一篇文章告訴你如何計(jì)算安全的價(jià)值
2019年07月30日
如何協(xié)調(diào)員工和預(yù)算以更好地保護(hù)組織?
盡管我們認(rèn)為�����,在 WannaCry����、NotPetya 和其他引人注目的漏洞席卷全球之后�,網(wǎng)絡(luò)安全意識(shí)狀態(tài)會(huì)發(fā)生變化,但事實(shí)證明���,許多企業(yè)仍然沒有認(rèn)真地對(duì)待 IT 安全問(wèn)題����。這背后的原因其實(shí)很容易理解:畢竟那些經(jīng)歷過(guò)網(wǎng)絡(luò)攻擊的企業(yè)(如 Target、Sony Pictures�����、Equifax 以及 Maersk)仍在正常運(yùn)行中���,且表現(xiàn)得很好。
那么��,這些遭受過(guò)攻擊的組織是否為此改變了其網(wǎng)絡(luò)安全協(xié)議呢?答案是毋庸置疑的���。網(wǎng)絡(luò)攻擊總是通過(guò)巨大的財(cái)務(wù)影響直接打擊一個(gè)組織����,來(lái)強(qiáng)制其進(jìn)行改變��。只有及時(shí)做出了改變��,其業(yè)務(wù)才能照常運(yùn)行下去��,否則將面臨淘汰的命運(yùn)�����。
當(dāng)然,這對(duì) CISO 及其網(wǎng)絡(luò)安全團(tuán)隊(duì)來(lái)說(shuō)也成了一個(gè)巨大的壓力源���。他們每天都會(huì)被提醒 “組織是多么容易受到攻擊”——修補(bǔ)程序已經(jīng)過(guò)時(shí);遠(yuǎn)程工作人員將未受保護(hù)的系統(tǒng)置于危險(xiǎn)境地;預(yù)算和資源不足以及IT運(yùn)營(yíng)和IT安全之間缺乏合作(甚至更糟糕的是存在直接沖突)等因素都使組織面臨攻擊的風(fēng)險(xiǎn)加劇�。
IE 公司發(fā)布的一份有關(guān) IT 安全的最新報(bào)告《整頓內(nèi)部 (Getting Your House in Order) 》發(fā)現(xiàn)�����,IT 正面臨 3 大挑戰(zhàn):保護(hù)新技術(shù)�,限制性預(yù)算,以及IT安全和IT運(yùn)營(yíng)之間缺乏對(duì)彼此工作方式的理解�。更糟糕的是,在預(yù)算分配方面��,90% 的組織會(huì)在 IT 安全性之前優(yōu)先考慮其他事項(xiàng)(如客戶服務(wù)�、銷售等等)。
那么公司應(yīng)該如何整合這些因素來(lái)妥善地保護(hù)組織安全呢?他們必須做到以下幾點(diǎn):
1. 確認(rèn)數(shù)據(jù)的可訪問(wèn)性
事實(shí)證明����,人們對(duì)于 “數(shù)據(jù)集是多么容易被發(fā)現(xiàn)”(即便是在所謂的安全云平臺(tái)上)普遍缺乏了解。太多的操作是基于這樣一個(gè)假設(shè):他們可以將數(shù)據(jù)轉(zhuǎn)儲(chǔ)到云中的 S3 存儲(chǔ)桶中��,因?yàn)樗挥诎踩脚_(tái)上�����,所以它也是安全的。但事實(shí)上����,云存儲(chǔ)的安全性就像用于訪問(wèn)它的協(xié)議和端點(diǎn)一樣脆弱。單個(gè)受損用戶憑證就可以提供對(duì)最有價(jià)值數(shù)據(jù)的自由訪問(wèn)權(quán)限��。
2. 認(rèn)識(shí)到 “外包” 并不是解決方案
大多數(shù)公司認(rèn)為�����,當(dāng)他們把數(shù)據(jù)轉(zhuǎn)儲(chǔ)到云端時(shí)�����,他們也將安全責(zé)任一并丟給了云服務(wù)提供商����。他們認(rèn)為�����,在亞馬遜Web服務(wù) (AWS) 或 Azure 上購(gòu)買云服務(wù)就像購(gòu)買保險(xiǎn)單一樣�。事實(shí)當(dāng)然并非如此,相反地,大量的 S3 存儲(chǔ)桶其實(shí)完全不安全��。即便這些服務(wù)會(huì)受到云服務(wù)提供商的保護(hù)�,但數(shù)據(jù)的安全性卻與訪問(wèn)它的端點(diǎn)的安全性一樣脆弱,這也就解釋了為什么對(duì)于組織而言保護(hù)端點(diǎn)才是至關(guān)重要的����。
3. 將其數(shù)據(jù)價(jià)值與等價(jià)資源相匹配
