新冠疫情導(dǎo)致全球經(jīng)濟(jì)衰退，企業(yè)裁員、預(yù)算緊縮接踵而至，但網(wǎng)絡(luò)攻擊和數(shù)字風(fēng)險也創(chuàng)下歷史新高。新冠疫情期間，勒索軟件、重大數(shù)據(jù)泄露和隱私事件頻發(fā)，微盟刪庫、萬豪二次泄露、Zoom安全風(fēng)波、小米隱私、越南APT組織入華…

[[325207]]

過去不到一周時間，我們就被下面這些事件刷屏：B站500萬粉絲UP主NAS數(shù)據(jù)被勒索軟件鎖死、成人網(wǎng)站CAM泄露108億條數(shù)據(jù)(7TB)、特斯拉二手車數(shù)據(jù)泄露、蘋果iPhone曝出嚴(yán)重漏洞、全球最大域名注冊商Godaddy數(shù)據(jù)泄露、歐洲多家醫(yī)療機構(gòu)和臺灣兩大煉油廠被勒索軟件襲擊、中信銀行“笑果門”…甚至疫情期間的“受益股”，例如主流游戲平臺Valve(游戲源代碼泄露)、Switch(16萬用戶數(shù)據(jù)泄露)也紛紛中招。

隨著疫情期間安全形勢的不斷升級，全球越來越多的企業(yè)領(lǐng)導(dǎo)者都將網(wǎng)絡(luò)安全視為頭等大事，將其視為亟待加強管理的戰(zhàn)略風(fēng)險。

然而，研究機構(gòu)對高管和董事會成員的調(diào)查表明，企業(yè)的網(wǎng)絡(luò)安全風(fēng)險管理水平依然不盡如人意。

根據(jù)Marsh和微軟的《2019年全球網(wǎng)絡(luò)風(fēng)險感知調(diào)查》發(fā)現(xiàn)，有79%的受訪者將網(wǎng)絡(luò)風(fēng)險視為企業(yè)TOP5優(yōu)先關(guān)注對象之一，22%的受訪者表示網(wǎng)絡(luò)風(fēng)險這是他們最關(guān)注的問題。但是，只有11%的人對其組織的安全能力表示高度信任。

與此同時，美國公司董事協(xié)會在2019-2020年上市公司治理調(diào)查中，有66%的受訪者表示，他們的公司在上一年的董事會議程中至少解決了一次網(wǎng)絡(luò)風(fēng)險問題。盡管有董事會的關(guān)注，但是仍有61%的受訪者表示，他們的組織將把業(yè)務(wù)運營和計劃的優(yōu)先級放在網(wǎng)絡(luò)安全之上。

安全主管表示，他們對這些調(diào)查結(jié)果并不感到驚訝，因為安全風(fēng)險管理仍未成熟，稍有風(fēng)吹草動，許多高管就紛紛暴露出安全風(fēng)險管理的短板。以下，是企業(yè)管理層和CISO常犯的五個風(fēng)險管理錯誤：

安全與業(yè)務(wù)缺乏一致性

多位CISO和高管顧問表示，安全運營與業(yè)務(wù)策略之間缺乏一致性仍然是風(fēng)險管理中最常見的錯誤之一。

埃森哲安全部門董事總經(jīng)理兼北美負(fù)責(zé)人Ryan LaSalle說：

LaSalle表示，安全和業(yè)務(wù)部門也未能統(tǒng)一其風(fēng)險定義并建立他們認(rèn)為可接受的風(fēng)險水平，這進(jìn)一步加劇了安全性和業(yè)務(wù)部門之間的脫節(jié)，并使有效的風(fēng)險管理變得更加困難。

他解釋，在許多情況下，業(yè)務(wù)和安全對風(fēng)險及其影響的看法有所不同，安全有時無法為業(yè)務(wù)區(qū)分固有風(fēng)險與實施控制和緩解措施后留下的剩余風(fēng)險之間的區(qū)別。

Ryan建議CISO闡明與特定業(yè)務(wù)目標(biāo)相關(guān)的風(fēng)險、如何降低風(fēng)險、可以降低風(fēng)險的程度以及以何種成本降低風(fēng)險，以便業(yè)務(wù)和安全部門對風(fēng)險有相同的了解，該組織正在采取行動。他補充說：

安全能見度低

許多高管正在以“瞎子摸象”的方式管理部分(而非全部)組織的風(fēng)險，因為他們對企業(yè)安全風(fēng)險沒有完全的了解。

畢馬威(KPMG)網(wǎng)絡(luò)安全服務(wù)全球聯(lián)合負(fù)責(zé)人托尼·布豐曼特(Tony Buffomante)表示：“人們普遍認(rèn)為企業(yè)對情況有完整的了解，這顯然是一個誤會。”事實上，很多CISO并沒有完整的IT資產(chǎn)清單，也沒有員工和業(yè)務(wù)部門使用的所有第三方供應(yīng)商和云應(yīng)用程序的完整列表。他說：“結(jié)果，許多公司僅對不健全或不準(zhǔn)確的庫存執(zhí)行風(fēng)險評估程序。”

