每位CSO都需要回答好這5個(gè)問(wèn)題
2018年2月,澳大利亞正式實(shí)施新的數(shù)據(jù)泄露法案——《數(shù)據(jù)泄露通報(bào)法案》。
據(jù)悉,該法案適用于年?duì)I業(yè)額超過(guò)300萬(wàn)美元并持有個(gè)人可識(shí)別信息的組織和機(jī)構(gòu)。一旦實(shí)行,這些組織機(jī)構(gòu)必須向澳大利亞信息專員辦公室和受影響的個(gè)人報(bào)告數(shù)據(jù)泄露事件,有效地防止數(shù)據(jù)泄露事件悄無(wú)聲息地發(fā)生。
3月底爆發(fā)的Facebook數(shù)據(jù)泄露事件在全球范圍內(nèi)引起了軒然大波,據(jù)悉,劍橋分析公司以不正當(dāng)?shù)姆绞将@取了大量Facebook用戶的信息,其中包括用戶居住地、個(gè)人喜好、朋友信息等等。甚至有媒體認(rèn)為,該公司可能與2016年美國(guó)總統(tǒng)選舉期間的廣告定向投放有關(guān),從而一定程度上影響了大選結(jié)果。
2018年5月25日,被視為“史上最嚴(yán)”的歐盟隱私法案《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR)于歐盟全面實(shí)施,該條例現(xiàn)已成為歐盟法律的一部分,用來(lái)改善歐盟公民的數(shù)據(jù)保護(hù)情況。
總之,無(wú)論是近來(lái)發(fā)生的網(wǎng)絡(luò)安全事件,還是澳大利亞和歐洲相繼引入新的數(shù)據(jù)泄露法案,種種事件都正在提醒人們要對(duì)網(wǎng)絡(luò)安全最佳實(shí)踐需求的多多認(rèn)識(shí)。這種意識(shí)的覺(jué)醒也推動(dòng)眾多企業(yè)開(kāi)始著手評(píng)估當(dāng)前自身的網(wǎng)絡(luò)安全狀況,并實(shí)施相應(yīng)的解決方案以降低安全風(fēng)險(xiǎn)。
愿景是美好的,但不幸的是,企業(yè)并未能發(fā)揮安全評(píng)估和解決方案的最大效用,他們只是繼續(xù)在新的、孤立的安全工具上分層,而沒(méi)有挖掘出現(xiàn)有工具的最大化價(jià)值,或完全解決潛在的漏洞威脅。
隨著每天越來(lái)越多的設(shè)備和端點(diǎn)連接到網(wǎng)絡(luò),能夠保護(hù)這些設(shè)備并防止未經(jīng)授權(quán)的訪問(wèn)行為應(yīng)該成為安全專業(yè)人員最關(guān)心的問(wèn)題。這種安全覺(jué)悟無(wú)疑是正確的,因?yàn)楣粽咧恍枰ㄟ^(guò)一個(gè)受損設(shè)備就能夠瓦解整個(gè)基礎(chǔ)架構(gòu)。
如今,大多數(shù)安全方法都依賴于后見(jiàn)之明——不知道接下來(lái)會(huì)發(fā)生什么情況,企業(yè)只能對(duì)已發(fā)生的事情做出響應(yīng),然后在事件已發(fā)生的情況下修復(fù)攻擊影響。
想要改變這種“事后諸葛亮”的現(xiàn)狀,讓企業(yè)以更為積極主動(dòng)地方式應(yīng)對(duì)威脅,將對(duì)企業(yè)整體安全性產(chǎn)生戰(zhàn)略性意義,而這一切主要取決于企業(yè)安全方向的決策者對(duì)自身的認(rèn)知與決策方向。
CSO需要能夠立即回答如下5個(gè)關(guān)鍵問(wèn)題
1. 您的組織是否錯(cuò)誤地以為自己具備必要(但通常缺失)的安全基礎(chǔ)?
