當今的CISO如何理解“主動安全”?在威脅發生之前做好準備，并提前規劃應對措施，需要充分的準備和正確的策略。

　　冰球傳奇Wayne Gretzky曾分享他在冰上成功的秘訣：“我滑向冰球將要去的地方，而不是它已經去過的地方。”

　　安全團隊若能在工作中采用Gretzky的這種前瞻性策略，將會大有裨益。那些專注于安全計劃未來目標的團隊，比起那些僅僅對已經發生的事件做出反應的團隊，更能贏得勝利。

　　如今，“主動安全”已成為行業內的流行詞匯，許多聲音呼吁CISO從被動安全轉向主動安全。今年早些時候，研究公司Omdia對北美、英國和歐洲的400多名安全決策者進行了調查，結果顯示47%的受訪者表示，他們的首要目標之一是“通過主動安全減少威脅的機會”。

　　那么，主動網絡安全究竟意味著什么?雖然定義各異，但簡單來說，它指的是更加注重為未來做準備，識別未來的威脅以及惡意行為者使用的戰術、技術和程序(TTP)，然后提前實施措施進行應對。

　　主動安全可能意味著重新評估團隊和策略

　　“在職能內工作和在職能上工作之間需要取得平衡，這就是我認為被動和主動之間的區別。”IANS Research的教職員工兼公共部門CISO Wolfgang Goerlich表示，該公司是一家位于波士頓的網絡安全研究和咨詢公司。

　　“在職能上工作就是主動安全，安全團隊需要養成暫時跳出日常工作、休息片刻的習慣，用全新的視角審視如何架構事務，思考是否擁有合適的人才和流程，以及技術和對手正在如何變化。”

　　當然，安全團隊必須保持強大的響應能力，以便在事件發生時能夠識別、控制并從中恢復，Goerlich和其他高級安全領導者如是說。

　　但他們也強調安全需要更加主動的原因，因為這使得CISO及其團隊和企業能夠領先于威脅，從而提高擊敗網絡對手的機會。

　　CISO繁重的工作可能阻礙主動規劃

　　提前規劃并不容易，尤其是在網絡安全領域，日益增多且復雜化的威脅使得許多防御者一直處于被動狀態。CISO及其團隊的日程已經排得滿滿當當，處理諸如修補漏洞和向監管機構及董事會報告等緊急任務，讓他們難以騰出精力轉向更加主動的安全策略。正如Goerlich所說：“壓力越大，能看得多遠就越有限。”

　　此外，還有一個相關的挑戰，即需要跟蹤并緩解越來越多的風險和威脅。Gretzky可能只需要滑向即將出現的冰球，但安全團隊卻要面對“多個冰球和許多隊伍在同一個冰場上”，Goerlich指出。

　　CISO可以采取多種措施，將單純的被動安全計劃轉變為更好地平衡主動與被動的安全計劃。例如，許多CISO已經實施了威脅狩獵計劃，還有一些參與了ISAC和其他信息共享實體。以下是幫助CISO領先于威脅的四個額外行動。

　　1. 安全框架可以幫助構建主動性

　　金融科技咨詢公司Profinch的副總裁兼CISO、ISACA新興趨勢工作組成員Chetan Anand表示，他使用安全框架幫助他的團隊“預見并防止問題發生”，從而將他的安全計劃轉變為更加主動的模式。

　　Anand使用的是ISACA的數字信任生態系統框架(DTEF)，該框架于2024年初發布，旨在與其他現有框架和最佳實踐兼容，包括COBIT、ITIL、GDPR以及多個ISO和NIST標準。

　　他說，遵循框架能夠幫助安全打破孤島，專注于彈性，提升對安全操作的可見性，在問題變成隱患之前識別潛在問題，并為新興風險做好準備(因為這些框架本身也會隨著威脅環境的變化而演變)。

　　Anand表示，他通過ISACA的DTEF集成了ISO 27001:2022信息安全管理系統要求、ISO 9001:2015質量管理系統要求以及ISO 31000:2018風險管理指南——這是他還遵循的三個標準。

　　他指出，這一切都有助于優化安全成本并提高資源效率，節省下來的資源可以重新用于前瞻性活動，而不是被動應對。他補充道，“這有助于更好的規劃和準備。”

　　他還表示，遵循框架讓安全團隊更好地支持業務增長，因為安全團隊可以向新客戶和業務合作伙伴展示其已經實施了適當的措施來應對未來的挑戰。“因此，這也是一個戰略優勢。”他補充道。

　　其他CISO似乎也同意Anand對使用框架的重視，研究顯示大多數CISO至少使用一個框架，然而，這種使用并非在所有企業安全團隊中都普遍存在，表明仍有改進空間。

　　2. 采用持續改進的安全計劃方法

　　Info-Tech安全與隱私實踐的研究分析師Ahmad Jowhar表示，他聽到很多CISO談論采取更主動的姿態——他將其描述為“在威脅和漏洞滲透或影響企業之前預測并應對。”

　　換句話說，他表示，這意味著今天采取行動，以減輕明天的威脅。

　　Jowhar指出，安全評估、安全培訓和全體員工的技能提升，以及構建安全意識的企業文化，都有助于建立主動的安全姿態。

　　但他還建議CISO采用持續改進的方式來管理其安全計劃——類似于許多軟件產品團隊和典型企業中其他職能領域使用的持續改進流程。

　　“我們看到威脅在不斷演變并變得更加復雜，因此CISO也需要不斷進步，”他解釋道，“他們需要始終采取措施進行改進，不能認為昨天實施的方案今天和明天依然有效，這是主動安全的標志。”

