一篇文章告訴你如何計(jì)算安全的價(jià)值
2019年07月30日
如何協(xié)調(diào)員工和預(yù)算以更好地保護(hù)組織?
盡管我們認(rèn)為���,在 WannaCry、NotPetya 和其他引人注目的漏洞席卷全球之后�,網(wǎng)絡(luò)安全意識(shí)狀態(tài)會(huì)發(fā)生變化,但事實(shí)證明����,許多企業(yè)仍然沒(méi)有認(rèn)真地對(duì)待 IT 安全問(wèn)題。這背后的原因其實(shí)很容易理解:畢竟那些經(jīng)歷過(guò)網(wǎng)絡(luò)攻擊的企業(yè)(如 Target���、Sony Pictures��、Equifax 以及 Maersk)仍在正常運(yùn)行中����,且表現(xiàn)得很好。
那么�,這些遭受過(guò)攻擊的組織是否為此改變了其網(wǎng)絡(luò)安全協(xié)議呢?答案是毋庸置疑的。網(wǎng)絡(luò)攻擊總是通過(guò)巨大的財(cái)務(wù)影響直接打擊一個(gè)組織��,來(lái)強(qiáng)制其進(jìn)行改變�。只有及時(shí)做出了改變,其業(yè)務(wù)才能照常運(yùn)行下去����,否則將面臨淘汰的命運(yùn)。
當(dāng)然���,這對(duì) CISO 及其網(wǎng)絡(luò)安全團(tuán)隊(duì)來(lái)說(shuō)也成了一個(gè)巨大的壓力源�。他們每天都會(huì)被提醒 “組織是多么容易受到攻擊”——修補(bǔ)程序已經(jīng)過(guò)時(shí);遠(yuǎn)程工作人員將未受保護(hù)的系統(tǒng)置于危險(xiǎn)境地;預(yù)算和資源不足以及IT運(yùn)營(yíng)和IT安全之間缺乏合作(甚至更糟糕的是存在直接沖突)等因素都使組織面臨攻擊的風(fēng)險(xiǎn)加劇�。
IE 公司發(fā)布的一份有關(guān) IT 安全的最新報(bào)告《整頓內(nèi)部 (Getting Your House in Order) 》發(fā)現(xiàn),IT 正面臨 3 大挑戰(zhàn):保護(hù)新技術(shù)���,限制性預(yù)算��,以及IT安全和IT運(yùn)營(yíng)之間缺乏對(duì)彼此工作方式的理解����。更糟糕的是,在預(yù)算分配方面���,90% 的組織會(huì)在 IT 安全性之前優(yōu)先考慮其他事項(xiàng)(如客戶(hù)服務(wù)�����、銷(xiāo)售等等)�����。
那么公司應(yīng)該如何整合這些因素來(lái)妥善地保護(hù)組織安全呢?他們必須做到以下幾點(diǎn):
1. 確認(rèn)數(shù)據(jù)的可訪問(wèn)性
事實(shí)證明��,人們對(duì)于 “數(shù)據(jù)集是多么容易被發(fā)現(xiàn)”(即便是在所謂的安全云平臺(tái)上)普遍缺乏了解��。太多的操作是基于這樣一個(gè)假設(shè):他們可以將數(shù)據(jù)轉(zhuǎn)儲(chǔ)到云中的 S3 存儲(chǔ)桶中�,因?yàn)樗挥诎踩脚_(tái)上�����,所以它也是安全的����。但事實(shí)上,云存儲(chǔ)的安全性就像用于訪問(wèn)它的協(xié)議和端點(diǎn)一樣脆弱����。單個(gè)受損用戶(hù)憑證就可以提供對(duì)最有價(jià)值數(shù)據(jù)的自由訪問(wèn)權(quán)限。
2. 認(rèn)識(shí)到 “外包” 并不是解決方案
大多數(shù)公司認(rèn)為�����,當(dāng)他們把數(shù)據(jù)轉(zhuǎn)儲(chǔ)到云端時(shí)����,他們也將安全責(zé)任一并丟給了云服務(wù)提供商。他們認(rèn)為���,在亞馬遜Web服務(wù) (AWS) 或 Azure 上購(gòu)買(mǎi)云服務(wù)就像購(gòu)買(mǎi)保險(xiǎn)單一樣����。事實(shí)當(dāng)然并非如此�,相反地,大量的 S3 存儲(chǔ)桶其實(shí)完全不安全�。即便這些服務(wù)會(huì)受到云服務(wù)提供商的保護(hù),但數(shù)據(jù)的安全性卻與訪問(wèn)它的端點(diǎn)的安全性一樣脆弱�����,這也就解釋了為什么對(duì)于組織而言保護(hù)端點(diǎn)才是至關(guān)重要的。
3. 將其數(shù)據(jù)價(jià)值與等價(jià)資源相匹配
