企业网络安全:CISO战略指南

本文深入探讨企业网络安全战略,涵盖AI威胁、零信任框架、安全团队建设及未来挑战,为CISO提供全面的风险管理、技术选型和预算规划指导。

企业网络安全:CISO战略指南

有效的企业网络安全在组织推进数字化转型、云计算、混合工作和AI技术时变得愈发重要。CISO及其他负责保护组织系统、网络和数据的人员需要管理日常威胁,同时为未来制定战略规划。本综合指南阐述了关键风险,以及CISO和其他安全领导者如何明智且有效地投入资源以应对网络安全团队面临的众多挑战。

网络安全的重要性

网络安全是保护IT网络、系统、应用程序和数据免受攻击、入侵及其他网络威胁的过程。这些威胁主要来自外部攻击者,但部分网络安全事件由员工或其他内部人员恶意或疏忽行为导致。

企业网络安全计划整合了多种流程和工具,旨在帮助组织威慑、检测和阻止威胁。它们通常由网络安全部门或团队运营,由CISO、CSO或其他高级管理人员领导。即便如此,安全专业人士的一个共识是:组织中的每个人都对信息安全负责。

通过全组织范围的安全意识和员工培训建立强大的网络安全文化对成功计划至关重要。安全团队需要促进个人对网络安全的责任和问责,鼓励不同部门在安全规划上协作,并强化企业网络安全对业务成功的关键重要性。

薄弱或有缺陷的网络安全防护可能引发严重的业务问题,从暴露敏感客户数据的数据泄露,到因不合规而面临的监管罚款、知识产权盗窃,以及勒索软件攻击要求支付赎金以恢复加密数据文件或避免公开披露。IBM 2024年报告显示,数据泄露的平均成本为488万美元。对于勒索软件攻击,即使企业安全隔离了数据备份并决定不支付赎金,仍需要重建系统以恢复运营。除了有缺陷的网络安全带来的实际财务影响外,企业还可能因负面宣传和受损的客户关系而面临业务损失。有效的网络安全等同于业务生存。

网络安全的业务益处

强大安全态势的关键益处是能够避免业务中断。组织可以平稳运营,不受因松懈网络安全而导致的攻击干扰或财务打击。安全团队应跟踪各种网络安全指标——如检测到的入侵尝试、事件响应时间以及与行业基准的性能比较——以帮助向业务高管和董事会成员展示安全举措如何促成这一结果。

有效的网络安全努力还可以通过帮助公司实现其战略和运营目标而获得更广泛的回报。除了防止数据泄露和其他攻击外,建立可持续的网络安全计划有助于支持组织的业务目标。

网络安全的重要性超出了业务的日常运营。在潜在的合并或收购中,高管及其代表进行尽职调查,以了解两个实体如何作为一个整体运作。该分析应包括此类交易的网络安全影响。

企业面临的网络安全挑战

企业网络安全本质上是困难的,CISO及其同事必须应对不断演变的安全威胁和攻击方法。即使看似精心设计的策略,当网络犯罪分子发现单一弱点时也可能被破坏。虽然安全专业人士面临阻止每次攻击的压力,但对手只需突破防御一次即可成功。

在试图防止这种情况发生时,网络安全团队面临以下挑战:

  • AI或生成式AI(GenAI)助长的攻击,如高度逼真的网络钓鱼尝试。
  • 人员配置挑战,如招聘经验丰富的安全分析师。
  • 勒索软件,一种持续威胁,现在包括双重勒索(网络犯罪分子加密并提取数据)和三重勒索(可能还涉及客户和供应商)等策略。
  • 监管复杂性,因行业和地域而异。例如,欧盟的金融机构必须通过《数字运营弹性法案》应对强大且可执行的风险管理法规。在欧洲开展业务的公司还必须遵守GDPR要求中关于数据安全和隐私的严格规则。在美国,上市公司必须在安全事件发生后四天内提交8-K表格。而这只是开始。

