CISO战略如何预防威胁？

探索CISO有效策略实现主动威胁防护

执行摘要

CISO面临保护组织免遭入侵的巨大压力，最大障碍是日益复杂演变的威胁态势。成功的勒索软件攻击支付通过勒索软件即服务模式助长了这种演变。为打破这一趋势，本报告将探讨为何CISO及其团队不能仅仅应对威胁，而必须首先防止威胁发生。

当组织的网络安全工具采用被动解决方案时，可能使组织容易受到攻击，仅恢复数据和系统是不够的。威胁行为者已意识到这种恢复策略，开始在受害者环境中启动勒索软件之前窃取敏感数据。因此，即使组织有能力恢复系统和数据，威胁发布敏感数据通常也足以迫使组织支付赎金。

“威胁行为者不断改变和发展他们的策略，我们需要适应这种变化。” Tony Lee BlackBerry全球服务技术运营副总裁

快速响应和恢复很重要，但据Lee表示，由于威胁行为者的点名羞辱策略和数据发布，这只是问题的一半。

勒索软件即服务持续蓬勃发展，使威胁行为者能够以前所未有的规模进行攻击。以前可能认为不会成为攻击目标的组织现在也成为了目标。组织（无论规模大小）不能再保持被动状态，也不能仅在朝九晚五的时间进行监控。威胁行为者正在全球全天候工作，公司的防御也必须如此。

事实上，根据Gartner最新的新兴风险监测报告，“新勒索软件模式”的威胁是2021年第三季度高管面临的首要问题。Gartner调查的受访者表示，勒索软件是比疫情相关干扰（包括供应链问题）更大的担忧。

最后，组织必须准备好面对不断增长的网络空间，以及海量数据和终端。虽然以前管理少量系统可能很容易，但现在公司必须准备好应对终端数量和类型的爆炸式增长。IoT的快速增长和普及不仅对家庭用户构成风险，对组织也是如此。从咖啡壶到智能汽车充电器再到鱼缸温度计，所有设备都对组织构成风险。解决这些问题的预防方法在于CISO正在部署的技术和策略。

“从被动安全态势转向预防性安全态势并非易事。” Tony Lee BlackBerry全球服务技术运营副总裁

通过关注端点保护平台（EPP）、端点检测与响应（EDR）、托管检测与响应（MDR）和托管扩展检测与响应（XDR）解决方案，本报告将揭示CISO如何利用最新的网络安全缓解策略应对这种复杂且快速变化的威胁态势。

使用托管服务弥合技能差距

面对当今的威胁，预防策略应采用24×7×365监控、威胁情报覆盖和持续威胁狩猎，所有这些都基于AI驱动的技术。AI是帮助弥合技能和资源差距的力量倍增器，使人类在工作中更高效。基于AI的EDR和EPP的预测性是对抗零日威胁所需的，实现了预防优先策略。

对CISO来说，在内部提供这些能力通常是一个挑战。通常，只有预算和资源相匹配的最大型企业才有机会仅通过内部资源解决这个问题。对于行业其他公司，有旨在使用固定资源进行扩展的托管解决方案。

“即使预算不是问题，人员配备和构建时间仍然具有挑战性。对于各种规模的组织来说，在许多情况下，寻求现有MDR或XDR提供商的帮助通常比自己构建更具成本和时间效益，”Lee解释说。

使用托管服务绝不是新解决方案。正如Lee解释的那样，通过EDR产品实现环境可见性的需求正在推动客户看到价值，但也意识到实施和优化如此强大产品的挑战。

另请阅读：五个活跃的勒索软件团伙及其策略

基于AI的新一代EDR和EPP解决方案正越来越多地取代不再符合最低安全标准的传统防病毒解决方案。

Lee指出，使用一些传统解决方案实际上可能意味着组织由于高风险而无法获得网络保险。

“网络保险公司希望看到新一代产品以及EDR和24x7监控作为最低要求。基于AI的EPP和EDR的组合提供了‘预防优先’策略，然后在需要调查和验证时提供可见性，”Lee说。

