2021年CISO應關注的五個工作目標
面對緊張的預算和資源,可供企業組織使用的安全措施有限。因此,企業組織需要根據戰略目標對安全措施進行優先級排序。但現實中,由于諸多原因,企業組織的總體安全目標并不明確,在這種情況下,企業組織可以嘗試“日拱一卒”,制定階段性的局部目標。
2021年CISO(首席信息安全官)應該重點關注的五個工作目標:
創建網絡釣魚防范計劃
無線通信公司Verizon在其DBIR 2021數據泄露報告中指出,網絡釣魚仍然是網絡攻擊最常用的手段,在2020年甚至更為流行,占攻擊事件的36%。遠高于一年前的25%,這一增長反映了2020年上半年與新冠肺炎疫情相關網絡釣魚誘餌的涌入。面對網絡釣魚攻擊的日益增長,CISO和其他安全專業人員需要優先創建反網絡釣魚程序。
網絡釣魚攻擊會針對業務人員發送以假亂真的信息,并使用心理戰術營造緊迫感,促使收件人點擊。因此,企業組織需要對員工進行網絡釣魚方面的教育,確保企業組織內從人力資源、法律到研發部門的每個人都了解要查找的危險信號、如何報告可疑消息以及避免單擊鏈接或打開網絡釣魚電子郵件中包含的文件。
重新審視漏洞管理
Verizon在其DBIR 2021中發現,與利用較新漏洞相比,涉及較舊漏洞的攻擊更為常見。產生這種趨勢的部分原因是企業組織并不總是將修補作為優先事項,如果不能及時修補漏洞,攻擊者就可以連續數年利用相同的漏洞進行攻擊和破壞。
企業組織可以通過漏洞管理(VM)、漏洞掃描(通常指CVE漏洞列表或“常見漏洞和暴露”掃描)來應對這一趨勢,再根據風險對這些漏洞進行嚴重性和修復優先級排序。
企業組織實施VM程序的一個難點是了解哪些漏洞是首先要緩解的。當漏洞堆積時,企業組織判斷哪些漏洞最嚴重且具有潛在破壞性可能是一項挑戰。企業組織可以選擇使用高級VM解決方案,提供靈活、精細的評分系統,對已知缺陷進行優先排序。
加強云上資產保護
2021年,外部云資產的安全事件比內部資產更常見。這意味著企業組織需要了解他們的云安全責任。雖然云安全提供商將保護企業組織正在使用的云基礎設施,但企業組織仍然有責任確保添加到云中的所有數據和流程安全。
高級云帳戶監控網絡安全工具可以掃描企業組織云帳戶中的錯誤配置,因為這些錯誤配置可能會成為攻擊者的窗口。云監控工具可以按照風險級別對云帳戶錯誤配置進行優先級排序,以便安全團隊可以解決最關鍵的問題。
優先考慮工業網絡安全
根據Verizon的年度安全報告,工業環境,尤其是制造業環境,已經成為攻擊者的熱門目標。事實上,研究人員發現勒索軟件對制造企業漏洞的惡意利用比前幾年增加了61.2%。報告還發現,個人數據是這些攻擊行為中受損最嚴重的數據類型。
企業組織可以通過優先考慮工業網絡安全來做出響應。例如,安全團可以重點考慮實施工業可見性解決方案來保護運營(OT)環境 。可見性始于整體資產清單,安全團隊可以使用一種工具,通過完整的硬件和軟件資產清單,準確地顯示網絡上的各種資產。
企業組織需要知道這些設備正在與誰通信,設備配置是否在變化,以及存在哪些漏洞,并了解日志中隱藏的問題。一旦企業組織實現了工業網絡安全的實時可見性,就可以實施保護性安全控制,并持續監控企業組織的網絡環境。
使用CIS控件
Verizon在其報告中曾表示,“‘夯實基礎’將有助于解決最有可能影響企業組織的絕大多數安全問題。” 而這個“基礎”的重要組成部分之一就是CIS(全稱Clever Internet Suite)控件,CIS控件是一套提供給軟件開發者,進行Internet網絡開發的控件。由互聯網安全中心維護的CIS最佳實踐優先列表是一個免費的、備受推崇的框架,企業組織可以使用它來確保擁有最重要的安全控制。
CIS安全控制將企業組織的數字環境視為一所房子,如果沒有基本的安全措施,任何人都可以進入。企業組織遵守基本的安全控制,尤其是在CIS Controls v8 實施組1中列出的那些,可以幫助其關閉窗戶,鎖上門,并安裝一個標準的安全系統。雖然沒有可以完全消除攻擊者闖入的可能性,但實施CIS控制有助于降低攻擊的可能性和影響。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
