當(dāng)今的CISO如何理解“主動安全”?在威脅發(fā)生之前做好準(zhǔn)備,并提前規(guī)劃應(yīng)對措施,需要充分的準(zhǔn)備和正確的策略。
冰球傳奇Wayne Gretzky曾分享他在冰上成功的秘訣:“我滑向冰球?qū)⒁サ牡胤剑皇撬呀?jīng)去過的地方。”
安全團(tuán)隊(duì)若能在工作中采用Gretzky的這種前瞻性策略,將會大有裨益。那些專注于安全計(jì)劃未來目標(biāo)的團(tuán)隊(duì),比起那些僅僅對已經(jīng)發(fā)生的事件做出反應(yīng)的團(tuán)隊(duì),更能贏得勝利。
如今,“主動安全”已成為行業(yè)內(nèi)的流行詞匯,許多聲音呼吁CISO從被動安全轉(zhuǎn)向主動安全。今年早些時(shí)候,研究公司Omdia對北美、英國和歐洲的400多名安全決策者進(jìn)行了調(diào)查,結(jié)果顯示47%的受訪者表示,他們的首要目標(biāo)之一是“通過主動安全減少威脅的機(jī)會”。
那么,主動網(wǎng)絡(luò)安全究竟意味著什么?雖然定義各異,但簡單來說,它指的是更加注重為未來做準(zhǔn)備,識別未來的威脅以及惡意行為者使用的戰(zhàn)術(shù)、技術(shù)和程序(TTP),然后提前實(shí)施措施進(jìn)行應(yīng)對。
主動安全可能意味著重新評估團(tuán)隊(duì)和策略
“在職能內(nèi)工作和在職能上工作之間需要取得平衡,這就是我認(rèn)為被動和主動之間的區(qū)別。”IANS Research的教職員工兼公共部門CISO Wolfgang Goerlich表示,該公司是一家位于波士頓的網(wǎng)絡(luò)安全研究和咨詢公司。
“在職能上工作就是主動安全,安全團(tuán)隊(duì)需要養(yǎng)成暫時(shí)跳出日常工作、休息片刻的習(xí)慣,用全新的視角審視如何架構(gòu)事務(wù),思考是否擁有合適的人才和流程,以及技術(shù)和對手正在如何變化。”
當(dāng)然,安全團(tuán)隊(duì)必須保持強(qiáng)大的響應(yīng)能力,以便在事件發(fā)生時(shí)能夠識別、控制并從中恢復(fù),Goerlich和其他高級安全領(lǐng)導(dǎo)者如是說。
但他們也強(qiáng)調(diào)安全需要更加主動的原因,因?yàn)檫@使得CISO及其團(tuán)隊(duì)和企業(yè)能夠領(lǐng)先于威脅,從而提高擊敗網(wǎng)絡(luò)對手的機(jī)會。
CISO繁重的工作可能阻礙主動規(guī)劃
提前規(guī)劃并不容易,尤其是在網(wǎng)絡(luò)安全領(lǐng)域,日益增多且復(fù)雜化的威脅使得許多防御者一直處于被動狀態(tài)。CISO及其團(tuán)隊(duì)的日程已經(jīng)排得滿滿當(dāng)當(dāng),處理諸如修補(bǔ)漏洞和向監(jiān)管機(jī)構(gòu)及董事會報(bào)告等緊急任務(wù),讓他們難以騰出精力轉(zhuǎn)向更加主動的安全策略。正如Goerlich所說:“壓力越大,能看得多遠(yuǎn)就越有限。”
此外,還有一個(gè)相關(guān)的挑戰(zhàn),即需要跟蹤并緩解越來越多的風(fēng)險(xiǎn)和威脅。Gretzky可能只需要滑向即將出現(xiàn)的冰球,但安全團(tuán)隊(duì)卻要面對“多個(gè)冰球和許多隊(duì)伍在同一個(gè)冰場上”,Goerlich指出。
