网络安全成熟度评估:从被动响应到主动防护的四个关键阶段
CISO或任何网络安全专业人士的学习之旅永无止境。每次提升技能时,您都会发现更快速、更智能或更高效的新可能性。与此同时,威胁形势不断变化,但风险可见性的需求始终至关重要。您能看到的攻击面越多,发现的漏洞就越多。解决方案和能力越强大,保护组织并超越威胁行为者的机会就越多。
换句话说,网络安全成熟度是一段永无止境的旅程。即便如此,它遵循着从被动的"救火"式响应逐步转向更主动和战略性风险管理方式的明确进程。本文提出的问题旨在帮助您确定当前所处的网络安全阶段,以及需要采取哪些措施来迈出下一步。
网络安全成熟度的三大支柱
通常,网络安全成熟度的每个阶段都由以下三个要素决定:
- 可见性:对需要保护的资产和数据的了解程度
- 响应能力:对威胁的检测和响应效率
- 优先级排序:基于风险评估的威胁处理顺序
随着组织网络安全成熟度的提高,与这三个支柱相关的能力都会深化和加强。
阶段一:被动模式
几乎每个组织都是从被动应对威胁开始的,就像在环境中打地鼠一样事后响应。处于被动模式的组织可见性较低,无法完全掌握需要保护的资产和数据,无法详细了解完整的攻击面,也不完全理解面临的威胁。由于这些因素,他们优先处理和缓解威胁的能力受到严重限制。
处于被动模式的关键指标:
- 安全团队被事件和警报淹没
- 有太多工具提供孤立的数据
- 使用电子表格管理IT资产,库存不完整、过时或两者兼有
- 完全依赖通用漏洞披露(CVE)分数来决定修补内容
阶段二:战术模式
摆脱被动模式的第一步是开始整合安全和IT工作流程,通过打破孤岛来提高可见性和响应能力,并采用某种方式来优先处理漏洞和威胁。换句话说,就是要更好地掌握攻击面。
虽然这在网络安全成熟度方面确实是一个进步,但战术模式仍然主要是被动和缓慢的。
处于战术模式的特征:
- 安全和IT之间的孤岛减少,但仍然存在
- 网络安全流程仍然主要是手动的
- 安全补丁仍然往往过时,跟不上现实世界的威胁形势
- 优先级排序不一致,不是基于任何真实的风险评估,而是基于外部措施,如通用漏洞评分
阶段三:风险驱动
顾名思义,网络安全成熟度旅程的下一个主要里程碑是将更多整体方法转向识别和解决风险。与此同时,由于风险评估是一项密集的持续活动,您需要增加安全运营中的自动化。具体来说,您需要能够提供攻击面状况实时视图的解决方案和能力。
如果您具备以下条件,则已达到风险驱动阶段:
- 基于风险的安全框架和优先级排序方法
- 自动化的网络风险评分和网络风险量化,提供相对风险和各风险可能造成潜在损害的客观衡量标准
- 自动修复
- 自动化合规管理
阶段四:主动模式
网络安全成熟度的前两个阶段与提高可见性有很大关系。风险驱动建立在可见性收益的基础上,从根本上提高优先处理威胁和网络安全活动的能力。
主动模式整合了所有先前阶段,并强调持续缓解。这意味着发现和评估风险,并采取战略步骤将其最小化,不仅通过处理威胁和漏洞,还通过改变攻击面状况来降低风险暴露。这使您能够预测风险并在造成任何损害之前先发制人地解决它们。
判断是否处于主动模式的方法:
- 保护措施高度自动化,利用机器学习和AI
- 网络安全活动与业务目标战略一致
- 网络安全成为公司董事会层面风险管理的一部分
网络安全成熟度是一个过程
由于网络安全成熟度是一个持续的旅程,将其划分为四个整齐的阶段有些人为因素。随着组织沿着连续体前进,您可能会同时经历某些阶段的各个方面。也就是说,将这些阶段视为标记或里程碑可以帮助您取得进展并获得更多期望的特质。
同样重要的是要注意,网络安全方法越成熟,风险管理活动就越持续。这一点在这里很明显,也反映在行业领先的框架中,如Gartner的持续威胁暴露管理(CTEM)计划。
另一个重要的启示是,在网络安全成熟度旅程中从何处开始并不重要。重要的是利用一条可以引导您走出被动模式,走向更主动、战略性管理网络安全风险的路径。
后续步骤
要继续您的网络安全成熟度学习之旅,请随时参考以下资源:
- 主动CISO手册
- 自信管理网络风险信息图
- 网络风险管理旅程信息图
- 未来是主动安全点播讲座