壓力下的CISO如何在高員工流動率的時代中保護敏感資訊

在本文中，喬治城大學應用智能項目和研究所學生網絡安全項目的兼職教授Charles Brooks談到了零信任原則、身份通路管理和托管安全服務對有效的網絡安全的重要性，以及AI、ML和跟蹤工具等新興技術的實施将如何增強供應鍊的安全。

CISO們認為他們有足夠的資料保護措施，但他們在過去的一年中已經處理了許多敏感資料的丢失問題。你是如何調和這種明顯的沖突的?

盡管采取了保護措施，但資料仍會丢失，這并不奇怪。我們都在網絡安全方面迎頭追趕。網際網路是在政府實驗室發明的，但在私營部門實作了商業化。硬體、軟體和網絡最初是為開放通信而設計的。網絡安全不是最初的主要考慮因素。由于網際網路的連接配接性和商業的爆炸式增長，這種心态肯定已經發生了改變，而CISO們也正在玩一場追趕遊戲。

有許多原因可以解釋敏感資料的洩露。首先，黑客已經變得更加老練和有破壞力。黑客利用的基本工具和政策包括了惡意軟體、社交工程、網絡釣魚(最簡單、最常見的，尤其是針對企業高管的魚叉式網絡釣魚)、勒索軟體、内部威脅和DDoS攻擊。此外，他們也經常使用暗網上所共享的先進且自動化的黑客工具，包括用于攻擊和探索受害者網絡的AI和ML工具。對于CISO們來說，不斷發展的黑客武器并不是那麼容易防禦的。

另一個重要因素是，新冠肺炎疫情推動的指數級的數字連接配接也改變了安全模式。現在，許多員工會在混合式辦公室和遠端辦公室中工作。有了更多的攻擊面需要保護，而對CISO的可見性和控制措施卻更少了。是以，得出更敏感的資料已經并将繼續暴露在黑客面前的結論是合乎邏輯的。

想要充分保護是很難的，因為威脅也在不斷演變。隻需要一個狡猾的網絡釣魚，一個錯誤的配置，或者沒有及時修補漏洞，就可以為漏洞提供機會。最後，許多CISO不得不在有限的預算和勉強合格的網絡人員的情況下運作。也許他們也對在這種情況下能夠達到的安全水準期望較低。

随着經濟衰退給安全預算帶來的更大壓力，CISO們又該如何優化資源，并有效的管理網絡安全風險?

CISO們必須根據他們的行業和規模制定審慎的風險管理政策，以便能夠更好地優化資源。一個好的風險管理政策将設計出一個漏洞架構，識别出要保護的數字資産和資料。一個好的風險評估也可以快速的識别并确定出網絡漏洞的優先級，以便可以立即部署解決方案，保護關鍵資産免受惡意網絡的攻擊，同時立即提高整體營運網絡的安全。這包括使用新的安全工具(加密、威脅情報和檢測、防火牆等)和政策來保護和備份企業系統，例如：财務系統、電子郵件交換伺服器、人力資源和采購系統等。

在漏洞架構中有一些措施的成本并不高。這些措施包括了要求員工使用強密碼，并要求進行多重身份的驗證。通過設定防火牆，CISO可以制定計劃來分割其最敏感的資料。加密軟體也在考慮的範圍内。雲計算和混合雲的使用支援動态政策的實作、更快的加密、降低成本，并為通路控制提供了更多的透明度(減少來自内部的威脅)。一個好的雲提供商可以以合理的成本提供其中的一些安全控制。雲本身并沒有風險，但CISO和公司需要認識到，他們必須徹底評估提供商的政策和能力，以保護其重要資料。

如果CISO正在負責保護沒有深度IT和網絡安全團隊的中小型企業，并且對雲成本和管理持謹慎态度，他們也可以考慮外部管理的安全服務。

在員工流動率高的情況下，企業如何更好地保護敏感資訊?

