一、 CISO的困境
確切來說,除了踏實(shí)的專業(yè)基礎(chǔ)與實(shí)踐外,CISO的工作主要是與人打交道,向領(lǐng)導(dǎo)匯報工作、爭取預(yù)算與資源;向下屬下達(dá)意見、統(tǒng)籌指揮;應(yīng)對威脅背后的攻擊者……這意味著,他們不僅技術(shù)能力要過關(guān),還要會處理復(fù)雜的業(yè)務(wù)與人際關(guān)系。可以說,現(xiàn)代的CISO就像外交官一樣,他們的斡旋與決策決定著整個團(tuán)隊(duì)或企業(yè)的安全防御水平。而隨著網(wǎng)絡(luò)威脅不斷增加、網(wǎng)絡(luò)安全問題真正影響到企業(yè)業(yè)務(wù),CISO面臨的壓力也逐漸增大。
1. 入侵事件難以避免又無法預(yù)見,確保安全需要平衡多方資源
大部分CISO表示他們沒有足夠的資源來防范威脅、保護(hù)企業(yè)安全,其中最短缺的是人才。人手不足會導(dǎo)致安全效率降低。被調(diào)查者普遍反映網(wǎng)絡(luò)中存在約70%已經(jīng)發(fā)現(xiàn)的惡意軟件,潛伏時間未知;有些惡意軟件存在的時間可能超過一年。
近些年,人們逐漸達(dá)成共識,認(rèn)為隨著數(shù)字化進(jìn)程加快,攻擊面逐漸增多,安全事件的確難以避免,安全團(tuán)隊(duì)也無法將防護(hù)做到滴水不漏。哪怕一行代碼出了問題就會引發(fā)大災(zāi)難。
超過60%的受訪CISO確認(rèn)曾經(jīng)在公司的網(wǎng)絡(luò)或設(shè)備中發(fā)現(xiàn)了潛伏的惡意軟件;三分之一左右的受訪者表示對公司的安全狀況有清晰把握,且確認(rèn)沒有惡意軟件潛伏;有將近9%的受訪者對此表示不確定,這個結(jié)果不禁讓人擔(dān)憂。
在發(fā)現(xiàn)惡意軟件的案例中,花費(fèi)的平均時間為14天。其中有一小部分案例發(fā)現(xiàn)的周期超過三個月,甚至六個月。還有一位匿名者表示其團(tuán)隊(duì)發(fā)現(xiàn)威脅時,惡意軟件已經(jīng)存在長達(dá)400天的時間,超過了一年。相比之下,調(diào)查結(jié)果顯示英國安全團(tuán)隊(duì)?wèi)?yīng)急響應(yīng)的效率比美國安全團(tuán)隊(duì)的效率低。他們發(fā)現(xiàn)威脅的平均周期大約是18天,比美國平均周期9.5天多出一倍。
這樣的結(jié)果背后有兩個主要誘因,首先就是網(wǎng)絡(luò)威脅無孔不入,整體防御方案無法盡善盡美。另一方面,CISO認(rèn)為資源的短缺也是造成安全防護(hù)效率不高的原因。57%的受訪者表示所在企業(yè)的安全預(yù)算有限,63%的受訪者認(rèn)為人員調(diào)配是一大難題。其中最重要的是,企業(yè)缺乏對安全團(tuán)隊(duì)員工的有效管理。65%的受訪者都認(rèn)為這一點(diǎn)至關(guān)重要也最為匱乏。
如果按照預(yù)算、人力、技術(shù)和高級管理這四個維度具體區(qū)分,CISO對企業(yè)技術(shù)配備情況滿意度較高,對于人力和高級管理的滿意度較低。
2. 董事會對于安全認(rèn)知不清,高管團(tuán)隊(duì)缺乏安全專家
調(diào)查顯示,僅有一小部分董事會成員對網(wǎng)絡(luò)有深入的了解。盡管CISO認(rèn)為他們的工作很重要,但并沒有很多人認(rèn)可CISO的戰(zhàn)略職能。 60%的CISO自信地認(rèn)為董事會知曉入侵或泄露事件難以避免,但一旦此類事件發(fā)生,仍有三分之一的CISO會被解雇或受到處分。只有不到三分之一的人可以在CISO崗位上待滿三年。
