CEO完全信任首席安全官(CSO),将保护公司安全,不让公司登上媒体头条出丑的重责大任交托到CISO身上。但随着互联网攻击数量的急速上升,该信任已逐渐被稀释,至少,是越来越受到质疑了。
CEO讨厌被打个措手不及,所以他们总会问些尖锐的问题,来确保自己知晓采取了哪些安全预警措施。
下面就是假想中的CEO或董事会成员与CISO的问答。卢卡斯·穆迪,Palo Alto Networks副总裁兼CISO,多蒂·辛德林格,Diligent监管技术推动者,给出了有关这些互动的见解。
CEO:为什么我们受到的网络钓鱼攻击越来越多了?针对这些网络钓鱼攻击我们都在做些什么?
CISO:为对抗该威胁,预防是我们最佳的防御策略。预防始于技术,应囊括进识别公司凭证被非法复用的方法技术。为支持预防,我们还通过全面的网络钓鱼模拟和教育,解决了人和过程的问题,让员工成为了主动防护公司所需的第一道防线。
CEO:我们需要担心勒索软件攻击吗?我印象中我们这行不受影响,至少从我看到的新闻上是这样的。
CISO:鉴于网络罪犯在勒索软件上取得的巨大成功,今年的攻击规模应该会扩大,从医疗保健到关键基础设施的各行各业都会被波及,而且这些攻击在复杂度可能会增加。我们已经做了全面的备份策略以对抗公司环境中常见的此类攻击,而且是高度个性化的。
CEO:连接我们公司网络的IoT设备安全情况如何?我们对此的策略是什么?
CISO:全球在用的联网设备超过60亿台——该数字到2020年有望达到210亿。随着这些消费级IoT设备进入办公环境,我们需要在面对某些真正的威胁前,慎重考虑主动解决该重大脆弱点。
如您所知,人的因素往往是网络安全计划中最薄弱的一环,所以我们首先要设立接入公司网络的设备限制条件,以及有哪些数据是可以通过这些设备访问的。我们所用的安全技术不仅仅是应用和产品敏感的,也可以合理控制这些设备,支持设备按预设意图行事。
CEO:SaaS应用中意外过度共享公司机密文件迅速成为了一大问题。我们可以做些什么来规避此风险呢?
CISO:团队生产力依赖于Box、Dropbox和 Google Drive 之类SaaS应用的使用,随着此类服务的疯狂采用,我们开发出了一些策略来最小化数据丢失风险。从设计上,这些应用就是为了简化信息共享的,也就是说,信息安全公司必须有能力监视和预防公司暴露面。耦合员工培训和预防检测控制机制以识别风险数据,限制共享,以及支持已暴露机密数据的监视,也是重要步骤。使用现实例子解释SaaS应用中过度共享文件的后果,可有效帮助缓解该问题,防止公司业务开支的上升,或者非必要的品牌损害。
CEO:说下内部人风险吧,这问题太容易成为噩梦了。我们做好充分的应对准备了吗?
CISO:我们有成熟而强大的风险管理项目,可以发现此类风险对业务和品牌影响最大的地方。我们已经准备好了合适的策略,详细描述了预期行为,并配有健壮的基于角色的访问控制(RBAC),根据用户角色分隔用户群,赋予恰当的数据访问权限。同样重要的是,部署合适的技术,在用户角色上下文中,检测机密数据访问里的异常。最后,如果事件确实发生了,我们还有配备了正确的行动手册的响应团队,时刻准备好采取立即行动,切实缓解影响。
CEO:这段日子我们听到的都是云、云、云。挺令人振奋的,但我们是怎么准备应对这一转变的呢?
CISO:IT方面,我们为云的采纳开发了安全策略。这不是开发策略和标准然后再应用到企业那么简单,我们采取了多方面的措施。首先,我们实现了对相关性的持续推动,保持多个领域的许多独特服务都是最新的,比如计算、存储、分析、消息传递等等。其次,处理可扩展可编程云服务时,解决安全标准空白的唯一方法,就是通过自动化。第三,我们找到了达成云端高度威胁预防的机制。
CEO:我们怎么防护身份和凭证盗窃?肯定有我们能做的事!