除非你在保護(hù)數(shù)據(jù)方面投入了足夠的資源和財(cái)力,否則它不會(huì)是安全的�。為了改善網(wǎng)絡(luò)安全,超過(guò) 75% 的安全專家表示�����,他們的組織需要在培訓(xùn)IT安全和IT運(yùn)營(yíng)團(tuán)隊(duì)��,以及將其軟件遷移至自動(dòng)化方面投入更多資金��。而超過(guò) 60% 的受訪者表示��,他們的組織需要在軟件修補(bǔ)方面投入更多資金�。顯然,安全價(jià)值和分配給它的資源之間存在錯(cuò)位現(xiàn)象����。
4. 評(píng)估其 IT 資產(chǎn)的風(fēng)險(xiǎn)等級(jí)
數(shù)據(jù)顯示����,只有大約 60% 的組織對(duì)其網(wǎng)絡(luò)上的端點(diǎn)和正在使用的軟件配置了高級(jí)別的控制機(jī)制和可見性�����。由于存在遠(yuǎn)程工作者����,本地管理員權(quán)限以及部門或基于位置的自治權(quán)限,如果沒有某種類型的自動(dòng)化解決方案����,IT 團(tuán)隊(duì)根本沒有能力追蹤組織的資產(chǎn)狀況。但是�,你永遠(yuǎn)無(wú)法保護(hù)自己看不到的東西,所以組織必須要清楚地了解其 IT 資產(chǎn)狀況��,以便為其提供適當(dāng)?shù)谋Wo(hù)�。
5. 遷移至Windows 10
目前來(lái)說(shuō)�����,企業(yè)將系統(tǒng)升級(jí)至 Windows 10 大多出于安全性考慮�,還沒有一個(gè)出于商業(yè)目的的案例����。然而��,無(wú)論你是選擇 Windows 7 的擴(kuò)展支持協(xié)議還是咬緊牙關(guān)并遷移至 Windows 10�,你仍然需要為端點(diǎn)安全買單。首席信息官們必須意識(shí)到�����,提高安全性是一個(gè)行之有效的商業(yè)案例�,既可以幫助組織守住底線,又可以保護(hù)董事會(huì)和股東的商業(yè)利益��。事實(shí)上��,58% 的受訪者認(rèn)為��,到 2020 年未能遷移至 Windows 10 的組織將面臨 “重大安全風(fēng)險(xiǎn)”�����。首席信息安全官可以利用這種風(fēng)險(xiǎn)潛力來(lái)獲取用于升級(jí)所需的投資����。
6. 解決修補(bǔ)和寬帶問(wèn)題
更新的速度和有限的寬帶所帶來(lái)的挑戰(zhàn)正在成為許多企業(yè)的發(fā)展瓶頸��。假設(shè)你正在運(yùn)營(yíng)一家金融企業(yè)�,但是由于一個(gè)系統(tǒng)補(bǔ)丁問(wèn)題卻致使你的交易員們被迫停工一小時(shí)���,那么他們每人可能會(huì)損失 100 萬(wàn)美元�??紤]到超過(guò)一半的 IT 專家認(rèn)為,未修補(bǔ)的軟件是導(dǎo)致安全漏洞的主要原因之一�,所以修補(bǔ)必須成為優(yōu)先事項(xiàng)。此外�����,組織還需要投入適當(dāng)?shù)墓ぞ邅?lái)實(shí)現(xiàn)流程自動(dòng)化��,以幫助克服修補(bǔ)挑戰(zhàn)和寬帶不足的問(wèn)題�。
將 IT 運(yùn)營(yíng)和 IT 安全結(jié)合在一起,可以確立他們 “朝著一個(gè)目標(biāo)努力” 的凝聚力���。在微軟,不僅所有開發(fā)人員都接受過(guò)一定程度的安全培訓(xùn)�,他們還會(huì)讓安全人員坐在這些開發(fā)人員旁邊。他們之間的合作可以確保正在進(jìn)行的工作從一開始就符合公司既定的安全準(zhǔn)則��,以降低安全漏洞的風(fēng)險(xiǎn)并防止兩個(gè)團(tuán)隊(duì)出現(xiàn)對(duì)抗或沖突的情況。
通過(guò)教育 IT 運(yùn)營(yíng)和 IT 安全團(tuán)隊(duì)了解彼此的工作職責(zé)�、目標(biāo)等內(nèi)容,公司可以充分利用其 IT 資源的全部功能�,并通過(guò)上述這些反映其對(duì)安全價(jià)值的投資來(lái)更好地保護(hù)組織。
江蘇國(guó)駿為您提供全面可信的信息安全服務(wù)
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
長(zhǎng)按二維碼關(guān)注我們