大部分CISO都期待董事會中至少有一個懂安全技術(shù)的成員,這樣才能更好地開展業(yè)務(wù)。但是事實(shí)上,董事會中有安全專家的比例不到6%。還有30%的受訪CISO承認(rèn)其團(tuán)隊(duì)中連一個專家都沒有。導(dǎo)致CISO常常覺得自己的與其他組織或團(tuán)隊(duì)脫節(jié),也得不到合理的管理與指導(dǎo)。
52%的受訪者表示董事會認(rèn)可安全團(tuán)隊(duì)的價值,認(rèn)為他們能保障利潤和品牌聲譽(yù)(美國的比例是44%;而英國的比例是60%)。
3. CISO很難讓生活與工作分開,且常年處于壓力之中
受訪的CISO都覺得自己壓力很大,91%的人表示他們承受著中等程度或嚴(yán)重壓力,60%的人表示很難抽離工作。受訪者中中有88%的CISO每周工作時間超過40小時。 四分之一的人認(rèn)為這份工作對他們的身心健康以及個人和家庭關(guān)系產(chǎn)生了影響。 近17%的CISO正在用藥物或酒精來緩解工作壓力。
二、CISO的成就與挑戰(zhàn)
思科剛剛發(fā)布的《2019CISO基準(zhǔn)研究報告》顯示,2018 — 2019年,CISO高度關(guān)注供應(yīng)商之間的聯(lián)合、與網(wǎng)絡(luò)和安全團(tuán)隊(duì)之間的合作以及能夠提升組織整體安全防護(hù)水平并減少風(fēng)險的安全意識培訓(xùn)。此外,面對愈發(fā)復(fù)雜的安全環(huán)境,很多CISO都認(rèn)為企業(yè)上云有助于更好地保護(hù)資產(chǎn)安全。
65%的受訪者認(rèn)為檢測入侵、阻止入侵且緩解修復(fù)并非易事,用戶、數(shù)據(jù)、設(shè)備、APP等帶來的威脅無一不令人擔(dān)憂。為了應(yīng)對這些威脅,44%的受訪者會加大投資安全防護(hù)技術(shù);39%的受訪者會針對原進(jìn)行安全意識培訓(xùn);39%的受訪者則青睞風(fēng)險緩解技術(shù)。調(diào)查結(jié)果顯示,超過一半的受訪者則通過各種手段成功將損失降低到50萬美元以下。當(dāng)然,需要注意的是,還有8%的受訪者表示他們曾經(jīng)歷的安全風(fēng)險造成過超過500萬美元的損失。
這一年,CISO通過不斷的整合與培訓(xùn)以及技術(shù)投入,成功降低了安全風(fēng)險:
A. 從選擇單個安全產(chǎn)品轉(zhuǎn)向整合解決方案:2017年,使用10個或以下廠商安全產(chǎn)品的受訪者有54%,而本次的比例則達(dá)到了63%;當(dāng)下環(huán)境中很多廠商的解決方案并未整合,在威脅預(yù)警等方面無法體現(xiàn)時效性。因此,哪怕只使用了較少的單個安全產(chǎn)品,也可以通過企業(yè)整體安全架構(gòu)進(jìn)行合理的部署與整合,進(jìn)而更好地管理安全預(yù)警與威脅情報;
B. 推進(jìn)團(tuán)隊(duì)間緊密合作,減少損失:95%的受訪者認(rèn)為所在組織的安全團(tuán)隊(duì)與技術(shù)團(tuán)隊(duì)能高度且緊密地合作;這95%的受訪者中,又有59%的人表示其所在團(tuán)隊(duì)因安全問題遭遇的損失在10萬美元以下,與他人相比損失最小。
C. 關(guān)注基于云的安全解決方案,云安全未來可期:93%的受訪者認(rèn)為業(yè)務(wù)上云能提升效率;認(rèn)為保護(hù)云設(shè)施存在困難的受訪者比例從55%降低到52%;
