什么是網絡安全轉型?成功的最佳實踐
在監管壓力不斷增加和網絡威脅不斷上升的情況下,高管必須優先考慮網絡安全轉型,以保護資產、促進增長并確保彈性。
在當今的數字世界中,網絡安全不應再被拋在腦后,而是企業至關重要的必需品。如果不積極主動地進行網絡安全轉型,企業將面臨監管處罰、運營中斷、網絡安全漏洞和聲譽受損的風險。通過將網絡安全作為企業的優先事項,領導者可以保護數字資產,促進創新,并建立長期的韌性。
據門羅大學稱,1971年,鮑勃·托馬斯(Bob Thomas)無意中在美國政府的阿帕網(ARPANET,現代互聯網的前身)上釋放了一種病毒(Creeper)。隨后,其同事雷·湯姆林森(Ray Tomlinson)創建了一種病毒檢測程序(Reaper),用于檢測并消滅Creeper。這些事件開啟了網絡安全防御的誕生,遠早于該行業正式興起之前。
25年前,我投身信息技術 (IT) 行業,親眼見證了技術支持、服務交付、服務管理和軟件開發等諸多領域的“變革”。在此期間,網絡安全基本上被擱置一旁,因為產品團隊總會以緊迫的工期、開發問題和其他因素為由,為自己缺乏網絡安全集成和盡職調查的缺陷辯解。
直到最近,隨著董事會成員尋求制定技術風險管理戰略,網絡安全轉型才成為企業首要任務。根據IBM的《2024年數據泄露成本報告》,數據泄露的平均成本為488萬美元。對于許多企業而言,這筆成本不僅包括聲譽損失、法律風險和客戶信任度下降。網絡安全轉型能夠直接緩解這些風險,并降低網絡保險費,因為它體現了企業的盡職盡責。
網絡安全轉型為何重要?
在當今互聯互通的世界,網絡安全轉型至關重要,技術進步的速度遠遠超過傳統的安全措施。隨著企業數字化運營并采用云計算、物聯網設備和人工智能驅動的流程,惡意行為者的攻擊面呈指數級增長。網絡威脅已從簡單的網絡釣魚攻擊演變為復雜的勒索軟件攻擊、國家支持的攻擊以及供應鏈漏洞。如果不采取積極主動的網絡安全轉型措施,企業將面臨災難性的安全漏洞,嚴重損害其聲譽和財務穩定。
此外,監管環境瞬息萬變,政府和行業機構的合規要求愈發嚴格。美國證券交易委員會的新規要求上市公司披露重大網絡安全事件,并證明其在董事會層面的監督力度。未能實施和報告網絡安全措施可能導致股東訴訟和監管罰款。
網絡安全轉型確保組織保持敏捷性和合規性,并將安全性融入其運營的每個層面。通過將安全作為核心業務功能,企業可以保護敏感數據,并與客戶、合作伙伴和利益相關者建立信任,同時鞏固其市場地位。
網絡安全轉型的核心在于將安全視角從被動的復選框轉變為業務增長的戰略推動因素。它能夠培養一種韌性文化,讓安全團隊與業務領導者協作,將風險管理納入長期規劃。當網絡安全成為所有部門的共同責任時,組織就能滿懷信心地擁抱創新。
組織是否需要網絡安全轉型?
以下是領導者在確定其組織是否需要網絡安全轉型時可能會考慮的一些關鍵問題:
- 組織是否持續遭遇安全事件?
如果是這樣,您是想找出根本原因,還是只關注癥狀而不解決問題?
- 各部門是否積極參與網絡安全實踐?
- 災難恢復演習有企業參與嗎?
- 企業是否維護并實踐停機恢復計劃?
- 是否定期進行桌面演習,讓企業領導層對事件進行角色扮演,并在實際事件發生之前發現解決問題的機會?
- 員工是否需要接受年度網絡安全最佳實踐培訓?
- 組織是否定期進行測試以確定培訓的有效性,例如網絡釣魚模擬?
- 網絡安全是否由第三方根據 NIST 網絡安全框架 (NIST CSF) 等公認框架進行獨立評估?