其他挑战范围从被盗信用卡信息到筛选深度伪造内容,再到维护通信安全。

AI助力攻击者和防御者

企业增加AI使用——尤其是GenAI——打开了网络安全担忧的全新世界。例如,最终用户可能无意中将敏感数据或代码输入GenAI工具,从而可能将数据暴露给竞争对手或攻击者。此外,AI应用带来监管合规风险,并可能启用数据投毒攻击影响AI模型行为等问题。组织现在必须将管理和GenAI安全风险管理纳入其网络安全计划和政策中。

AI被视为网络犯罪分子和网络防御者的武器。GenAI对威胁行为者尤其有吸引力,他们用它来增强网络钓鱼尝试并创建更有效的恶意软件。AI驱动的攻击是一种新风险,预计随着不良行为者利用AI能力而变得更加有效。

融入AI的安全产品有助于抵御威胁浪潮,实时检测攻击并可能自行采取行动阻止它们。事实上,一些专家建议该技术的速度和力量使AI成为应对AI威胁的唯一工具。

至少目前,安全中的AI作为其他防御的补充。公司最常将其用于自动化威胁检测和响应、保护端点、处理常规安全任务和检测欺诈。

保护AI采用

公司能否在减轻风险的同时获得AI益处是一个悬而未决的问题。在非安全用途中快速推动全业务采用AI时,并未充分考虑这些用途的安全性。根据ISACA的“2024年网络安全状况”调查,45%的安全专业人士表示其团队中无人参与组织如何开发或实施AI产品。类似地,41%表示安全团队中无人参与制定管理公司使用AI的政策。

Enterprise Strategy Group的安全分析师Todd Thiemann认为,深度伪造和其他AI诡计可能常规用于欺骗涉及身份验证等领域的IT员工和系统。例如,员工需要帮助重置密码的看似合法请求可能是AI生成的骗局。“这是安全人员非常关心的问题,关于凭证重置——确保你不是为对手重置它,”Thiemann说。

代理AI的兴起和扩大的攻击面

代理AI的发展是安全社区中另一个日益增长的担忧。

Thiemann表示,代理AI前景广阔,但前提是以保护数据的方式实施。“代理AI要真正显示价值,将接入许多企业数据存储,”他说。跨越数据边界的益处也带来风险。“当你有代理调用代理调用代理时,将存在数据丢失的机会。”

因此,代理AI代表了攻击面的扩大,增加了制定有效攻击面管理策略的挑战,该策略涉及以下领域:

  • 数字攻击面,包括云应用和API。
  • 物理攻击面,可以从桌面到服务器机房的一切。
  • 人为攻击面,涉及网络钓鱼、短信钓鱼和受损电子邮件账户。
  • 第三方攻击面,可能涉及供应链和云提供商。

安全人才短缺

企业网络安全的一个持续挑战是寻找和留住熟练人员。具有某些需求角色(如安全分析师和工程师)经验的员工不易招聘。经验丰富的网络安全专家要求高薪,而兼具技术专长和管理软技能的人员有时难以找到和留住。

ISACA 2024年调查的安全经理中,仅38%表示其团队人员配备适当。这较前一年略有改善,但仍表明行业尚未解决将合适人员放入合适岗位的问题。

求职者须知

对于那些寻求企业网络安全工作的人,考虑潜在职业路径、哪些在线课程可能有帮助、雇主认为哪些技能最有价值以及如何为面试做好准备是好事。

查看安全领域的许多认证选项以了解它们是否有助于职业发展也可能有帮助。

企业面临的主要网络威胁

网络安全如此复杂的原因在于防御者被要求防止如此多种类型的攻击。即使熟知的威胁也不断演变并以新变体出现。防御不断适应威胁,威胁也不断适应防御。

以下是一些最常见且潜在破坏性的网络威胁:

  • 恶意软件:恶意软件程序使用社会工程策略和其他措施欺骗用户并规避安全控制,以便在系统和设备上秘密安装自身。勒索软件已成为最突出的恶意软件类型,据Sophos的“2024年勒索软件状况”报告,袭击了近60%的企业。其他例子包括rootkit、特洛伊木马和间谍软件。
  • 密码攻击:获取最终用户和管理员密码使攻击者能够绕过安全保护并访问组织的IT系统。用于发现密码的方法示例包括暴力攻击(使用通用密码或自动化密码破解工具)、字典攻击(使用常用词和短语库)和社会工程策略(如从虚假账户向用户发送个性化电子邮件)。
  • DDoS:这些攻击试图用消息、连接请求或畸形数据包洪流淹没目标网站、服务器和其他系统。它们既可用于勒索要求,也可用于破坏业务运营。
  • 网络钓鱼:通常通过电子邮件进行,网络钓鱼涉及攻击者冒充信誉良好的人或实体以欺骗受害者披露有价值信息。鱼叉式网络钓鱼针对特定个人或公司,而鲸钓针对高级管理人员。
  • SQL注入:此类攻击使用恶意SQL查询目标数据库。在SQL注入攻击中,可以编写查询以创建、修改或删除数据库中的数据,或读取和提取数据。
  • 跨站脚本:称为XSS,跨站脚本将恶意脚本和代码注入Web应用程序和网站内容。它可用于窃取会话cookie、传播恶意软件、篡改网站和网络钓鱼获取用户凭证等。
  • 僵尸网络:僵尸网络是一组感染了恶意软件并由攻击者远程控制的计算机和设备。常见用途包括电子邮件垃圾邮件、点击欺诈活动以及为DDoS攻击生成流量。

更恶性的网络威胁之一是攻击者潜入受害者系统并长时间潜伏(通常未被检测)。这些“离地攻击”(LOTL)的用户利用他们遇到的网络和应用程序,使他们能够从内部发起恶意命令、实现横向移动并避免面向外部的防御。为防止LOTL攻击,安全团队必须主动收集和分析事件日志,使用威胁检测工具监控端点并加强访问控制。

在更传统和不太微妙的攻击中,威胁行为者有时会使用域生成算法伪装其恶意活动的来源。因为这些算法创建多个伪随机域,安全工具无法识别和阻止作为网络攻击源的特定IP地址。

在数据盗窃为目标的情况下,黑客可能从事高级持续威胁(APT)活动。这种攻击方法依赖于一个团体获得然后维持对目标系统的访问数周或数月。APT攻击是一项复杂且耐心的努力,通常由国家资助团体进行。目的是提取尽可能多的敏感信息,而不是造成直接伤害或要求赎金。

其他常见网络威胁包括中间人攻击(拦截和转发两方之间的消息)、URL解释和投毒攻击(修改URL文本以尝试访问信息)、DNS欺骗(将用户发送到虚假网站)、DNS隧道(在消息中使用恶意数据以规避安全控制)、水坑攻击(在合法网站中嵌入恶意代码)、窃听攻击(从安全性差的通信流量中捕获数据)和生日攻击(一种暴力技术,可使攻击者获取加密密钥和用户凭证)。

企业网络安全系统和软件

网络安全团队拥有各种技术来保护网络和系统。他们没有的可以在活跃且活跃的安全工具市场中获得,该市场涵盖数十个产品类别。

存在解决任何可想象威胁和加强任何安全弱点的产品。这些包括:

  • 零信任安全框架:零信任方法对用户和设备实施严格且持续的身份验证要求,颠覆了信任任何能够登录的人的传统做法。
  • 多因素认证:通过MFA和无密码认证方法,用户身份比仅依赖密码的身份更难被黑客攻击。
  • 威胁检测和响应技术:托管检测和响应服务以及扩展检测和响应软件——通常分别称为MDR和XDR——有助于修复整个IT环境中的安全威胁和风险。
  • 端点管理:此类产品帮助组织配置、修补和管理设备。
  • 数据丢失防护:通过这些工具,安全团队可以更好地监控数据在组织网络中的进出。
  • 用户行为监控:用户和实体行为分析工具有助于检测异常网络模式,可能提供安全事件的早期警告。
  • SIEM:安全信息和事件管理软件从IT环境中的多个来源收集和分析数据,将其拉入统一管理控制台。
  • IDS:入侵检测系统检查网络以寻找已知攻击签名或偏离规范的活动。