CISO可以采取多種措施,將單純的被動安全計(jì)劃轉(zhuǎn)變?yōu)楦玫仄胶庵鲃优c被動的安全計(jì)劃。例如,許多CISO已經(jīng)實(shí)施了威脅狩獵計(jì)劃,還有一些參與了ISAC和其他信息共享實(shí)體。以下是幫助CISO領(lǐng)先于威脅的四個(gè)額外行動。
1. 安全框架可以幫助構(gòu)建主動性
金融科技咨詢公司Profinch的副總裁兼CISO、ISACA新興趨勢工作組成員Chetan Anand表示,他使用安全框架幫助他的團(tuán)隊(duì)“預(yù)見并防止問題發(fā)生”,從而將他的安全計(jì)劃轉(zhuǎn)變?yōu)楦又鲃拥哪J健?/p>
Anand使用的是ISACA的數(shù)字信任生態(tài)系統(tǒng)框架(DTEF),該框架于2024年初發(fā)布,旨在與其他現(xiàn)有框架和最佳實(shí)踐兼容,包括COBIT、ITIL、GDPR以及多個(gè)ISO和NIST標(biāo)準(zhǔn)。
他說,遵循框架能夠幫助安全打破孤島,專注于彈性,提升對安全操作的可見性,在問題變成隱患之前識別潛在問題,并為新興風(fēng)險(xiǎn)做好準(zhǔn)備(因?yàn)檫@些框架本身也會隨著威脅環(huán)境的變化而演變)。
Anand表示,他通過ISACA的DTEF集成了ISO 27001:2022信息安全管理系統(tǒng)要求、ISO 9001:2015質(zhì)量管理系統(tǒng)要求以及ISO 31000:2018風(fēng)險(xiǎn)管理指南——這是他還遵循的三個(gè)標(biāo)準(zhǔn)。
他指出,這一切都有助于優(yōu)化安全成本并提高資源效率,節(jié)省下來的資源可以重新用于前瞻性活動,而不是被動應(yīng)對。他補(bǔ)充道,“這有助于更好的規(guī)劃和準(zhǔn)備。”
他還表示,遵循框架讓安全團(tuán)隊(duì)更好地支持業(yè)務(wù)增長,因?yàn)榘踩珗F(tuán)隊(duì)可以向新客戶和業(yè)務(wù)合作伙伴展示其已經(jīng)實(shí)施了適當(dāng)?shù)拇胧﹣響?yīng)對未來的挑戰(zhàn)。“因此,這也是一個(gè)戰(zhàn)略優(yōu)勢。”他補(bǔ)充道。
其他CISO似乎也同意Anand對使用框架的重視,研究顯示大多數(shù)CISO至少使用一個(gè)框架,然而,這種使用并非在所有企業(yè)安全團(tuán)隊(duì)中都普遍存在,表明仍有改進(jìn)空間。
2. 采用持續(xù)改進(jìn)的安全計(jì)劃方法
Info-Tech安全與隱私實(shí)踐的研究分析師Ahmad Jowhar表示,他聽到很多CISO談?wù)摬扇「鲃拥淖藨B(tài)——他將其描述為“在威脅和漏洞滲透或影響企業(yè)之前預(yù)測并應(yīng)對。”
換句話說,他表示,這意味著今天采取行動,以減輕明天的威脅。
Jowhar指出,安全評估、安全培訓(xùn)和全體員工的技能提升,以及構(gòu)建安全意識的企業(yè)文化,都有助于建立主動的安全姿態(tài)。
但他還建議CISO采用持續(xù)改進(jìn)的方式來管理其安全計(jì)劃——類似于許多軟件產(chǎn)品團(tuán)隊(duì)和典型企業(yè)中其他職能領(lǐng)域使用的持續(xù)改進(jìn)流程。