不少業(yè)內(nèi)人士支持該觀點：CISO常常對他們的企業(yè)環(huán)境沒有完整的了解。其背后的原因各不相同。有時，被收購的公司沒有完全融入母公司。有時，各部門運行自己的技術(shù)業(yè)務(wù)并在這些孤島周圍筑起隔離墻。無論出于何種原因，這種情況都會使CISO無法全面評估整個組織面臨的風(fēng)險。

與此同時，許多安全運營團(tuán)隊對自己的工作的了解有限，Insight的安全咨詢業(yè)務(wù)高級經(jīng)理Mike Sprunger認(rèn)為，這是因為安全團(tuán)隊沒有使用可幫助他們量化和跟蹤風(fēng)險變化的指標(biāo)。他說，中小型組織通常不跟蹤風(fēng)險指標(biāo)，因為它們?nèi)狈Υ祟悓嵺`的資金和專業(yè)知識，而大型公司有時也不跟蹤，因為它們對此類工作的復(fù)雜性感到不知所措。

不少安全顧問承認(rèn)，全面了解技術(shù)環(huán)境和安全運營需要花費大量精力。CISO必須依靠他們的執(zhí)行技能來打破長期存在的IT孤島，而且他們必須優(yōu)先考慮監(jiān)督要求，以創(chuàng)建可以提供定量觀測分析的指標(biāo)計劃。

Sprunger補充道：

框架優(yōu)先

復(fù)雜性是企業(yè)網(wǎng)絡(luò)安全面臨的的最大挑戰(zhàn)，因此也產(chǎn)生了很多框架來幫助企業(yè)盡快提高網(wǎng)絡(luò)安全成熟度并從網(wǎng)絡(luò)安全投資中獲得最大受益。但是，企業(yè)安全主管們不要迷信“框架即正義“。AttackIQ客戶成功副總裁克里斯托弗·肯尼迪(Christopher Kennedy)認(rèn)為，過于關(guān)注使用監(jiān)管和合規(guī)性框架來管理風(fēng)險是有風(fēng)險的。

他說，一些安全領(lǐng)導(dǎo)者錯誤地過分強調(diào)了滿足框架要求，并將遵守框架視為最終目標(biāo)，而不是將資源集中在理解自己組織的獨特需求上，使安全計劃與業(yè)務(wù)戰(zhàn)略保持一致。并縮小安全計劃中的差距。

肯尼迪說：

肯尼迪并沒有完全否認(rèn)框架的價值。然而他說，組織需要將框架的要求與企業(yè)戰(zhàn)略、行業(yè)風(fēng)險特性、風(fēng)險承受力聯(lián)系。

缺乏針對性

如今所有企業(yè)和組織都面臨不斷增長的威脅、攻擊矢量和漏洞。CISO可能會試圖解決所有這些威脅。但是，很多CISO和安全顧問認(rèn)為，這種眉毛胡子一把抓的方法是錯誤的。相反，他們需要更加專注。

Coinbase的CISO Philip Martin說：

Martin表示，缺乏重點的方法會稀釋本就稀缺的人力資源并增加費用，而安全狀況和風(fēng)險管理能力卻不會相應(yīng)提高。

為了最好地管理風(fēng)險，他和其他安全負(fù)責(zé)人表示，組織應(yīng)該更具針對性。

Martin說：

例如，一家汽車零制造工廠需要優(yōu)先考慮保護(hù)其知識產(chǎn)權(quán)和基礎(chǔ)設(shè)施，而不是銀行木馬。

沒有考慮時間因素

盡管安全或合規(guī)審核可以讓管理層了解安全運營狀況，但專家警告說，審核或?qū)徲嫿Y(jié)果僅反映審核時的安全表現(xiàn)，不能保證未來的有效性。尤其是考慮到新威脅的發(fā)展速度，以及安全策略和風(fēng)險評估同樣需要迅速變化以應(yīng)對這些威脅。

Buffomante指出：

企業(yè)開始通過實施自動化，機器學(xué)習(xí)和人工智能來生成更多實時安全評估，來逐漸滿足這一需求。然后，企業(yè)需要創(chuàng)建流程，更快地通過實時評估來調(diào)整和管理風(fēng)險。

但是，安全領(lǐng)導(dǎo)者們強調(diào)，企業(yè)還必須認(rèn)識到，解決新發(fā)現(xiàn)的風(fēng)險的舉措往往需要更多時間。

LaSalle說：“分析的速度目前超過了決策和采取行動的速度。”安全團(tuán)隊必須將其納入計劃和進(jìn)度報告中。如果安全部門要求IT部門和業(yè)務(wù)部門協(xié)同應(yīng)對新威脅，將風(fēng)險降低到可接受的水平，那么安全部門就要做好準(zhǔn)備，接受各種不可控的延遲。

您不希望安全團(tuán)隊的敦促使業(yè)務(wù)部門產(chǎn)生抵觸情緒，安全部門的指南、緩解或者強化措施需要針對業(yè)務(wù)部門提供循序漸進(jìn)的計劃，確保其中的要求在業(yè)務(wù)部門力所能及的范圍內(nèi)。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文