完整、持續(xù)的可視性對(duì)于有效的網(wǎng)絡(luò)保護(hù)至關(guān)重要。如今,整個(gè)行業(yè)的假設(shè)是,所有組織都具備這種可視性,但事實(shí)是,大多數(shù)組織根本不具備充足的可視性。
鑒于缺乏可視性,企業(yè)將無(wú)法確保不可視內(nèi)容的安全,所以組織必須避免這種盲目假設(shè),并采取有效措施來(lái)確保自身確實(shí)具備完整、持續(xù)的可視性。
2. 如果一組未知的設(shè)備或端點(diǎn)連接到網(wǎng)絡(luò),企業(yè)應(yīng)該如何了解其風(fēng)險(xiǎn)狀況?
當(dāng)組織只具備部分可視性時(shí),他們對(duì)風(fēng)險(xiǎn)狀況的了解也就會(huì)不完整。當(dāng)消費(fèi)者購(gòu)買家庭內(nèi)容的保險(xiǎn)時(shí),保險(xiǎn)公司會(huì)詢問(wèn)的第一個(gè)問(wèn)題就是他們的資產(chǎn)價(jià)值。如果消費(fèi)者不知道自己擁有哪些東西,自然也就無(wú)法衡量自己的財(cái)產(chǎn)價(jià)值。同樣的道理,如果無(wú)法確切地知道連接到網(wǎng)絡(luò)中的內(nèi)容,企業(yè)自然也就無(wú)法有效地保護(hù)它。
3. 量化企業(yè)網(wǎng)絡(luò)中未知的“未知數(shù)”的第一步是什么?
絕大多數(shù)組織都知道自身存在可視性差距,但是他們并不知道如何縮小這種差距。如果網(wǎng)絡(luò)會(huì)說(shuō)話的話,我想安全專業(yè)人士一定想直接問(wèn)它,“究竟哪些東西連接到了網(wǎng)絡(luò)”。通常情況下,當(dāng)詢問(wèn)網(wǎng)絡(luò)時(shí),其給出的“未知數(shù)”(連接到網(wǎng)絡(luò)的設(shè)備或端點(diǎn))數(shù)量可能會(huì)比預(yù)期的還要多出35%-40%。加上如今大多數(shù)企業(yè)都擁有擴(kuò)展的網(wǎng)絡(luò),想要明確未知設(shè)備規(guī)模將變得更為艱難。完全關(guān)閉可見(jiàn)性差距的唯一方法,就是直接詢問(wèn)所有不同的網(wǎng)絡(luò)。
4. 組織如何避免添加其他孤立的安全工具?
組織不希望繼續(xù)在新的、孤立的安全工具上分層,相反地,他們需要從自己已經(jīng)投入的工具中獲取更多。所以,企業(yè)應(yīng)該通過(guò)提供對(duì)網(wǎng)絡(luò)上所有內(nèi)容的可見(jiàn)性,來(lái)確保自己的下一次投資能夠更好地利用他們現(xiàn)有的工具,而不是簡(jiǎn)單地添加另一個(gè)增加成本和復(fù)雜性,卻無(wú)法提供可操作信息的孤立工具。
5. 組織可以量化他們浪費(fèi)的安全支出嗎?
組織會(huì)為安全工具分配預(yù)算,但這些工具無(wú)法發(fā)揮最大性能來(lái)完整地保護(hù)企業(yè)業(yè)務(wù)安全。因此,一些預(yù)算就等于浪費(fèi)掉了。完整、持續(xù)的可視性使企業(yè)能夠識(shí)別并恢復(fù)浪費(fèi)的支出,并確保安全預(yù)算能夠覆蓋其預(yù)期覆蓋范圍的100%。
通過(guò)縮小可視性差距,以及獲得有關(guān)網(wǎng)絡(luò)上每個(gè)設(shè)備或端點(diǎn)的完整且準(zhǔn)確的信息,企業(yè)將不僅可以減少其安全預(yù)算,還能夠更可靠地保護(hù)其網(wǎng)絡(luò)。這將有助于企業(yè)改進(jìn)數(shù)據(jù)保護(hù)措施,以及更輕松地滿足數(shù)據(jù)保護(hù)法規(guī)合規(guī)性要求。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