“我們看到威脅在不斷演變并變得更加復(fù)雜,因此CISO也需要不斷進(jìn)步,”他解釋道,“他們需要始終采取措施進(jìn)行改進(jìn),不能認(rèn)為昨天實(shí)施的方案今天和明天依然有效,這是主動安全的標(biāo)志。”
Jowhar指出,CISO可以通過各種啟發(fā)性步驟來做到這一點(diǎn)。
其中一個(gè)步驟是識別企業(yè)的主要業(yè)務(wù)目標(biāo),并確保安全策略與這些目標(biāo)保持一致并提供支持。
另一個(gè)關(guān)鍵步驟是了解當(dāng)前安全計(jì)劃的狀態(tài),明確未來理想的狀態(tài),并詳細(xì)說明如何實(shí)現(xiàn)這一目標(biāo)。“如果你現(xiàn)在處于2級,那就要找出如何提升到5級。列出從2級到3級,再從3級到4級,最后到5級的漸進(jìn)步驟,并為這些步驟爭取業(yè)務(wù)上的支持。”Jowhar解釋道。
3. 定期舉行以未來為重點(diǎn)的會議
正如Goerlich指出的那樣,想要打造更主動安全計(jì)劃的CISO需要著眼未來。為了確保他有時(shí)間做到這一點(diǎn),Goerlich每季度都會安排一次定期的外出會議,他和團(tuán)隊(duì)在會上討論即將發(fā)生的變化。
“這為我們建立了一個(gè)流程和節(jié)奏,幫助我們擺脫日常事務(wù),從而看到更大的全局,”他解釋道,“我們從頭開始,看看下個(gè)季度將會發(fā)生什么變化,問自己需要為哪些情況做好準(zhǔn)備,我們回顧一下,看看哪些做得好,哪些不夠好,然后我們設(shè)定目標(biāo),以便繼續(xù)前進(jìn)。”
Goerlich表示,他經(jīng)常邀請外部的安全專家,如供應(yīng)商高管和其他思想領(lǐng)袖,參加這些會議,聽取他們對威脅演變的見解,以及新興的安全工具和技術(shù)來應(yīng)對這些威脅,他有時(shí)還會邀請公司內(nèi)部的高管同事,以便他們分享自己的計(jì)劃和策略——這有助于確保安全工作與業(yè)務(wù)需求保持一致,推動企業(yè)前進(jìn)。
他已經(jīng)看到了這種努力帶來的效果,他舉例說明,在一次外出會議上,團(tuán)隊(duì)發(fā)現(xiàn)了其特權(quán)訪問管理(PAM)流程中的挑戰(zhàn),特別是該流程所需的大量手動步驟。
“這是那種企業(yè)多年來逐步建立起來的流程,在當(dāng)時(shí)看來完全合理,但隨著時(shí)間推移,情況發(fā)生了變化,流程不再運(yùn)作良好。”Goerlich解釋道。
因此,團(tuán)隊(duì)對PAM計(jì)劃進(jìn)行了重新設(shè)計(jì),減少了步驟,并用新工具取代了舊工具,創(chuàng)建了一個(gè)更加自動化、更加高效且更安全的流程。
Goerlich表示,這個(gè)例子說明了定期召開以預(yù)見性為重點(diǎn)會議的價(jià)值,以及采取主動措施如何轉(zhuǎn)化為更好的安全性。他解釋說,重新設(shè)計(jì)的PAM流程提高了操作效率,減少了安全團(tuán)隊(duì)為了支持依賴大量手動操作的傳統(tǒng)流程所需的緊急應(yīng)對工作量。
4. 在企業(yè)內(nèi)創(chuàng)建并掌控網(wǎng)絡(luò)安全敘事
全球情報(bào)與網(wǎng)絡(luò)安全咨詢公司S-RM的美洲網(wǎng)絡(luò)安全咨詢主管Michael Clark表示,CISO面臨的最大挑戰(zhàn)之一是獲得足夠的支持和資源,以建立一個(gè)具備彈性的安全計(jì)劃,該計(jì)劃能夠在未來防護(hù)活動與響應(yīng)能力之間取得適當(dāng)?shù)钠胶狻?/p>
