朝著一個目標努力” 的凝聚力。在微軟,不僅所有開發(fā)人員都接受過一定程度的安全培訓,他們還會讓安全人員坐在這些開發(fā)人員旁邊。他們之間的合作可以確保正在進行的工作從一開始就符合公司既定的安全準則,以降低安全漏洞的風險并防止兩個團隊出現對抗或沖突的情況。
通過教育 IT 運營和 IT 安全團隊了解彼此的工作職責、目標等內容,公司可以充分利用其 IT 資源的全部功能,并通過上述這些反映其對安全價值的投資來更好地保護組織。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