解決這些問題可以為安全計劃的弱點和機會提供寶貴的見解,為有意義的網絡安全轉型鋪平道路。
網絡安全轉型的好處
通過現代化安全框架、技術和實踐,組織可以獲得多重優勢。這些優勢凸顯了網絡安全轉型對于希望在復雜威脅環境中蓬勃發展并保持競爭優勢的組織至關重要。
- 風險管理。提高識別、評估、確定風險優先次序以及有效緩解或管理風險的能力。
- 業務彈性。最大限度地減少停機時間,使 IT 團隊能夠根據恢復時間目標和恢復點目標完全恢復系統。
- 提高合規性。符合法規和行業標準,避免處罰和聲譽損害。
- 增強信任。增強利益相關者、客戶和顧客對組織安全態勢的信心。
- 成本管理。減少違規造成的財務損失,降低網絡保險成本。
- 業務支持。鼓勵通過標準架構采用安全技術和實踐,實現快速部署。
如何實施網絡安全轉型
這個五步框架為組織通過網絡安全轉型改善其安全態勢提供了實用的路線圖和起點。
- 使用第三方評估工具評估當前的網絡安全計劃,根據通用框架(例如NIST 網絡安全框架)評估其成熟度水平。這將揭示計劃中的優勢和劣勢。
- 將貴組織的風險登記冊或風險優先級與網絡安全框架進行匹配。確保貴組織的首要風險優先級與每種風險對應的成熟度評分保持一致。例如,如果貴組織的首要風險是第三方風險,請確保您的網絡安全供應鏈風險管理 ( NIST 2.0 GV.SC ) 能力足夠成熟。
- 解決網絡安全技術問題,既要解決技術債務問題,又要建立標準,防止未來蔓延。例如,不要只關注現有系統的補丁和漏洞管理。要建立基準標準,防止在沒有必要補丁和技術控制的情況下將系統部署到生產環境中。要專注于替換舊系統,而不是使其達到標準。
- 建立員工培訓和意識計劃。不幸的是,終端用戶是惡意行為者經常利用的常見弱點。確保最終用戶對可疑電子郵件和請求保持警惕,不僅可以增強您的網絡安全計劃,還可以確保每個人都明白,網絡防御不僅僅是網絡安全部門的責任。
- 制定溝通計劃,解決董事會和高管層的擔憂,并將可能直接感受到新安全工具(例如數據丟失防護)影響的一線員工納入其中。邀請所有業務線的利益相關者參與技術推廣,并制定“網絡安全冠軍”計劃。
網絡安全轉型的挑戰
開展網絡安全轉型的組織經常面臨許多障礙,其中一些主要挑戰包括:
- 高管認同與員工抵觸。文化是網絡安全轉型成功的關鍵。讓所有員工和高管理解網絡安全轉型的重要性并非易事,這往往是網絡安全面臨的最大挑戰之一。定期溝通和培訓對于營造滿足各級網絡安全需求所需的文化至關重要。
- 資源限制。有限的網絡安全預算和技能人才短缺可能會阻礙全面網絡安全改進措施的實施。據Cyberseek稱,目前美國有超過 50 萬個網絡安全職位空缺。在新冠疫情爆發之前,網絡安全行業的薪資存在地域差異。如今,各大機構正在爭奪人才,要求的薪資待遇已經超越了此前東海岸和西海岸的水平。
- 跨部門協作。確保所有業務線的協調一致和有效溝通至關重要,但這往往難以實現。我之前的首席信息安全官 (CISO) 曾說過:“我們希望網絡安全是我們與你們共同努力的事情,而不是針對你們。” 在啟動網絡安全轉型計劃之前,應投入時間與業務負責人建立聯系。創建一個由不同部門組成的跨代表網絡風險委員會,以幫助解決整個組織的安全問題。該委員會還應定期與 CISO 和其他安全負責人會面,以解決任何安全問題。
人工智能如何改變網絡安全轉型
人工智能 ( AI ) 正在改變組織在各個業務領域(包括網絡安全)的運營方式。采用 AI 流程和工作流程可以減少甚至消除對入門級網絡安全分析師的需求,使組織能夠專注于戰略和業務協調。以下是組織在網絡安全轉型過程中應考慮使用 AI 的一些領域。
- 日常任務的自動化。人工智能可以自動執行重復性任務,例如事件優先級排序和日志分析,從而使網絡安全團隊能夠專注于戰略計劃。
- 增強威脅檢測。人工智能驅動的系統可以實時分析大量數據,比傳統方法更快地識別異常行為和潛在威脅。
- 改進事件響應。人工智能工具通過提供可操作的見解并減少緩解違規所需的時間來簡化事件響應流程。
然而,人工智能存在一些安全風險,包括操縱輸入數據以獲取有害輸出的對抗性攻擊,以及數據泄露。在組織中實施人工智能時,制定人工智能安全策略將有助于緩解任何安全問題。
隨著人工智能的加速應用,企業高管將承擔起人工智能安全且合乎道德使用的責任。歐盟《人工智能法案》和美國新興政策要求各組織對人工智能模型的偏見、可解釋性和數據使用負責。正因如此,網絡安全轉型還必須涵蓋人工智能治理,例如成立人工智能倫理委員會或采用NIST AI RMF等框架,以維護利益相關者的信任和合規性。
John Doan 是一家世界知名醫療保健組織的網絡安全咨詢高級主管和網絡安全領域架構師。
