每位CSO都需要回答好這5個問題
2018年2月,澳大利亞正式實施新的數據泄露法案——《數據泄露通報法案》。
據悉,該法案適用于年營業額超過300萬美元并持有個人可識別信息的組織和機構。一旦實行,這些組織機構必須向澳大利亞信息專員辦公室和受影響的個人報告數據泄露事件,有效地防止數據泄露事件悄無聲息地發生。
3月底爆發的Facebook數據泄露事件在全球范圍內引起了軒然大波,據悉,劍橋分析公司以不正當的方式獲取了大量Facebook用戶的信息,其中包括用戶居住地、個人喜好、朋友信息等等。甚至有媒體認為,該公司可能與2016年美國總統選舉期間的廣告定向投放有關,從而一定程度上影響了大選結果。
2018年5月25日,被視為“史上最嚴”的歐盟隱私法案《通用數據保護條例》(General Data Protection Regulation,GDPR)于歐盟全面實施,該條例現已成為歐盟法律的一部分,用來改善歐盟公民的數據保護情況。
總之,無論是近來發生的網絡安全事件,還是澳大利亞和歐洲相繼引入新的數據泄露法案,種種事件都正在提醒人們要對網絡安全最佳實踐需求的多多認識。這種意識的覺醒也推動眾多企業開始著手評估當前自身的網絡安全狀況,并實施相應的解決方案以降低安全風險。
愿景是美好的,但不幸的是,企業并未能發揮安全評估和解決方案的最大效用,他們只是繼續在新的、孤立的安全工具上分層,而沒有挖掘出現有工具的最大化價值,或完全解決潛在的漏洞威脅。
隨著每天越來越多的設備和端點連接到網絡,能夠保護這些設備并防止未經授權的訪問行為應該成為安全專業人員最關心的問題。這種安全覺悟無疑是正確的,因為攻擊者只需要通過一個受損設備就能夠瓦解整個基礎架構。
如今,大多數安全方法都依賴于后見之明——不知道接下來會發生什么情況,企業只能對已發生的事情做出響應,然后在事件已發生的情況下修復攻擊影響。
想要改變這種“事后諸葛亮”的現狀,讓企業以更為積極主動地方式應對威脅,將對企業整體安全性產生戰略性意義,而這一切主要取決于企業安全方向的決策者對自身的認知與決策方向。
CSO需要能夠立即回答如下5個關鍵問題
1. 您的組織是否錯誤地以為自己具備必要(但通常缺失)的安全基礎?
完整、持續的可視性對于有效的網絡保護至關重要。如今,整個行業的假設是,所有組織都具備這種可視性,但事實是,大多數組織根本不具備充足的可視性。
鑒于缺乏可視性,企業將無法確保不可視內容的安全,所以組織必須避免這種盲目假設,并采取有效措施來確保自身確實具備完整、持續的可視性。
2. 如果一組未知的設備或端點連接到網絡,企業應該如何了解其風險狀況?
當組織只具備部分可視性時,他們對風險狀況的了解也就會不完整。當消費者購買家庭內容的保險時,保險公司會詢問的第一個問題就是他們的資產價值。如果消費者不知道自己擁有哪些東西,自然也就無法衡量自己的財產價值。同樣的道理,如果無法確切地知道連接到網絡中的內容,企業自然也就無法有效地保護它。
3. 量化企業網絡中未知的“未知數”的第一步是什么?
絕大多數組織都知道自身存在可視性差距,但是他們并不知道如何縮小這種差距。如果網絡會說話的話,我想安全專業人士一定想直接問它,“究竟哪些東西連接到了網絡”。通常情況下,當詢問網絡時,其給出的“未知數”(連接到網絡的設備或端點)數量可能會比預期的還要多出35%-40%。加上如今大多數企業都擁有擴展的網絡,想要明確未知設備規模將變得更為艱難。完全關閉可見性差距的唯一方法,就是直接詢問所有不同的網絡。
4. 組織如何避免添加其他孤立的安全工具?
組織不希望繼續在新的、孤立的安全工具上分層,相反地,他們需要從自己已經投入的工具中獲取更多。所以,企業應該通過提供對網絡上所有內容的可見性,來確保自己的下一次投資能夠更好地利用他們現有的工具,而不是簡單地添加另一個增加成本和復雜性,卻無法提供可操作信息的孤立工具。
5. 組織可以量化他們浪費的安全支出嗎?
組織會為安全工具分配預算,但這些工具無法發揮最大性能來完整地保護企業業務安全。因此,一些預算就等于浪費掉了。完整、持續的可視性使企業能夠識別并恢復浪費的支出,并確保安全預算能夠覆蓋其預期覆蓋范圍的100%。
通過縮小可視性差距,以及獲得有關網絡上每個設備或端點的完整且準確的信息,企業將不僅可以減少其安全預算,還能夠更可靠地保護其網絡。這將有助于企業改進數據保護措施,以及更輕松地滿足數據保護法規合規性要求。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