除非你在保護(hù)數(shù)據(jù)方面投入了足夠的資源和財(cái)力����,否則它不會(huì)是安全的。為了改善網(wǎng)絡(luò)安全�,超過(guò) 75% 的安全專(zhuān)家表示,他們的組織需要在培訓(xùn)IT安全和IT運(yùn)營(yíng)團(tuán)隊(duì)��,以及將其軟件遷移至自動(dòng)化方面投入更多資金�。而超過(guò) 60% 的受訪者表示,他們的組織需要在軟件修補(bǔ)方面投入更多資金��。顯然�,安全價(jià)值和分配給它的資源之間存在錯(cuò)位現(xiàn)象。
4. 評(píng)估其 IT 資產(chǎn)的風(fēng)險(xiǎn)等級(jí)
數(shù)據(jù)顯示����,只有大約 60% 的組織對(duì)其網(wǎng)絡(luò)上的端點(diǎn)和正在使用的軟件配置了高級(jí)別的控制機(jī)制和可見(jiàn)性。由于存在遠(yuǎn)程工作者��,本地管理員權(quán)限以及部門(mén)或基于位置的自治權(quán)限��,如果沒(méi)有某種類(lèi)型的自動(dòng)化解決方案�����,IT 團(tuán)隊(duì)根本沒(méi)有能力追蹤組織的資產(chǎn)狀況���。但是��,你永遠(yuǎn)無(wú)法保護(hù)自己看不到的東西�����,所以組織必須要清楚地了解其 IT 資產(chǎn)狀況�,以便為其提供適當(dāng)?shù)谋Wo(hù)����。
5. 遷移至Windows 10
目前來(lái)說(shuō),企業(yè)將系統(tǒng)升級(jí)至 Windows 10 大多出于安全性考慮��,還沒(méi)有一個(gè)出于商業(yè)目的的案例�����。然而�����,無(wú)論你是選擇 Windows 7 的擴(kuò)展支持協(xié)議還是咬緊牙關(guān)并遷移至 Windows 10,你仍然需要為端點(diǎn)安全買(mǎi)單���。首席信息官們必須意識(shí)到����,提高安全性是一個(gè)行之有效的商業(yè)案例���,既可以幫助組織守住底線���,又可以保護(hù)董事會(huì)和股東的商業(yè)利益。事實(shí)上�����,58% 的受訪者認(rèn)為�,到 2020 年未能遷移至 Windows 10 的組織將面臨 “重大安全風(fēng)險(xiǎn)”。首席信息安全官可以利用這種風(fēng)險(xiǎn)潛力來(lái)獲取用于升級(jí)所需的投資�。
6. 解決修補(bǔ)和寬帶問(wèn)題
更新的速度和有限的寬帶所帶來(lái)的挑戰(zhàn)正在成為許多企業(yè)的發(fā)展瓶頸。假設(shè)你正在運(yùn)營(yíng)一家金融企業(yè)�����,但是由于一個(gè)系統(tǒng)補(bǔ)丁問(wèn)題卻致使你的交易員們被迫停工一小時(shí)��,那么他們每人可能會(huì)損失 100 萬(wàn)美元??紤]到超過(guò)一半的 IT 專(zhuān)家認(rèn)為,未修補(bǔ)的軟件是導(dǎo)致安全漏洞的主要原因之一���,所以修補(bǔ)必須成為優(yōu)先事項(xiàng)。此外�����,組織還需要投入適當(dāng)?shù)墓ぞ邅?lái)實(shí)現(xiàn)流程自動(dòng)化��,以幫助克服修補(bǔ)挑戰(zhàn)和寬帶不足的問(wèn)題�����。
將 IT 運(yùn)營(yíng)和 IT 安全結(jié)合在一起���,可以確立他們 “朝著一個(gè)目標(biāo)努力” 的凝聚力���。在微軟,不僅所有開(kāi)發(fā)人員都接受過(guò)一定程度的安全培訓(xùn)��,他們還會(huì)讓安全人員坐在這些開(kāi)發(fā)人員旁邊���。他們之間的合作可以確保正在進(jìn)行的工作從一開(kāi)始就符合公司既定的安全準(zhǔn)則�,以降低安全漏洞的風(fēng)險(xiǎn)并防止兩個(gè)團(tuán)隊(duì)出現(xiàn)對(duì)抗或沖突的情況。
通過(guò)教育 IT 運(yùn)營(yíng)和 IT 安全團(tuán)隊(duì)了解彼此的工作職責(zé)����、目標(biāo)等內(nèi)容,公司可以充分利用其 IT 資源的全部功能�����,并通過(guò)上述這些反映其對(duì)安全價(jià)值的投資來(lái)更好地保護(hù)組織����。
江蘇國(guó)駿為您提供全面可信的信息安全服務(wù)
http://borgatopiano.com.cn/
免費(fèi)咨詢(xún)熱線:400-6776-989
長(zhǎng)按二維碼關(guān)注我們