這就是零信任政策的本質所在。零信任是一組不斷發展的網絡安全範式的術語，這些範例将防禦從靜态的、基于網絡的邊界轉移到了關注使用者、資産和資源。企業需要了解與網絡、裝置和人員相關的所有資訊。

其中身份通路管理(IAM)是非常重要的。IAM是用于控制誰可以通路系統内資源的一組技術和政策的标簽。CISO必須确定并知道誰可以通路哪些資料以及為什麼可以通路。如果員工離職，他們需要立即撤銷特權，并確定沒有從企業中删除任何敏感内容。市場上的供應商也提供了許多很好的IAM工具。

當然，員工流動也涉及到了道德和信任因素。員工内部威脅很難發現和管理。其中一些可以在雇傭合同中提前解決，隻要員工了解所涉及的法律參數，他們就不太可能洩露敏感資料。

我們看到了CISO的倦怠和對個人責任擔憂的加劇

是的，CISO的職責太多，預算太少，員工太少，無法營運和幫助減輕日益增長的網絡威脅，這是導緻倦怠的直接原因。現在，個人責任因素也增加了風險，例如針對Solar’s Wind首席資訊安全官的集體訴訟，以及針對優步CISO隐瞞勒索軟體付款的訴訟。在一個已經缺乏必要網絡安全上司者和技術人員的行業裡，CISO不僅需要獲得工具，還需要獲得必要的保護，以使他們能夠在自己的角色中脫穎而出。否則，倦怠和責任問題将使更多的公司面臨更大的風險。

這些挑戰是如何影響CISO的整體工作效率的，又可以采取什麼措施來應對這些挑戰?

盡管入侵的頻率、複雜性、緻命性和責任變得越來越大，但行業管理層在提高網絡安全方面幾乎毫無準備，且行動遲緩。根據Gartner的一項新的調查顯示，88%的董事會将網絡安全視為商業風險，而不是技術風險，而且隻有12%的董事會設有專門的董事會級網絡安全委員會。

“是時候讓IT部門以外的高管承擔起保護企業安全的責任了，”風險與安全研究主管Paul Proctor說。“2021年各地湧入的勒索軟體和供應鍊攻擊，其中許多針對的是關鍵操作和任務環境，是時候應該敲響警鐘了，安全應該是一個業務問題，而不僅僅是IT要解決的另一個問題。”

CISO不僅需要在高管層中占有一席之地，還需要擁有類似于其他高管的保險保障，以限制他們的個人責任。因為沒有完美的網絡安全解決方案。在我們岌岌可危的數字環境中，任何公司或個人都可能發生違規行為。讓CISO一個人去做，既不公平，也不合理。類似的，網絡安全也不應再被視為是企業的成本項目。它已經成為了一個ROI，可以確定營運的連續性并保護聲譽。對公司和CISO的薪酬和所需職責組合的投資都需要成為未來的優先事項。

由于供應鍊風險仍然是一個反複出現的優先事項，CISO如何更好地管理其網絡安全戰略的這一方面，特别是在預算有限的情況下?

確定供應鍊不被破壞，包括設計、制造、生産、分銷、安裝、營運和維護要素，對所有公司來說都是一項挑戰。網絡攻擊者總是會尋找最薄弱的切入點，降低第三方的風險對網絡安全來說是至關重要的。供應鍊網絡攻擊可能來自于敵對國家、間諜營運商、罪犯或是黑客活動者。

CISO需要了解供應鍊中所有供應商的可見性，以及既定的政策和監控。NIST是美國商務部的一個非監管機構，它為供應鍊安全提出了一個建議架構，為政府和行業提供了健全的指導方針。

NIST的建議如下：

•識别、建立和評估網絡供應鍊風險管理流程，并獲得利益相關者的同意

•确定供應商和第三方供應商合作夥伴，确定其優先級并對其進行評估

•與供應商和第三方合作夥伴簽訂合同，以實作企業的供應鍊風險管理目标

•使用審計、測試結果和其他形式的評估，定期評估供應商和第三方合作夥伴

•完成相應的測試，以確定供應商和第三方供應商能夠響應并從服務中斷中恢複

其他緩解工作則可以通過擷取監測、警報和分析供應鍊活動的新技術來完成。AI和ML工具可以幫助實作可見性和預測分析，速記和水印技術則可以實作對産品和軟體的跟蹤。