网络安全实战指南:平衡成本与效率的风险管理策略

本文深入探讨了企业在网络安全建设中如何平衡成本与效率,通过有效的风险管理框架和指标优化,实现安全投入的最大价值。文章强调了从业务视角评估风险优先级,并分享了供应商与客户合作的最佳实践。

网络安全实战指南:平衡成本与效率的风险管理策略

对话实录:从工具采购到风险管理

Jon: 在去年的Black Hat Europe大会上,我与我们的高级安全分析师Paul Stringfellow进行了深入交流。在我们对话的这一部分(第一部分可在此处找到),我们讨论了如何平衡成本与效率,并在整个组织内统一安全文化。

Jon: Paul,在一个问题无处不在、需要修复一切的环境中,我们需要超越这种思维。在我们现在的新架构中,我们需要更智能地思考整体风险。这涉及到成本管理和服务管理——能够从业务角度根据实际风险和安全暴露程度来评估我们的架构。

我有点说服自己需要为此购买一个工具,因为我认为要在这50个工具中做出选择,首先需要清楚地了解我们的安全状况。然后,我们才能决定现有工具中哪些能够应对这种状况,因为我们将更清楚地了解自己的暴露程度。

Paul: 购买工具又回到了供应商的希望和梦想——一个工具能解决所有问题。但我认为现实是,关键在于理解哪些指标是重要的。理解我们收集的信息,什么是重要的,并将其与技术风险和业务影响相平衡。你之前说得很好:如果某物存在风险但影响很小,我们的预算有限。那么我们应该把钱花在哪里?你希望“物有所值”。

所以,关键是理解对业务的风险。我们已经从技术角度识别了风险,但它对业务有多重要?这是优先事项吗?一旦我们对风险进行了优先级排序,我们就能找出解决方法。你的问题涉及很多内容。对我来说,关键是做那些初步工作,以了解我们的安全控制措施在哪里,我们的风险在哪里。作为组织,什么对我们真正重要?回到重要的指标——消除噪音,识别能帮助我们做出决策的指标。然后,看看我们是否在衡量这些指标。在此基础上,我们评估风险并实施适当的控制措施来减轻风险。我们做态势管理工作。我们现有的工具是否能够应对这种态势?这只是内部方面,还有外部风险,这是另一个话题,但过程是相同的。

因此,看看我们拥有的工具,它们在减轻我们已识别风险方面的效果如何?有很多风险管理框架,所以你很可能找到一个合适的,比如NIST或其他框架。找到一个适合你的框架,并用它来评估你的工具如何管理风险。如果存在差距,就寻找能够填补这一差距的工具。

Jon: 我正在考虑这个框架,因为它基本上说明了有六个领域需要解决,也许第七个对你的组织很重要。但至少将这六个领域作为检查清单:我是否在处理风险应对?我是否在处理正确的事情?它给你提供的是,不是帕累托视图,而是关于收益递减——先覆盖最容易的内容。在解决最常见的问题之前,不要试图修复所有问题。这就是人们现在正在努力做的事情。

Paul: 是的,我想——让我引用我做的另一个播客,我们在那里做“技术要点”。是的,谁知道呢?我想我会提一下。但如果你考虑这次对话的要点,我认为,回到你的问题——作为一个组织,我应该考虑什么?我认为起点可能是退后一步。作为一个企业,作为该企业内部的IT领导者,我是否退后一步真正理解风险是什么样子?对业务来说风险是什么样子,哪些需要优先处理?然后,我们需要评估我们是否有能力衡量我们针对该风险的有效性。我们获得了大量指标和大量工具。这些工具是否能有效帮助我们避免我们认为对业务重要的风险?一旦我们回答了这两个问题,我们就可以审视我们的态势。现有的工具是否为我们提供了应对所面临威胁所需的控制措施?情境非常重要。

Jon: 说到这里,我想到了像Facebook这样的组织,他们对业务风险有相当高的容忍度,尤其是在客户数据方面。增长就是一切——不惜一切代价的增长。因此,他们准备管理风险来实现这一目标。这最终归结为评估并承担这些风险。在这一点上,它不再是一个技术对话。

Paul: 完全正确。它可能从来就不只是一个技术对话。为了交付解决风险和安全的项目,它绝不应该纯粹由技术主导。它影响公司的运营方式和日常工作流程。如果每个人都不认同你为什么要这样做,任何安全项目都不会成功。你会受到高层人士的太多反对,他们说:“你只是在碍事。停下来。”你不能成为那个只会碍事的部门。但你确实需要整个公司都有那种安全重要的文化。如果我们不优先考虑安全,每个人所做的所有辛勤工作都可能因为我们没有做好基础工作以确保没有可利用的漏洞而付诸东流。

Jon: 我正在思考我与供应商就如何销售安全产品进行的对话次数。你卖出去了,但然后什么都没有部署,因为其他所有人都试图阻止它——他们不喜欢它。现实是,公司需要朝着某个目标努力,并确保一切协调一致以实现它。

Paul: 在我从事这份工作30多年的时间里,我注意到的一件事是供应商常常难以解释他们为什么可能对企业有价值。我们的首席运营官Howard Holton是这一观点的大力倡导者——供应商非常不擅长告诉人们他们实际做什么以及好处在哪里。但他昨天对我说的一件事是关于他们的方法。我认识的一位代表为一家提供编排和自动化工具的供应商工作,但当他开始会议时,他做的第一件事是询问为什么自动化对客户不起作用。在推销他的解决方案之前,他花时间了解他们的自动化问题在哪里。如果我们更多人这样做——供应商和其他人 alike——如果我们首先问“什么对你不起作用?”,也许我们就能更好地找到有效的方法。

Jon: 所以我们为最终用户总结了两点——专注于风险管理,以及简化和完善安全指标。对于供应商来说,要点是在推销解决方案之前了解客户的挑战。通过倾听客户的问题和需求,供应商可以提供相关且有效的解决方案,而不是简单地销售他们的愿望。谢谢,Paul!

读者互动

喜欢这个内容吗? 订阅GigaOm高级研究,帮助做出决策和购买技术 $12/月 按年计费

立即订阅 已经是订阅者? 登录

年度个人访问最新研究,用于做出决策和购买技术 无限报告

Knowingly Corporation 3905 State Street #7-448 Santa Barbara, CA 93105-5107

© 2025 GigaOm 版权所有 © 2025 GigaOm 版权所有 隐私政策 MSA 服务条款 行为准则 Making Sense of Cybersecurity | GigaOm

我们的网站使用cookies 接受所有可实现完整的网站功能,并允许我们通过用户指标改进网站。仅选择必要项可确保核心网站功能正常运行。 接受所有 仅必要项 隐私政策

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次