这些产品与广泛使用的技术一起部署,如防病毒软件、防火墙、VPN以及支持访问控制、电子邮件过滤、数据加密、漏洞管理、渗透测试和其他网络安全功能的工具。可用工具包括大量免费网络安全软件选项,组织可以将其用作商业软件产品的补充或替代。

不利的是,这种产品泛滥可能成为负担。组织的安全环境可能是多年来积累的各种供应商工具的自定义安排。管理所有这些——并使元素协同工作——对某些安全团队来说可能很困难。

对供应商和购买满意意味着清楚了解你拥有什么和需要什么。精心准备的提案请求(RFP)发送给网络安全供应商可以节省后续时间和麻烦。使用RFP向供应商明确告知工作范围、技术要求、首选时间表和其他基本细节。

有了RFP,供应商可以更准确地评估其产品是否适合该项目。

作为下一步,花时间进行供应商评估是明智的。这并不容易,特别是对于可能没有内部专业知识的小型企业——也不便宜。将新产品与已有工具集成并不总是无缝的。在某些产品类别中,知名供应商与数十家初创公司和不太知名的参与者竞争。那么,如何选择满足需求、符合预算并与现有基础设施协同工作的工具?

对网络安全供应商的彻底审查应包括大量问题,包括:

  • 供应商的往绩记录如何?
  • 供应商对事件响应的准备程度如何?
  • 供应商如何保护敏感数据?
  • 合同和服务水平协议的具体程度如何?
  • 供应商的支持服务是否响应迅速?

从防御攻击到充分利用争取的预算,如此多的利害关系,选择满足特定要求的网络安全供应商是重要一步。

安全团队日益寻求应对组织中的一些工具复杂性。这项努力的一个目标是更好地利用已有资源。有时称为工具整合或工具统一的过程可能有助于降低成本、简化产品管理、消除重叠功能并可能弥补一些能力差距。

企业网络安全策略:如何开始

从网络安全风险评估开始,识别关键业务目标、实现这些目标所需的基本IT资产以及组织面临的潜在网络攻击——以及攻击发生的可能性和业务影响。

接下来,组织可以着手制定网络安全策略,这应该是未来三到五年的高级计划——尽管此类策略通常必须提前更新。策略制定可以简化为以下步骤:

  • 了解威胁形势。
  • 评估组织当前和期望的网络安全成熟度水平。
  • 决定如何改进网络安全。
  • 记录具体计划、政策、指南和程序。

有效的安全计划当然需要预算。CISO和其他安全领导者应分配足够资源给安全过程的关键方面,包括合规、培训和持续风险评估,同时确保安全计划能够支持新业务倡议和业务优先级的变化。

谁负责企业网络安全策略?

建立对网络威胁的积极防御需要组织中每个人的参与,或至少合作。每个网络钓鱼骗局或受损密码都是可能点燃网络安全火灾的危险火花。

阻止威胁的日常职责属于安全团队,通常由CISO或CSO领导。这些专家承担重担,锁定系统、保护网络、处理身份和访问以及满足合规要求等关键功能。

CISO及其团队还有额外任务,即充当普通员工与最终责任者(所有者、董事会和高级业务管理层)之间的纽带。

高级业务高管和董事会成员可能理解网络安全的重要性,但只有少数人理解网络安全的机制。具有业务经验和交易技巧的领导者通常可能缺乏对其组织管理身份、保护系统、 safeguard数据和进行有效事件响应努力的洞察。董事会成员理解风险,但许多人仍在学习关于安全策略和有效性的问题。

由组织内的安全领导者解释正在做什么、什么做对了和什么做错了。安全领导者应让高级管理层了解正在做的事情以及有待完成的事情。挑战在于知道分享哪些重要信息以及如何与那些不说企业网络安全语言的人分享。

CISO报告和预算指导

在向高级领导者更新——或请求资金——时,CISO和安全经理应以业务目标和策略的形式呈现信息。大多数操作细节和指标不会引起专业知识在安全领域之外的高管的共鸣。换句话说:董事会成员真的需要知道安全团队上季度打了多少补丁吗?

