网络安全成熟度:持续演进之旅
CISO或任何网络安全专业人士的学习之旅永无止境。每当您提升技能时,就会看到更快、更智能或更有效地处理事务的新可能性。与此同时,威胁形势不断变化,但风险可见性的需求仍然至关重要。您能看到的攻击面越多,发现的漏洞就越多。解决方案和能力越强大,保护组织并超越威胁行为者的机会就越多。
换句话说,网络安全成熟度是一段永无止境的旅程。即便如此,它遵循着从被动的"救火"向日益主动和战略性的风险管理方式发展的明显进程。本文提出的问题旨在帮助您确定当前所处的网络安全旅程阶段,以及需要采取哪些措施来迈出下一步。
网络安全成熟度的三大支柱
通常,网络安全成熟度的每个阶段由以下三个因素决定:
- 可见性:对资产、数据和攻击面的了解程度
- 响应能力:对威胁的检测、响应和修复能力
- 风险管理:风险评估、优先级排序和战略规划能力
随着组织网络安全成熟度的提高,与这三个支柱相关的能力都会深化和加强。
第一阶段:被动模式
几乎每个组织都是从被动应对威胁开始的,就像在环境中打地鼠一样事后响应情况。处于被动模式的组织可见性较低。他们无法完全掌握需要保护的资产和数据,无法足够详细地查看完整的攻击面,也不完全了解面临的威胁。由于这些因素,他们确定威胁优先级和缓解威胁的能力往往受到严重限制。
以下是一些表明您处于被动模式的关键指标:
- 安全团队被事件和警报淹没
- 有太多工具提供孤立的数据
- 使用电子表格管理IT资产,库存不完整、过时或两者兼有
- 完全依赖通用漏洞评分系统(CVE)分数来决定修补什么
第二阶段:战术模式
走出被动模式的第一步是开始整合安全和IT工作流程——通过打破孤岛来提高可见性和响应能力——并采用某种确定漏洞和威胁优先级的方法。换句话说,就是要更好地掌控攻击面。
虽然这在网络安全成熟度方面确实是一个改进,但战术模式在很大程度上仍然是反应性的且行动缓慢。
以下是一些表明您处于战术模式的明显迹象:
- 安全和IT之间的孤岛较少,但仍然存在
- 网络安全流程仍然主要是手动的
- 安全补丁往往仍然过时,无法跟上现实世界的威胁形势
- 优先级排序不一致或基于任何真实的风险评估,而是基于外部措施,如通用漏洞评分
第三阶段:风险驱动
顾名思义,网络安全成熟度旅程的下一个主要里程碑是将更多整体方法转向识别和应对风险。与此同时——由于风险评估是一项密集的、持续的活动——您需要增加安全运营中的自动化。具体来说,您需要能够提供攻击面状况实时视图的解决方案和能力。
如果您具备以下条件,则已达到风险驱动阶段:
- 基于风险的安全框架和优先级排序方法
- 自动化的网络安全风险评分和网络安全风险量化,提供相对风险的客观衡量标准以及每个风险可能造成的潜在损害
- 自动修复
- 自动化合规管理
第四阶段:主动模式
网络安全成熟度的前两个阶段与提高可见性有很大关系。基于风险的驱动建立在可见性收益的基础上,从根本上提高确定威胁和网络安全活动优先级的能力。
主动模式整合了所有先前阶段,并强调持续缓解。这意味着发现和评估风险,并采取战略步骤将其最小化——不仅通过处理威胁和漏洞,还通过改变攻击面状况来降低风险暴露。这使您能够预测风险并在造成任何损害之前先发制人地解决它们。
以下方法可以判断您是否处于主动模式:
- 保护措施高度自动化,利用机器学习和人工智能
- 网络安全活动与业务目标战略一致
- 网络安全已成为企业董事会层面风险管理的一部分
网络安全成熟度是一个过程
由于网络安全成熟度是一个持续的过程,将其划分为四个整齐的阶段有点人为。随着组织在连续统一体上移动,您可能会同时经历某些阶段的各个方面。也就是说,将这些阶段视为标记或里程碑可以帮助您取得进展并获得更多期望的特性。
同样重要的是要注意,网络安全方法越成熟,风险管理活动就越持续。这一点在这里很明显,并且在行业领先的框架中也有所反映,例如Gartner的持续威胁暴露管理(CTEM)计划。
另一个重要的启示是,在网络安全成熟度旅程中从何处开始并不重要。重要的是利用一条可以引导您走出被动模式,走向更主动、更具战略性的网络安全风险管理方式的路径。
后续步骤
要继续您的网络安全成熟度学习之旅,请随时查阅以下资源:
- 主动CISO手册
- 自信管理网络风险信息图
- 网络风险管理旅程信息图
- 未来是主动安全点播讲座