D. 購買網(wǎng)絡(luò)保險并推動風(fēng)險評估與風(fēng)險量表的普及,有助于選擇合適的技術(shù),并協(xié)助CISO專注于安全運(yùn)營實(shí)踐:40%的受訪者全面或部分采用了網(wǎng)絡(luò)保險,爭取合理預(yù)算;
E. “網(wǎng)絡(luò)信息疲勞”癥從46%下降到30%
但同時,他們?nèi)耘f面臨著大量挑戰(zhàn)。
A. 盡管合理地使用AI和機(jī)器學(xué)習(xí)技術(shù)有助于威脅預(yù)警。但實(shí)際落地過程依舊曲折。機(jī)器學(xué)習(xí)的使用率從77%降低到了67%;AI的使用率從74%降低到了66%;自動化技術(shù)的使用率從83%降低到了75%。這意味著,新技術(shù)在安全領(lǐng)域的實(shí)際應(yīng)用需要不斷的磨合并經(jīng)歷爭議。具體成效,有待檢驗(yàn);
B. 雇員/用戶已經(jīng)成為最大的安全挑戰(zhàn),安全意識培訓(xùn)必不可少。僅51%的受訪者表示在員工入職、轉(zhuǎn)崗或離職過程中有合理且完善的安全管理流程;
C. 郵件依舊是最大的攻擊向量,郵件安全不容忽視。釣魚與高風(fēng)險用戶行為是CISO最擔(dān)憂的安全問題,連續(xù)三年所占比例都在56%—57%之間;
D. 告警管理與處置對于很多企業(yè)而言依舊是挑戰(zhàn)。數(shù)據(jù)顯示,對于告警的有效處理從50.5%下降到42.7%。花費(fèi)大量時間監(jiān)測用于評估安全效率的受訪者比例從61%降低到51%。而補(bǔ)救時間作為另一種評估標(biāo)準(zhǔn),從30%上升到48%。
三、 CISO將如何自我突破
策略選擇
基于網(wǎng)絡(luò)保險和風(fēng)險評估、結(jié)合實(shí)用策略,衡量安全需求,并以此為參考,預(yù)估安全預(yù)算并指導(dǎo)采購、戰(zhàn)略和管理決策;
參考并采用經(jīng)過驗(yàn)證技術(shù)或方法,降低被入侵的風(fēng)險。定期進(jìn)行安全演練并提前部署一些安全產(chǎn)品,掌握有效的應(yīng)急響應(yīng)方法;
如果公司部門較多,推進(jìn)IT部門、安全和風(fēng)險/合規(guī)小組等多部門之間的溝通協(xié)作,才能更好地理解業(yè)務(wù)的基本安全需求,制定更合適的安全策略;
將威脅檢測與訪問保護(hù)相結(jié)合,以應(yīng)對內(nèi)部威脅,踐行零信任原則;
通過網(wǎng)絡(luò)釣魚培訓(xùn)、多因素身份驗(yàn)證、垃圾郵件過濾機(jī)制和DMARC等方式防范電子郵件泄露,解決頭號威脅。
緩解壓力
心理專家認(rèn)為,CISO這群人壓力大的原因在于他們不僅要處理各種各樣的安全威脅、保護(hù)公司安全,還在于安全本身與業(yè)務(wù)、技術(shù)之間存在沖突進(jìn)而帶來大量需要溝通、協(xié)調(diào)的問題。有時候,后者甚至比前者更讓人心累。不被理解、不被重視、福利待遇與付出不成正比等問題還會影響到CISO的創(chuàng)造力與生產(chǎn)力,帶來更多身心問題,造成惡性循環(huán)。
專家建議,要想緩解壓力,可以從以下三點(diǎn)做起:
1. 心態(tài)積極,合理利用網(wǎng)絡(luò)資源,尋找并使用合適的防護(hù)工具,提升效率;
2. 適當(dāng)?shù)嘏c同事或家人傾訴壓力;還可以從其他多個渠道獲取支持;盡量不要保持沉默、憋在心里
3.酒精、暴飲暴食以及其他極端方式并非健康的解壓之道,也非長久之計可以嘗試通過體育鍛煉等方式,保持身心健康。
當(dāng)然,除了CISO,其他安全從業(yè)者其實(shí)也面臨著不同的壓力。希望大家都能健康順利。畢竟,少了“你”,世界都會不安。