正如Gartner分析师Pete Shoard最近在Cybersecurity Dive上写道:“他们更关心这些安全事件如何影响公司的财务健康、声誉和运营能力。通过将技术数据与业务相关洞察联系起来,你可以最好地将安全措施映射到业务目标。”

“我看到最有效的CISO能够将技术网络风险转化为业务风险语言,与C级高管接触,与董事会接触,”PwC网络与风险创新学院负责人Matt Gorham说。“那些这样做的人比同行更成功,无论是在为组织带来的价值范围还是获得所需资源方面。”

CISO还应花时间教育董事会有关网络安全指标。董事会日益对网络安全感兴趣,至少从风险和弹性的角度。频繁接触正在成为常态。“董事会每年一次网络更新的日子已经过去,”Gorham说。

专家建议CISO精心准备网络安全董事会报告以指导这些互动。

高级高管和董事会成员可以理解地想知道正在做什么以保护组织免受网络攻击、客户数据是否安全、企业对勒索软件事件的准备程度如何等等。领导层与CISO之间这些对话的关键要素将是网络安全预算理由。公司花费大量资金于安全工具和人员。那些做出资金决策的人自然想知道先前投资的效果如何以及CISO能否为其额外支出请求辩护。

显示安全投资回报率(ROI)可能很棘手。毕竟,当安全起作用时,坏事不会发生——但很难证明负面。专家建议CISO以节省时间和节省资金的方式讨论网络安全的ROI指标。

要求高的CISO角色

成为CISO意味着发现自己处于一系列困难位置。CISO承担阻止坏事发生的负担,当出现问题时面临指责。有了组织支持和慷慨的预算分配,CISO可以完成很多工作。但即使资金充足的安全倡议也会受到无情和创新的不良行为者的挑战。将一个安全努力优先考虑不可避免地意味着将其他努力降级。今天看似安全的东西明天可能变得脆弱。工作从未完成。

这些因素导致CISO的高 burnout率。这是一个压力巨大的角色,需要智慧以聪明地加强现有弱点而不削弱其他防御的方式分配有限预算。CISO还需要预测下一次攻击可能来自哪里。

CISO面临的复杂性可能需要新的方法和结构。例如,网络安全成熟度模型为企业定义有效性提供了一个框架。此类模型有助于以下目标:

  • 识别公司安全控制和能力中的差距。
  • 建立基准,以便组织可以更好地将其安全计划与其他计划比较。
  • 通过利用对差距和基准化优势和弱点的认识来优先支出。

网络安全团队、职责和技能

通过为良好决策、适当规划和 competent执行创建环境,可以增强企业网络安全。组织良好的网络安全团队为成功的网络防御创建结构,或至少增加成功可能性。专家建议团队定义治理和合规、事件响应规划、问责和其他基本功能的角色,以便职责明确且协作成为可能。

有效性还取决于安全团队如何处理风险管理。虽然对网络安全至关重要,但风险管理并不总是以系统方式解决。为此,企业需要其安全团队具备对组织漏洞的客观理解、组装和管理系统以减轻这些漏洞的技能,以及有效响应安全事件的能力。

有效的网络安全风险管理包括一系列重要实践,包括:

  • 执行定期安全评估。
  • 建立全面政策。
  • 使用正确的工具,如入侵检测和反恶意软件产品。
  • 培训所有员工识别常见安全威胁。

当成功时,网络安全风险管理涉及跨部门员工、高级高管、安全团队和第三方供应商之间的协作。

一些团队选择以更复杂的方式处理风险,采用所谓的网络风险量化(CRQ)。通过CRQ,企业可以系统测量威胁形势的变化以及这些风险的潜在业务影响。组织将CRQ方法视为限制成本、减轻安全威胁影响并可能提高ROI的一种方式。

跟上技术变化

许多业务领导者——无论是否在安全领域——的一个关键关注点是IT的变化速度。很难知道组织是否跟上了云计算、AI、供应链、数据管理等方面的发展。每个数字化转型倡议都需要相应的安全措施;否则,新项目只会创建新的漏洞。出于这些原因,决策者需要将网络安全

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次