CISO:现实是,不是所有的公司都有强身份验证实践,人们也经常会在不同网络资源上重复使用用户名/口令。这给对手创造了发起凭证收集行动的机会,聚集大量用户名和口令组合,或者其他用于账户设立或验证的信息。一旦盗得,他们通常会在地下论坛上将信息出售给想用这些被盗数据提升攻击效果的黑客。通过编配出强力功能和程序的生态环境,包括为暴露应用和移动设备实现多因子身份验证(MFA),以及利用技术感知企业凭证威胁,我们已经解决了该问题。
CEO:网络安全很复杂,需要创造性思维来驱动创新,这是一个被有限的人才资源给加剧了问题。作为一家公司,我们在打造强有力的网络安全员工通道上做了些什么呢?
CISO:在已经严重短缺的人才市场上带着一种“尽人事听天命”的态度竞争是不对的。寻找不同的观点和经验,让思维多样性生根开花,可以营造出伟大的思想者齐聚一堂的喜人局面。我们让思维多样性成为了公司文化的一部分。为加速我们的网络安全项目,我们扩展了人才范围,将其他经验人士也囊括了进来,优先延揽那些在问题解决、创造力、影响和理解人类因素的能力上表现突出的人。
CEO:如今我们是真有了个全球员工背景了。我意识到这让我们安全部门的工作更难做了。我们是怎么应对这种复杂性的呢?
CISO:最有效的策略是培训员工,让他们保持警惕,成为强劲的第一道防线。跨部门共享最佳实践和情报,让员工知情并有所准备,是我们当前的工作重点。我们还关注当地习惯和流程,注重与当地团队紧密合作,创建最适合特定位置或情况的最佳解决方案。培训解决方案需要被本地化以确保有效性,我们要继续招募多样的思维,将这些最强大脑组合起来,真正解决越来越复杂和动态多变的威胁态势。
CEO:我们总是听到更大的威胁更紧迫的响应要求。那我们到底该怎么合理确保我们自身,以及我们客户的安全呢?
CISO:在事件发生前主动参与到主要利益相关者之间,这可以确保公司能够快速有效地响应现代网络威胁。最终,说到确保安全真的非常重要的时候,我们要强调的是,必须以身作则。如果我们自己都做不到,还有什么立场告诉客户说他们需要转型到下一代范例?我们必须自己先想到预防,减小自身环境的攻击界面,增强检测和反杀能力,还必须在自动化业务安全上持续创新。
CEO:我们需要多少网络风险保险金额才能保证不被黑?
CISO:我们已经收到了指南说,应该在我们的开发运维策略中包括进网络风险保险金,这样才可以兜住我们在网络安全方面的个人责任。然而,不幸的是,网络保险只在已经被黑之后才显出价值,并不能免除董事们遵从法律的责任。比如说,纽约金融服务局(始于2017年3月)如今就要求,在纽约经营的所有金融服务公司,都必须有高管或董事证实:他们不仅确知公司的网络安全操作,还负责确保该操作被实施且有效。
确保您和董事会定期收到网络安全项目及其有效性的简报,就是我工作的一部分。我将确保您在检测到成功入侵的第一时间就知晓此事,并提供缓解和修复过程的详细描述。我还与保商合作,确保保险要求被满足,比如实施特定通信实践、教育培训项目、安全测试等。
CEO:在保证我们没有任何数据泄露上,你都做了些什么?
CISO:数据泄露与被黑和数据被破坏的损害度不相上下。我定期向董事会汇报公司网络安全项目及其危机沟通计划的情况。同时,我们的部分精力放在开发一套专为董事和高管设立的沟通策略上,这套策略应经全体董事投票生效,并成为新董事培训的一部分。更甚者,我还想带领董事会进行数据泄露的桌面演练,至少每年一次吧。这将有助于董事会看清危机沟通计划的运作方式,以及他们自己在遵从安全策略上的能力。
本文来自开源中国社区 [http://www.oschina.net]
