从与董事会沟通到预算分配——专家给CISO的四个建议

勒索软件、BEC 诈骗和数据泄露等网络攻击是当今企业面临的一些关键问题,尽管发生了许多备受瞩目的事件,但许多董事会仍然不愿意腾出预算来投资必要的网络安全措施以避免成为下一个受害者。

勒索软件、BEC 诈骗和数据泄露等网络攻击是当今企业面临的一些关键问题,尽管发生了许多备受瞩目的事件,但许多董事会仍然不愿意腾出预算来投资必要的网络安全措施以避免成为下一个受害者。

AttackIQ网络安全战略和政策副总裁Jonathan Reiber认为,现在公司比以往任何时候都更需要保护自己免受网络攻击者的侵害。他为 CISO 提供了以下见解:

01

随着全球地缘政治问题的增加,您会给想要加强其组织以抵御网络攻击者的企业 CISO 提供哪些实用建议?

网络空间中发生的冲突比我们在实地看到的日常冲突更加微妙和普遍。网络犯罪分子在攻击、散布虚假信息、夺取知识产权和无视任何成本意识方面毫无歉意,肆无忌惮。这是现代 CISO 要应对的重大挑战。

然而,CISO或许非常了解攻击者将要采取的策略、技术和程序,MITRE攻击框架列出了这十二种主要的TTP攻击者行为。那么问题来了,为什么还会出现这种情况?在威胁环境中,需要假设存在违规行为,这不是是否会发生的问题,而是对手何时会发起攻击的问题。仅仅拥有这个框架是不够的,安全团队需要不断地测试和验证这些控制手段,以针对安全控制手段大规模部署最佳评估和对手模拟,从而提高可见性。

这可以使现代CISO能够持续查看性能数据,并帮助跟踪他们的安全策略和流程在应对威胁环境时的有效性。

02

CISO 如何有效地向公司董事会解释数据泄露的成本?什么类型的信息让非技术观众明白这一点?

据报道,违规的平均成本在 3.86 美元至 392 万美元之间,而在医疗保健和金融/银行等受监管的行业中,该金额可能更高,后果更严重。

解释违规的成本在很大程度上取决于违规本身。例如,当消费者的数据面临风险时——业务损失是最重要的促成因素,占数据泄露平均总成本的近40%。它包括许多因素,客户流失率、收入损失以及为减轻声誉损失而获得新业务的费用。

其他因素,例如组织检测和控制事件所需的时间长度,可能会对整体损害造成不利影响。答案并不明确,但在违规之前实施的安全措施可以降低严重性以及高昂的代价。CISO 需要了解当前的威胁形势,在后疫情时代,远程工作已经引发了更多新的漏洞,当今具有前瞻性的CISO 需要采取预防性网络安全措施来管理长期风险。

03

一个组织可以在硬件、软件和人员上投资数百万美元,但仍然会遭到破坏。向预算负责人解释安全投资回报率的秘诀是什么?

要衡量一项投资的成功与否,首先需要量化需要保护的成本。在简化模型中,第一步是衡量给定的保护收益,从资产估值开始。这些数据对我有多大价值?负责预算的人需要承担数据不受保护的风险。如果我不采取必要措施通过投资于预防性网络安全工具来降低风险,那么一旦发生违规行为,代价会有多大?

验证组织的控制而不是花钱购买更多工具更具成本效益。通过采用专门的框架来应对网络威胁,例如,运行以威胁为导向的防御,利用诸如安全验证等自动化平台,CISO可以持续测试和验证他们的系统。与消防演习类似,安全验证可以定位哪些控制手段失败,从而使组织能够弥补防御中的漏洞,在攻击发生之前做好准备。

04

由于任何人都可能受到攻击,CISO想知道他们是否应该将更多的预算分配给网络安全保险而不是新技术。你认为他们做出了正确的选择吗?

在没有适当投资的情况下过度依赖网络保险可能会导致额外成本,使组织更容易面临风险和漏洞。虽然保险公司可以抵消一些成本,但他们通常无法在安全事件后修复公司的声誉损失。同样,如果一家公司在研发 (R&D) 上花费数百万美元,而知识产权被盗,则没有任何溢价可以收回该投资的成本。

CISO的最佳方法是追求积极的安全策略,并将其与网络保险平衡,采用网络安全工具,如安全验证系统。有效的安全策略不仅可以保护组织并在网络威胁之前识别缺陷,甚至可以获得网络保险,部署这些系统对于降低网络保险成本至关重要。

针对当前企业面临的这些问题,专家建议CISO采取前瞻性的主动验证控制手段。塞讯验证致力于模拟还原真实的网络攻击手法,让企业能够在事前验证自身防御体系是否能够应对各类攻击。对于CISO所关心的与董事会沟通以及预算问题,塞讯安全度量验证平台能够为组织内不同岗位层级的不同角色提供可视化的观看界面,让各级人员都能够从自己所关注的角度了解到企业安全建设的现状。通过对当前安全产品和工具防御效果的验证,也能够帮助CISO厘清安全产品的配置是否最优,从而能够调整预算分配,优化安全投入收益。

| 参考来源:

https://www.helpnetsecurity.com/2022/08/01/cyberattack-prevention-investing/