强化安全以缓解第三方风险
在互联互通的数字环境中,第三方风险可能危及最强大的安全计划。随着人工智能(AI)的兴起,组织面临的风险显著增加。根据微软的最新报告,难以应对工作量的员工正在转向AI(有些甚至先于公司政策)以提高生产力和效率——这包括正在评估AI能为其角色带来好处的网络安全专业人员。
基于这一趋势,公司忙于审查其安全策略,以抵御这种风险增加,并确保拥有坚实的安全策略。构建一个解决这些外部漏洞的有效安全策略需要回归基础:了解不仅能解决即时问题,还能强化防御第三方威胁的工具和流程。
在Bishop Fox最近的网络研讨会“通过强化安全基础缓解第三方风险”中,特邀嘉宾Riscosity的CEO兼联合创始人Anirban Banerjee与我探讨了开发优先考虑减少第三方风险的安全计划的关键考虑因素。
在本博客中探索网络研讨会的亮点,不要错过点播观看的机会。
风险管理基础
现在比以往任何时候都更重要的是关注您的安全状况和管理业务风险。当涉及到确保您覆盖了基础时,Banerjee将其比作一个分层蛋糕。通过使每个组件恰到好处以实现最终成功,您必须审视您的:人员、流程、数据和工具。
人员 – 您的人员是您最重要的资产,他们是您蛋糕的基础。从安全状况来看,您需要确保每个人都有正确的访问权限。您是否使用良好的身份卫生并完成季度审计以应对人员变动?访问就是访问。如果有人找到并获取它,游戏就结束了,可能会使您的整个业务瘫痪。这是黑客可以利用并造成巨大损害的关键错误。这对您的第三方承包商也是一个重要的考虑——您给了谁访问权限?您是否验证了他们符合您的安全标准?
流程 – 报告要求迫使公司制定安全措施和程序,但这些是否足够全面,以包括您今天的业务状况?例如,您是否更新了文件以反映公司最近采用云?此外,您是否测试了您的流程,或者您有一个尘封的安全响应计划?(更多内容见本博客后文。)您是否有健壮的流程来处理第三方如何入职和使用您的数据?
数据 – 数据可以分为两类:静态数据(存储在哪里)和动态数据(从一个地方传输到另一个地方的数据)。显然,这是整体安全策略的重要组成部分,我们不会在本博客中深入探讨。然而,了解您的整体数据策略以及如何实施它很重要。此外,当您将数据存储到第三方系统时,您如何验证它们有健壮的安全措施来限制对正确个人的访问,保护它免受未经授权的访问,以及进入您系统的数据符合公司标准?
工具 – 工具是支持您整体风险管理计划的技术投资。不要被更多技术的炒作所迷惑;了解基础以确保您保护数据并遵守流程。
AI不能成为您的安全策略
每年,网络安全供应商都会推出更新的工具来解决利基组件。公司继续投资一个又一个工具,追逐承诺的结果, only to realize that the tools introduce new security risks or don’t fully deliver on their promises.
在我们当前的环境中,AI驱动的网络安全解决方案被推销为能解决所有安全问题的灵丹妙药。事实是,AI正处于炒作周期。它是公司将会过度投资的另一类工具。在您投资另一个工具(即使是AI驱动的)之前,您需要构建或重新评估您的整体安全策略。
将您的业务比作一辆汽车。如果目标是改装您的汽车以便进行越野,您决定更换发动机以使其更快,现在您有了一辆更快的车,但没有合适的轮胎仍然无法越野。像汽车类比一样,您可以加载AI驱动的工具以获得它们提供的所有好处,但这将增加一层额外的复杂性,而没有完全解决您的原始问题。
构建/重新评估您的安全策略
作为策略的基础,您必须回归基础。我将其比作吃蔬菜。随着威胁形势如此活跃,每个人都可以从重新评估其整体安全策略中受益。它不如实施华丽的AI工具令人兴奋,但基础对于构建坚实的防御至关重要。
健壮安全策略的四个基础组件是:
可见性 – 您对进入网络的内容了解多少?作为一个基础组件,了解谁、什么、哪里以及如何流量穿越您的网络至关重要。
分析 – 您如何评估组织内的流量和活动?您有审查异常和可疑行为的方法吗?拥有健壮的人和技术级别评估方法是关键。
控制 – 当您识别并理解网络中存在潜在威胁时,您能否在识别时立即停止它?您有解决威胁行为者的战术、技术和程序的方法——以预防、早期检测并最小化对组织的损害或暴露?
响应 – 在安全方面,不是是否而是何时会发生攻击。您是否制定了事件响应计划,您和您的团队可以在安全事件发生时激活?健壮的事件响应计划确定了遏制、移除、恢复和事后从事件中学习的步骤。这是您整体安全策略的关键组成部分。
虽然AI拥有巨大潜力,但请记住,它不是神奇的解决方案。在深入之前,专注于强化您的安全和风险管理策略的核心。构建强大的基础不仅会提高您的生产力,还会最小化业务风险。毕竟,平衡的方法,就像健康饮食中既有蛋糕又有蔬菜,是长期成功的关键。
要深入探讨如何通过强化安全策略来缓解第三方风险的主题,请观看点播网络研讨会。