网络安全全球威胁与防护策略深度解析

本文深入探讨了网络安全面临的全球性威胁,分析了私营部门网络安全投资激励策略、企业风险管理框架、COVID-19期间网络安全挑战,以及新兴技术带来的安全风险与防护措施。

特别节目访谈:全球风险与威胁

在本期TF7特别节目中,主持人George Rettas邀请了三位嘉宾,他们也将出席俄克拉荷马大学关于"全球风险与威胁"的四部分系列活动的首场活动。首先是Thomas Finan,他曾担任国土安全部国家保护与计划司的高级网络安全战略师兼顾问。接下来是Peritus Partners的首席执行官兼总裁Cheemin Bo Lin。最后,航空航天与国防执行商务项目主任、美国陆军预备役上校Shad Satterthwaite博士为本次节目画上句号。

鼓励私营部门投资网络安全

Tom讨论了他在国土安全部的经历,他在那里建立并领导了该机构的网络安全保险计划。国土安全部的使命是保护国家的关键基础设施免受网络和物理攻击。然而,国土安全部实际上无权强迫私营部门的任何人采取任何行动。

因此,Tom需要以不同的视角看待这一挑战。他如何鼓励私营部门更好地投资网络安全?Tom认识到,就像汽车保险既促进预防也减轻损害一样,网络安全保险有潜力清理和简化网络安全计划。换句话说,对网络风险做出明智投资的组织将获得更优惠的保险条款。这既加强了网络安全工作,又在事件发生时减轻了损害。

然而,在开始时,没有足够的数据来定价风险。Tom希望解决这个问题,“所以我们成立了一个小组,称为网络事件数据与分析工作组,简称CDAWG。这可以说是当时联邦机构中使用的最棒的首字母缩略词。”

网络安全的商业案例

接下来,Tom讨论了网络安全的商业层面。太多企业领导者与网络安全脱节,因为他们将其视为技术问题并交给CISO处理。太多CISO无法用C级管理人员理解的商业语言传达技术问题,因此投资网络安全的重要性在翻译中丢失了。Tom建议采用企业风险管理方法,指出:“如果我们能让首席风险官、CISO和人力资源部门达成共识,并在更广泛的企业风险管理背景下进行交叉融合,我认为公司将能更好地根据任务关键性来优先处理关键风险,并最终做出更好的投资,使它们随着时间的推移更安全。”

Tom还讨论了网络尽职调查、网络安全意识月、为什么人力资源部门有望成为网络安全冠军,以及网络空间日光浴室委员会关于政府如何将网络安全作为国家优先事项的75项建议的利弊。

终极多任务处理者

George接下来介绍了Cheemin Bo Lin,她身兼公司首席执行官和公私董事会董事的独特职位。当George问及在两个办公室中如何构建网络安全讨论时,她回答说:“网络安全是在企业风险框架内讨论的,因为它对业务连续性和弹性有影响。这不是组织孤岛内的技术问题,而是管理层和董事会定期讨论的业务必要事项……这非常重要,因为它需要从战略性的跨部门经济角度来解决。这真正是企业范围的。其他风险,George,比如监管、地缘政治、运营风险,甚至像我们现在所处的金融危机,每一种风险,就像COVID一样,我们必须评估其可能性和影响,并需要制定应对策略、缓解措施、治理和监控。”

在具体讨论董事会时,Cheemin指出董事会具有多方面的治理和风险监督角色。这意味着董事会需要理解网络风险的影响,包括公开和美国证券交易委员会的披露和报告要求。董事会还负责提出正确的问题,这意味着他们需要对网络安全有相当的理解。最后,董事会需要确保管理层拥有人员、预算和企业范围的网络计划。

COVID-19与网络安全

由于COVID-19,网络犯罪正在增加,因为网络犯罪分子以利用危机而臭名昭著。Cheemin认识到不同的企业在网络安全旅程中处于不同阶段。她的公司处于补救阶段,而其他公司可能处于教育和审计模式。问题是,即使员工回家避难,工作也必须继续。产品仍需推出,供应链需要保持活跃。

通过理解网络攻击是"何时"发生,而不是"是否"发生,需要充分制定最佳实践。数据治理、严格的权限访问和持续测试确保在危机期间,公司能够快速适当地调整。Cheemin恳请企业通过模拟场景并在危机发生前制定计划,避免事后学习的痛苦。她还指出,威胁行为者正在将焦点从他们的典型目标——金融服务、公用事业和大学——转向当前脆弱的行业,如医疗保健、医疗供应商和制药。

新技术

接下来,Cheemin对企业部署的技术越多,就越脆弱这一事实表示遗憾。“连接性越强,风险越大。我们不断看到物联网连接设备的使用增加。我们看到私有和公共云因正当理由而爆炸性增长。我们看到外部网络,以及企业内部、生态系统内,甚至连接到政府或关键基础设施的大规模系统到系统连接。这些技术和工具给我们带来了如此多的好处……但如果管理、监控和补救不当,也会增加网络漏洞。“通过举例,Cheemin建议加速数字化转型和网络安全工作以减轻这些风险。

最后但同样重要

最后,俄克拉荷马大学航空航天与国防执行商务项目主任Shad Satterthwaite先生加入节目。由于靠近廷克空军基地和庞大的航空航天与国防工业,该大学创建了一个为在职成年人设计的行政MBA项目。

当被问及信息安全是否融入该计划时,Shad说:“绝对是的。这非常重要。事实上,项目中有三门IT课程。他们将立即学习一门:信息技术。然后他们将学习另一门分析课程。我认为在最后,他们学习的最后一门课程是数据管理与安全。因为在我们所处的形势下,如果你要在那个行业工作,这真的是一个热门话题。所以这是课程中非常重要的组成部分。”

接下来,Shad讨论了他的职业轨迹和对网络安全的兴趣,这一切始于Windows和后来互联网的引入。Shad对其积极潜力感到惊叹,但也深受其黑暗面的影响——例如,负责俄克拉荷马城爆炸案的Timothy McVeigh就是在互联网上学习制造炸弹的。他还讨论了互联网上的"假新闻”,在它被如此命名之前,以及恶意行为者如何利用互联网居民的天真和轻信。

作为一名军人和现在的教育者,Shad探讨了网络武器是完美武器的想法。“我对像朝鲜这样的国家感到惊讶。他们没有很多资源,但他们有一些受过训练的人,他们相当聪明,能够完成他们能够做到的一些黑客攻击。这相当复杂。我认为一些国家将此视为可能的趋势。其他国家也越来越多地将网络用作武器,或者也将信息武器化。所以我认为这不会停止,因为它相当容易做到。”

Shad对公众对网络活动的认识感到鼓舞,但解释称个人和实体仍有很长的路要走。

要收听本集及往期节目,请点击此处。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次