　　Jowhar指出，CISO可以通過各種啟發性步驟來做到這一點。

　　其中一個步驟是識別企業的主要業務目標，并確保安全策略與這些目標保持一致并提供支持。

　　另一個關鍵步驟是了解當前安全計劃的狀態，明確未來理想的狀態，并詳細說明如何實現這一目標。“如果你現在處于2級，那就要找出如何提升到5級。列出從2級到3級，再從3級到4級，最后到5級的漸進步驟，并為這些步驟爭取業務上的支持。”Jowhar解釋道。

　　3. 定期舉行以未來為重點的會議

　　正如Goerlich指出的那樣，想要打造更主動安全計劃的CISO需要著眼未來。為了確保他有時間做到這一點，Goerlich每季度都會安排一次定期的外出會議，他和團隊在會上討論即將發生的變化。

　　“這為我們建立了一個流程和節奏，幫助我們擺脫日常事務，從而看到更大的全局，”他解釋道，“我們從頭開始，看看下個季度將會發生什么變化，問自己需要為哪些情況做好準備，我們回顧一下，看看哪些做得好，哪些不夠好，然后我們設定目標，以便繼續前進。”

　　Goerlich表示，他經常邀請外部的安全專家，如供應商高管和其他思想領袖，參加這些會議，聽取他們對威脅演變的見解，以及新興的安全工具和技術來應對這些威脅，他有時還會邀請公司內部的高管同事，以便他們分享自己的計劃和策略——這有助于確保安全工作與業務需求保持一致，推動企業前進。

　　他已經看到了這種努力帶來的效果，他舉例說明，在一次外出會議上，團隊發現了其特權訪問管理(PAM)流程中的挑戰，特別是該流程所需的大量手動步驟。

　　“這是那種企業多年來逐步建立起來的流程，在當時看來完全合理，但隨著時間推移，情況發生了變化，流程不再運作良好。”Goerlich解釋道。

　　因此，團隊對PAM計劃進行了重新設計，減少了步驟，并用新工具取代了舊工具，創建了一個更加自動化、更加高效且更安全的流程。

　　Goerlich表示，這個例子說明了定期召開以預見性為重點會議的價值，以及采取主動措施如何轉化為更好的安全性。他解釋說，重新設計的PAM流程提高了操作效率，減少了安全團隊為了支持依賴大量手動操作的傳統流程所需的緊急應對工作量。

　　4. 在企業內創建并掌控網絡安全敘事

　　全球情報與網絡安全咨詢公司S-RM的美洲網絡安全咨詢主管Michael Clark表示，CISO面臨的最大挑戰之一是獲得足夠的支持和資源，以建立一個具備彈性的安全計劃，該計劃能夠在未來防護活動與響應能力之間取得適當的平衡。

　　Clark將這一問題很大程度上歸咎于典型企業中當前的網絡安全敘事狀態，他表示，CISO的敘事往往通過另一位高管傳達給董事會，而這位高管常常對威脅形勢和企業的安全狀況呈現出一個“更加樂觀的畫面”。

　　“CISO想要傳達的信息并沒有傳達到董事會，”他說，并補充道，CISO需要一個與董事會溝通的渠道，“讓他們能夠以不被那個[溝通人]粉飾的方式提出他們的擔憂。”

　　他說，這對領先一步至關重要。

　　“威脅和監管環境在變化，技術的復雜性也在不斷演進。如果CISO得不到他們需要的支持，就很難在這些變化中保持領先地位。”他解釋道。

　　能夠向CEO和董事會清晰表達安全動態，并成功爭取所需資源，這一直是CISO面臨的長期挑戰。

　　2024年SPMB Executive Search的調查數據反映了這一問題，調查發現，只有27%的CISO在2024年直接向CEO匯報(相比2023年的22%有所上升)，且只有54%的CISO至少每季度向董事會匯報一次，調查還發現，5%的CISO根本不向董事會匯報。

　　盡管其他調查顯示，向CEO和董事會匯報的CISO比例較高，但整體研究表明，CISO直接接觸董事會的情況仍然并不普遍或頻繁。

　　為了應對這些挑戰并獲得實施主動安全措施所需的資源，Clark建議CISO們“創造一種敘事，說明安全如何賦能業務、保護業務、支持品牌并提升投資者的信任。”

　　他說，CISO應該衡量并報告與風險相關的關鍵指標，展示這些安全措施如何與業務需求和戰略保持一致，并支持它們，然后，利用這些信息講述安全工作的故事，并指出需要改進的領域。

　　“領導者不希望向董事會傳遞負面信息，而CISO也不希望被指責為夸大其詞，因此他們必須創造并掌控敘事，他們需要學會如何闡明自己如何支持業務、如何保護品牌，然后從另一個角度說明存在的問題、如何解決這些問題，以及如何優先處理這些工作。”Clark說道。

　　Clark曾與一位CISO客戶合作，該客戶向董事會匯報時說安全團隊已經識別了98%的需要保護的終端，而沒有說明如何識別剩下的2%，有多少終端得到了保護，這為什么重要，關閉保護缺口需要什么，以及不采取行動的風險。

　　“他們應該說，‘這是我們在當前預算下能做到的事情，如果我們想做更多或加快速度，這就是安全所需要的。’”Clark說道。

　　他補充道，這樣坦誠的討論更有可能讓CISO獲得他們所需的資源，以便實施安全措施，幫助他們領先于被動應對模式。