Clark將這一問題很大程度上歸咎于典型企業(yè)中當(dāng)前的網(wǎng)絡(luò)安全敘事狀態(tài),他表示,CISO的敘事往往通過另一位高管傳達(dá)給董事會,而這位高管常常對威脅形勢和企業(yè)的安全狀況呈現(xiàn)出一個(gè)“更加樂觀的畫面”。
“CISO想要傳達(dá)的信息并沒有傳達(dá)到董事會,”他說,并補(bǔ)充道,CISO需要一個(gè)與董事會溝通的渠道,“讓他們能夠以不被那個(gè)[溝通人]粉飾的方式提出他們的擔(dān)憂。”
他說,這對領(lǐng)先一步至關(guān)重要。
“威脅和監(jiān)管環(huán)境在變化,技術(shù)的復(fù)雜性也在不斷演進(jìn)。如果CISO得不到他們需要的支持,就很難在這些變化中保持領(lǐng)先地位。”他解釋道。
能夠向CEO和董事會清晰表達(dá)安全動態(tài),并成功爭取所需資源,這一直是CISO面臨的長期挑戰(zhàn)。
2024年SPMB Executive Search的調(diào)查數(shù)據(jù)反映了這一問題,調(diào)查發(fā)現(xiàn),只有27%的CISO在2024年直接向CEO匯報(bào)(相比2023年的22%有所上升),且只有54%的CISO至少每季度向董事會匯報(bào)一次,調(diào)查還發(fā)現(xiàn),5%的CISO根本不向董事會匯報(bào)。
盡管其他調(diào)查顯示,向CEO和董事會匯報(bào)的CISO比例較高,但整體研究表明,CISO直接接觸董事會的情況仍然并不普遍或頻繁。
為了應(yīng)對這些挑戰(zhàn)并獲得實(shí)施主動安全措施所需的資源,Clark建議CISO們“創(chuàng)造一種敘事,說明安全如何賦能業(yè)務(wù)、保護(hù)業(yè)務(wù)、支持品牌并提升投資者的信任。”
他說,CISO應(yīng)該衡量并報(bào)告與風(fēng)險(xiǎn)相關(guān)的關(guān)鍵指標(biāo),展示這些安全措施如何與業(yè)務(wù)需求和戰(zhàn)略保持一致,并支持它們,然后,利用這些信息講述安全工作的故事,并指出需要改進(jìn)的領(lǐng)域。
“領(lǐng)導(dǎo)者不希望向董事會傳遞負(fù)面信息,而CISO也不希望被指責(zé)為夸大其詞,因此他們必須創(chuàng)造并掌控?cái)⑹拢麄冃枰獙W(xué)會如何闡明自己如何支持業(yè)務(wù)、如何保護(hù)品牌,然后從另一個(gè)角度說明存在的問題、如何解決這些問題,以及如何優(yōu)先處理這些工作。”Clark說道。
Clark曾與一位CISO客戶合作,該客戶向董事會匯報(bào)時(shí)說安全團(tuán)隊(duì)已經(jīng)識別了98%的需要保護(hù)的終端,而沒有說明如何識別剩下的2%,有多少終端得到了保護(hù),這為什么重要,關(guān)閉保護(hù)缺口需要什么,以及不采取行動的風(fēng)險(xiǎn)。
“他們應(yīng)該說,‘這是我們在當(dāng)前預(yù)算下能做到的事情,如果我們想做更多或加快速度,這就是安全所需要的。’”Clark說道。
他補(bǔ)充道,這樣坦誠的討論更有可能讓CISO獲得他們所需的資源,以便實(shí)施安全措施,幫助他們領(lǐng)先于被動應(yīng)對模式。