技能短缺

虽然EDR可能越来越受欢迎，但组织要真正掌握它可能很困难，因为它需要承诺甚至可能专门的资源。

“组织意识到[EDR]的必要性，但在许多情况下，他们没有内部专业知识来避免另一个搁置产品，这就是为什么他们寻求托管服务，”Lee补充道。

例如，在英国数字、文化、媒体和体育部进行的研究中，英国政府于2020年3月表示：“约653,000家企业（48%）存在基本技能差距。也就是说，这些企业中负责网络安全的人员缺乏执行政府认可的Cyber Essentials计划中规定的基本任务的信心，并且没有获得外部网络安全提供商的支持。”

即使组织愿意雇佣额外的内部员工，他们也面临网络安全行业的人员短缺。

此外，在拜登总统2021年8月关于改善美国网络安全的演讲中，他说：“我们熟练的网络安全劳动力增长速度不够快，无法跟上[黑客和犯罪分子的步伐]。”

“我们创造了我们自己的问题，因为我们专注于检测和响应的世界，而不是预防的世界。” Brian Robison BlackBerry解决方案策略副总裁

拜登指出，约50万个网络安全职位仍然空缺。

虽然组织可能正在努力应对这种所谓的技能短缺，但托管服务可以通过让组织获得提供的网络安全解决方案而不是在内部构建来提供帮助。

BlackBerry解决方案策略副总裁Brian Robison将技能短缺视为网络安全世界自身创造的问题。“我们创造了我们自己的问题，因为我们专注于检测和响应的世界，而不是预防的世界。我们正在花费董事会数百万美元来应对本可以阻止的威胁，”他说。

“我们需要托管服务来弥合差距，有效扩展以覆盖数千个组织和数十万个终端。这些服务能够通过有效使用一小组高技能人员以及精细调整的流程和技术来保护更多设备，”Lee补充道。

专业服务组织KPMG在2021年的一篇文章中表示，随着技能差距变得更加严重，答案不仅仅是引入更多人，而是使用技术和自动化处理重复性任务。

技术的任务不一定是取代人，而是协助那些从事网络安全工作的人执行最重要的任务。

另请阅读：CISO面临的主要挑战

预防优先投资如何获得回报

通过使用MDR和托管XDR，结合EDR和EPP解决方案，企业可以优化他们在网络安全方面的投资。

最终，Lee认为利用托管服务是确保组织网络安全最具成本效益的方式。

“我们已经为MDR/托管XDR与内部构建进行了多次成本模型分析，只有在最大的组织中，例如财富100强中的那些，内部构建才开始变得更具成本效益，”他解释说。

这对中小型组织尤其如此，因为雇佣足够员工来完成托管服务提供商的工作可能不切实际，他们根本不够大，无法吸收额外人员所需的投资。

我们知道中小型企业必须仔细考虑网络安全的有效投资，因为他们处于高风险中。美国小企业管理局指出，小企业特别有吸引力，因为他们拥有网络犯罪分子想要的信息，并且通常缺乏大型企业的安全基础设施。

托管服务不仅为企业提供了应对这些威胁所需的解决方案，而且向预防优先策略的转变也提供了以更具成本效益的方式实施安全策略的机会。

“预防远比调查和遏制省时且成本低。我们越早在网络杀伤链中预防攻击，我们需要消耗的资源就越少。因此，预防优先策略也可以帮助减少技能和资源差距以及防御支出，”Lee说。

CISO转变方法

CISO必须考虑投资预防优先策略将给他们的业务带来的好处，Robison还表示，今天的CISO需要从成本中心转变为业务的更主动部分。

对话需要从专注于传统防病毒解决方案的投资（Robison认为这最终是资源的消耗）转变为预防性解决方案，在威胁通过赎金支付和补救工作成为组织成本之前阻止它。

“这要求您与帮助您发展业务的供应商合作，”他说。

Robison将CISO必须做出的焦点转变与CIO采取的行动进行了比较，即从组织数据的本地解决方案转向数据中心的云解决方案。

“CIO将他们的模型从大规模成本中心转变为更主动的业务交付模型，”他说。“CISO还没有转过那个弯。”

