諸如勒索軟件、商業(yè)電子郵件詐騙和數(shù)據(jù)泄露等網(wǎng)絡(luò)攻擊是當今企業(yè)面臨的一些關(guān)鍵問題，盡管發(fā)生了許多令人關(guān)注的網(wǎng)絡(luò)安全事件，但許多企業(yè)并沒有提供更多的預(yù)算加強網(wǎng)絡(luò)安全以避免成為下一個受害者。

在有關(guān)網(wǎng)絡(luò)安全的一次訪談中，美國五角大樓前首席戰(zhàn)略官、Attackiq公司網(wǎng)絡(luò)安全戰(zhàn)略和政策副總裁Jonathan Reiber指出，企業(yè)比以往任何時候都需要保護自己免受網(wǎng)絡(luò)威脅參與者的侵害。他為首席信息安全官提供了一些見解，從如何與董事會成員進行對話到適當?shù)念A(yù)算分配。

隨著地緣政治緊張局勢繼續(xù)加劇，你會向首席信息安全官提供哪些切實可行的建議，以加強企業(yè)對出于政治動機的網(wǎng)絡(luò)威脅行為者的防御?

Reiber：隨著地緣政治緊張局勢繼續(xù)加劇，對出于政治動機的網(wǎng)絡(luò)威脅行為者進行準備是一個必要的過程，可以預(yù)防或更好地阻止這種情況的發(fā)生。

與人們看到的日常沖突相比，網(wǎng)絡(luò)空間中發(fā)生的沖突更加微妙和普遍。網(wǎng)絡(luò)攻擊者不斷地進行攻擊，傳播虛假信息，竊取知識產(chǎn)權(quán)，勒索受害者。毫無疑問，這對于現(xiàn)代首席信息安全官來說是一個重大的挑戰(zhàn)。

但是，首席信息安全官非常了解網(wǎng)絡(luò)威脅行為者將要采取的策略，技術(shù)和程序。MITER團隊的攻擊框架列表中列出了12個主要有策略、技術(shù)和程序(TTP)的網(wǎng)絡(luò)攻擊行為。為什么這種情況還在發(fā)生?在數(shù)字威脅場景中，需要假設(shè)存在漏洞，因為這不是是否存在漏洞的問題，而是網(wǎng)絡(luò)攻擊者何時會攻擊的問題。僅僅擁有這個框架是不夠的，企業(yè)需要不斷測試和驗證這些控件，以大規(guī)模部署針對其安全控制的最佳評估和對手仿真，從而提高可見性。

這可以使首席信息安全官不斷查看性能數(shù)據(jù)，并幫助他們跟蹤其安全計劃對威脅格局的有效性。

首席信息安全官如何有效地向企業(yè)董事會解釋數(shù)據(jù)泄露的損失成本?哪種類型的信息讓非技術(shù)人員明白這一點?

Reiber：根據(jù)研究，數(shù)據(jù)違規(guī)事件造成的損失在3.86萬美元至392萬美元之間，在醫(yī)療保健和金融/銀行等受監(jiān)管行業(yè)損失可能會更高，并且造成更可怕的后果。

數(shù)據(jù)違規(guī)的成本取決于事件本身。例如，當消費者的數(shù)據(jù)處于危險之中時，業(yè)務(wù)損失是最重要的因素，占數(shù)據(jù)泄露總成本的將近40%。它包括許多因素，例如客戶流失、收入損失和獲得新業(yè)務(wù)以減輕聲譽損害的費用。

得到敵對國家資助的數(shù)據(jù)違規(guī)事件平均成本超過440萬美元，這通常是首席信息安全官最難應(yīng)對和補救的數(shù)據(jù)違規(guī)事件。

例如企業(yè)檢測和控制事件所需的時間長度等其他因素，可能對整體損害不利。其答案并不明確，但在數(shù)據(jù)違規(guī)事件發(fā)生之前實施的安全措施可以緩解嚴重且成本高昂的情況。首席信息安全官需要意識到當前的威脅形勢，在后疫情時代，遠程工作為新的漏洞打開了大門，當今具有前瞻性思維的首席信息安全官需要采取預(yù)防性網(wǎng)絡(luò)安全措施來管理企業(yè)面臨的長期風險。

企業(yè)可能為網(wǎng)絡(luò)方面的硬件、軟件和人員投資達到數(shù)百萬美元，但仍然受到網(wǎng)絡(luò)攻擊。向負責預(yù)算的主管解釋安全投資回報率(ROI)的秘訣是什么?

Reiber：為了衡量成功的投資，首先需要量化要保護的成本。在簡化的模型中，第一步是衡量數(shù)據(jù)保護的給定好處，這始于資產(chǎn)評估。這些數(shù)據(jù)對企業(yè)有多重要?負責預(yù)算的主管需要承擔這些數(shù)據(jù)不受保護的風險。如果不采取必要的措施來通過投資預(yù)防性網(wǎng)絡(luò)安全工具來降低風險，那么當出現(xiàn)漏洞時，成本會有多高?

驗證企業(yè)的控制權(quán)而不是采購和使用更多工具更具成本效益。通過采用專門的框架來抵御網(wǎng)絡(luò)威脅，例如可以使用漏洞和攻擊模擬(BAS)這樣的自動化平臺進行威脅信息的防御，首席信息安全官可以不斷測試并驗證其系統(tǒng)。與消防演習類似，漏洞和攻擊模擬(BAS)可以找到哪些控件失敗，使企業(yè)能夠彌補網(wǎng)絡(luò)安全防御措施中的差距，從而在網(wǎng)絡(luò)攻擊發(fā)生之前做好準備。

由于任何人都可能遭遇網(wǎng)絡(luò)攻擊，因此首席信息安全官想知道他們是否應(yīng)該將更多的預(yù)算分配給網(wǎng)絡(luò)安全保險，而不是網(wǎng)絡(luò)安全技術(shù)。你認為他們做出了正確的選擇嗎?

Reiber：過度依賴網(wǎng)絡(luò)保險而沒有適當?shù)耐顿Y可能導(dǎo)致額外成本，使企業(yè)更容易暴露在風險和漏洞中。雖然保險公司可以抵消部分成本，但在安全事件發(fā)生后，他們通常無法修復(fù)企業(yè)的聲譽損失。同樣，如果企業(yè)在研發(fā)方面上花費數(shù)百萬美元而知識產(chǎn)權(quán)卻被竊取，其獲得的保險費用往往難以彌補投資成本。

首席信息安全官應(yīng)對網(wǎng)張攻擊的最佳方法是采用主動的安全策略，并與網(wǎng)絡(luò)保險保持平衡，采用網(wǎng)絡(luò)安全工具，例如漏洞和攻擊模擬(BAS)系統(tǒng)。有效的安全策略不僅可以保護企業(yè)數(shù)據(jù)安全，并在網(wǎng)絡(luò)威脅之前確定缺陷和漏洞，甚至獲得網(wǎng)絡(luò)保險，因此建立這些系統(tǒng)對于降低網(wǎng)絡(luò)保險的成本至關(guān)重要。

擁有正確的網(wǎng)絡(luò)保險至關(guān)重要，首席信息安全官需要密切關(guān)注保險合同的起草方式。缺乏對細節(jié)的關(guān)注可能會導(dǎo)致企業(yè)沒有正確的覆蓋范圍，尤其是鑒于當前威脅形勢不斷變化的性質(zhì)，首席信息安全官需要在購買網(wǎng)絡(luò)安全保險之前制定具體的網(wǎng)絡(luò)安全措施。