一篇文章告訴你如何計算安全的價值

Jasmine
盡管我們認為,在 WannaCry、NotPetya 和其他引人注目的漏洞席卷全球之后,網(wǎng)絡安全意識狀態(tài)會發(fā)生變化,但事實證明,許多企業(yè)仍然沒有認真地對待 IT 安全問題。

如何協(xié)調(diào)員工和預算以更好地保護組織?

盡管我們認為,在 WannaCry、NotPetya 和其他引人注目的漏洞席卷全球之后,網(wǎng)絡安全意識狀態(tài)會發(fā)生變化,但事實證明,許多企業(yè)仍然沒有認真地對待 IT 安全問題。這背后的原因其實很容易理解:畢竟那些經(jīng)歷過網(wǎng)絡攻擊的企業(yè)(如 Target、Sony Pictures、Equifax 以及 Maersk)仍在正常運行中,且表現(xiàn)得很好。

那么,這些遭受過攻擊的組織是否為此改變了其網(wǎng)絡安全協(xié)議呢?答案是毋庸置疑的。網(wǎng)絡攻擊總是通過巨大的財務影響直接打擊一個組織,來強制其進行改變。只有及時做出了改變,其業(yè)務才能照常運行下去,否則將面臨淘汰的命運。

當然,這對 CISO 及其網(wǎng)絡安全團隊來說也成了一個巨大的壓力源。他們每天都會被提醒 “組織是多么容易受到攻擊”——修補程序已經(jīng)過時;遠程工作人員將未受保護的系統(tǒng)置于危險境地;預算和資源不足以及IT運營和IT安全之間缺乏合作(甚至更糟糕的是存在直接沖突)等因素都使組織面臨攻擊的風險加劇。

IE 公司發(fā)布的一份有關 IT 安全的最新報告《整頓內(nèi)部 (Getting Your House in Order) 》發(fā)現(xiàn),IT 正面臨 3 大挑戰(zhàn):保護新技術(shù),限制性預算,以及IT安全和IT運營之間缺乏對彼此工作方式的理解。更糟糕的是,在預算分配方面,90% 的組織會在 IT 安全性之前優(yōu)先考慮其他事項(如客戶服務、銷售等等)。

那么公司應該如何整合這些因素來妥善地保護組織安全呢?他們必須做到以下幾點:

1. 確認數(shù)據(jù)的可訪問性

事實證明,人們對于 “數(shù)據(jù)集是多么容易被發(fā)現(xiàn)”(即便是在所謂的安全云平臺上)普遍缺乏了解。太多的操作是基于這樣一個假設:他們可以將數(shù)據(jù)轉(zhuǎn)儲到云中的 S3 存儲桶中,因為它位于安全平臺上,所以它也是安全的。但事實上,云存儲的安全性就像用于訪問它的協(xié)議和端點一樣脆弱。單個受損用戶憑證就可以提供對最有價值數(shù)據(jù)的自由訪問權(quán)限。

2. 認識到 “外包” 并不是解決方案

大多數(shù)公司認為,當他們把數(shù)據(jù)轉(zhuǎn)儲到云端時,他們也將安全責任一并丟給了云服務提供商。他們認為,在亞馬遜Web服務 (AWS) 或 Azure 上購買云服務就像購買保險單一樣。事實當然并非如此,相反地,大量的 S3 存儲桶其實完全不安全。即便這些服務會受到云服務提供商的保護,但數(shù)據(jù)的安全性卻與訪問它的端點的安全性一樣脆弱,這也就解釋了為什么對于組織而言保護端點才是至關重要的。

3. 將其數(shù)據(jù)價值與等價資源相匹配

除非你在保護數(shù)據(jù)方面投入了足夠的資源和財力,否則它不會是安全的。為了改善網(wǎng)絡安全,超過 75% 的安全專家表示,他們的組織需要在培訓IT安全和IT運營團隊,以及將其軟件遷移至自動化方面投入更多資金。而超過 60% 的受訪者表示,他們的組織需要在軟件修補方面投入更多資金。顯然,安全價值和分配給它的資源之間存在錯位現(xiàn)象。

4. 評估其 IT 資產(chǎn)的風險等級

數(shù)據(jù)顯示,只有大約 60% 的組織對其網(wǎng)絡上的端點和正在使用的軟件配置了高級別的控制機制和可見性。由于存在遠程工作者,本地管理員權(quán)限以及部門或基于位置的自治權(quán)限,如果沒有某種類型的自動化解決方案,IT 團隊根本沒有能力追蹤組織的資產(chǎn)狀況。但是,你永遠無法保護自己看不到的東西,所以組織必須要清楚地了解其 IT 資產(chǎn)狀況,以便為其提供適當?shù)谋Wo。

5. 遷移至Windows 10

目前來說,企業(yè)將系統(tǒng)升級至 Windows 10 大多出于安全性考慮,還沒有一個出于商業(yè)目的的案例。然而,無論你是選擇 Windows 7 的擴展支持協(xié)議還是咬緊牙關并遷移至 Windows 10,你仍然需要為端點安全買單。首席信息官們必須意識到,提高安全性是一個行之有效的商業(yè)案例,既可以幫助組織守住底線,又可以保護董事會和股東的商業(yè)利益。事實上,58% 的受訪者認為,到 2020 年未能遷移至 Windows 10 的組織將面臨 “重大安全風險”。首席信息安全官可以利用這種風險潛力來獲取用于升級所需的投資。

6. 解決修補和寬帶問題

更新的速度和有限的寬帶所帶來的挑戰(zhàn)正在成為許多企業(yè)的發(fā)展瓶頸。假設你正在運營一家金融企業(yè),但是由于一個系統(tǒng)補丁問題卻致使你的交易員們被迫停工一小時,那么他們每人可能會損失 100 萬美元。考慮到超過一半的 IT 專家認為,未修補的軟件是導致安全漏洞的主要原因之一,所以修補必須成為優(yōu)先事項。此外,組織還需要投入適當?shù)墓ぞ邅韺崿F(xiàn)流程自動化,以幫助克服修補挑戰(zhàn)和寬帶不足的問題。

將 IT 運營和 IT 安全結(jié)合在一起,可以確立他們 “朝著一個目標努力” 的凝聚力。在微軟,不僅所有開發(fā)人員都接受過一定程度的安全培訓,他們還會讓安全人員坐在這些開發(fā)人員旁邊。他們之間的合作可以確保正在進行的工作從一開始就符合公司既定的安全準則,以降低安全漏洞的風險并防止兩個團隊出現(xiàn)對抗或沖突的情況。

通過教育 IT 運營和 IT 安全團隊了解彼此的工作職責、目標等內(nèi)容,公司可以充分利用其 IT 資源的全部功能,并通過上述這些反映其對安全價值的投資來更好地保護組織。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門