“我今天看到的世界上最大的范式转变是帮助CISO改变对话，说‘我需要进行这项投资[在托管服务中]’。”

他解释说，这基本上是CIO几年前所做的，当时他们认识到需要摆脱对组织成本高昂的本地解决方案，转向更高效的基于云的服务。

Robison指出，这绝非易事，对CISO来说，站在董事会面前告诉CEO有更好的做事方式具有挑战性。最终，大多数企业会发现过时的传统被动解决方案无法防止违规，当违规发生时，成本将极其高昂。

对中小型企业来说，违规成本通常天文数字，最终可以通过对预防性解决方案（如MDR/托管XDR、EDR和EPP）的承诺和投资来缓解。

使用AI对解决方案至关重要

AI提供了计算机可以处理大量数据以学习模式的解决方案，因此它知道如何在无需人类协助的情况下行为——这包括通过分析已经发生的情况来预测接下来可能发生什么。

MDR和托管XDR解决方案的价值可以通过使用AI以可扩展的方式提供所需的24x7x365覆盖来增强。

“现实是传统EPP和EDR解决方案的人力方面无法扩展，新病毒的新版本太多了，”Robison说。

MDR/托管XDR、EDR和EPP的AI组件对于对当今威胁具有预测优势至关重要。

2021年7月，世界经济论坛指出，部署良好的AI可用于应对当今的安全威胁。此外，世界经济论坛强调，AI可以帮助几乎立即响应威胁，特别是在有太多数据人类无法处理时。

另请阅读：CISO对托管XDR投资的考虑

AI驱动的终端保护

AI是必要的，因为网络防御者已经面临大量警报。许多组织无法分析所有终端威胁和漏洞，当结合先前讨论的劳动力短缺时，这正是AI可以作为力量倍增器的地方。

AI驱动的终端保护能够使用高级机器学习发现环境中的恶意软件、无文件和基于用户的威胁。与此同时，使用AI的人已经感受到其好处。截至2019年，Statista调查的64%的高级IT高管表示，AI有助于降低检测和响应其组织违规的成本。

Statista表示，其调查的83%的美国受访者同意“没有AI我们将无法响应网络攻击”的陈述。Lee说，许多供应商声称在其产品中采用人工智能，有点像是“我也是”的营销活动。因此，鼓励CISO寻找在这个领域已经有一段时间并拥有成熟AI数学模型的供应商。

“AI组件对所有这些至关重要，否则它无法有效扩展。” Tony Lee BlackBerry全球服务技术运营副总裁

“数学模型的美丽之处在于它的预测性，因此即使出现全新的威胁，数学模型很可能已经在覆盖新威胁，甚至无需被告知，”Lee解释说。

本质上，AI可以做人类无法做的事情，通过筛选大量信息来识别威胁，并利用所述信息的学习来预测未来的威胁可能是什么样子。

CISO威胁预防优先策略

要从被动策略转向预防策略，CISO必须认识到需要摆脱过时的传统防病毒技术，转向在攻击发生前预防攻击的新一代解决方案。

MDR、托管XDR、EPP和EDR解决方案组合可以提供一种有效的方法，既不会耗尽资源，又允许组织最小化警报疲劳。

此外，这些解决方案必须协同工作。

“完全集成的EPP、EDR和托管服务是任何希望关联事件的必要条件。尝试在两个不同的系统中关联EPP和EDR事件不可扩展，”Lee说。

“这需要由最懂如何最好使用产品的托管安全专家作为单一包交付。由于没有EPP是100%有效的，EDR提供了收集证据、威胁狩猎甚至采取扩展行动的能力。”“这两种技术与托管服务相结合，使事件分析员和狩猎员能够作为您安全团队的延伸工作。这允许内部安全团队专注于关键安全计划，而不是花费时间和资源对警报进行分类或从攻击中恢复，”他补充道。

由于威胁和事件的数量无法仅由人类识别，AI也起着至关重要的作用。AI的预测性对于在威胁发生前识别威胁至关重要。

虽然面临网络安全专业人员短缺，但预防优先策略是组织防御当今威胁态势的唯一途径。

在此处阅读报告PDF