6月5日,2023年度Gartner安全與風(fēng)險管理峰會在美國馬里蘭州正式開幕。在峰會開幕演講中,Gartner副總裁、高級分析師Leigh McMullen表示:如今許多企業(yè)組織的CISO和安全團隊感到精疲力竭,他們已經(jīng)為企業(yè)安全建設(shè)工作付出了最大的努力,卻沒有獲得符合預(yù)期的回報,其原因在于有四個常見的錯誤認知阻礙了企業(yè)充分發(fā)揮網(wǎng)絡(luò)安全的價值,并影響了安全計劃的實施與運營效果。企業(yè)組織應(yīng)恪守“最低有效”(Minimum Effective)的建設(shè)理念,才能讓網(wǎng)絡(luò)安全建設(shè)與投入為企業(yè)帶來更積極的影響。
(資料圖)
誤區(qū)1越多的數(shù)據(jù)意味著更好的保護在大數(shù)據(jù)廣泛應(yīng)用的時代,利用大數(shù)據(jù)分析技術(shù)是快速提升網(wǎng)絡(luò)安全防護能力的一種有效途徑。比如說,在分析高級持續(xù)性威脅(APT)時,通過大數(shù)據(jù)分析可以大幅提升APT威脅的發(fā)現(xiàn)能力,快速有效發(fā)現(xiàn)安全異常情況,已經(jīng)成為一項不可或缺的手段。
然而不幸的是,數(shù)據(jù)越多,其中的垃圾數(shù)據(jù)也越多,如果不能有效地清理和編譯數(shù)據(jù),對大數(shù)據(jù)的使用將會失去意義。Gartner的研究發(fā)現(xiàn),只有三分之一的企業(yè)組織表示,他們成功地通過量化分析網(wǎng)絡(luò)風(fēng)險推動了網(wǎng)絡(luò)安全的決策和行動能力。
McMullen認為,明智的CISO不應(yīng)該一味追求更多的數(shù)據(jù)和有效性未知的安全分析報告,而是要恪守最低有效洞察力(Minimum Effective Insight)原則,根據(jù)企業(yè)實際擁有的資源和能力,合理決策對數(shù)據(jù)的采集和使用。在開展安全數(shù)據(jù)分析時,CISO應(yīng)該使用以結(jié)果為導(dǎo)向的度量指標(biāo)(ODM)方法,將安全和風(fēng)險操作度量指標(biāo)與企業(yè)最關(guān)鍵的安全防護工作目標(biāo)聯(lián)系起來。
誤區(qū)2越多的技術(shù)工具意味著更好的保護根據(jù)Gartner的研究預(yù)測,2023年全球企業(yè)組織在網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品及服務(wù)方面的支出將超過1900億美元,同比增長12.7%。然而,即使企業(yè)在網(wǎng)絡(luò)安全工具和技術(shù)上持續(xù)加大投入,各種網(wǎng)絡(luò)安全事件仍然層出不窮,安全威脅發(fā)展態(tài)勢仍然嚴峻。
McMullen表示,企業(yè)的網(wǎng)絡(luò)安全部門往往會陷入一味購買設(shè)備的窘境,以為更先進的技術(shù)產(chǎn)品就能夠為自己帶來更好的安全性,結(jié)果不僅增加了企業(yè)安全運營工作的壓力,甚至還帶來了更大的威脅暴露面。為了真正提升網(wǎng)絡(luò)安全運營效率,企業(yè)組織應(yīng)倡導(dǎo)最低有效工具集(Minimum Effective Toolset),即只應(yīng)用實現(xiàn)安全觀察、防御和響應(yīng)所必需的最少技術(shù)。這將使網(wǎng)絡(luò)安全部門能夠真正掌控自己的網(wǎng)絡(luò)安全能力體系,降低安全運營的復(fù)雜性,避免不用安全工具間的缺乏互操作性。
對于現(xiàn)代企業(yè)組織而言,需要從運營成本的視角,評估網(wǎng)絡(luò)專業(yè)人員管理維護網(wǎng)絡(luò)安全工具的成本與回報,舍棄那些回報率低下的落后安全工具。與此同時,企業(yè)還應(yīng)該從整體網(wǎng)絡(luò)安全架構(gòu)的視角,考量各種安全工具是否具有提升企業(yè)安全防護水平的能力,以及是否具備應(yīng)用的簡單性、可組合性和互操作性。
誤區(qū)3越完善的安全控制意味著更好的保護實施完善的網(wǎng)絡(luò)安全控制措施是全球網(wǎng)絡(luò)安全領(lǐng)域重要的應(yīng)用實踐標(biāo)準之一,旨在通過制度化的方式降低企業(yè)網(wǎng)絡(luò)安全風(fēng)險,確保企業(yè)數(shù)據(jù)和關(guān)鍵業(yè)務(wù)系統(tǒng)免受黑客、網(wǎng)絡(luò)攻擊和其他在線威脅的侵害。然而,如果這些控制措施不能被組織的員工廣泛認同和嚴格遵守,一味添加更多的安全控制措施只會適得其反。
Gartner最近的一項調(diào)查發(fā)現(xiàn),69%的受訪者在過去12個月里有違反過企業(yè)的網(wǎng)絡(luò)安全制度;74%的受訪者表示,一些安全控制措施降低了其日常工作效率,規(guī)避這些網(wǎng)絡(luò)安全制度有助于他們或團隊更好完成業(yè)務(wù)發(fā)展目標(biāo)。
McMullen認為,企業(yè)的安全管理者要盡量減小安全運營工作的阻力,充分了解員工存在不安全行為的原因,并致力于提高安全管控措施的實際利用率。在很多時候,被員工們故意規(guī)避的控制措施會比沒有控制措施更糟糕。采用最低有效摩擦(Minimum Effective Friction)可以讓網(wǎng)絡(luò)安全部門準確評估安全控制措施的應(yīng)用效果,要優(yōu)先考慮用戶體驗,而不僅僅是技術(shù)的功能。據(jù)McMullen預(yù)測,50%的大型企業(yè)組織會在2027年前開始采用以人為本的安全控制實踐,盡量減少網(wǎng)絡(luò)安全建設(shè)帶來的業(yè)務(wù)影響和摩擦,并盡量提高控制措施的采用率。
誤區(qū)4越多的專業(yè)安全人員意味著更好的保護網(wǎng)絡(luò)安全已經(jīng)成為困擾企業(yè)數(shù)字化轉(zhuǎn)型的最大瓶頸之一,很多企業(yè)將這一情況歸咎于只有網(wǎng)絡(luò)安全專業(yè)人員才能從事專業(yè)網(wǎng)絡(luò)工作,而目前人才市場上的網(wǎng)絡(luò)安全專業(yè)人員供不應(yīng)求,因此企業(yè)難以構(gòu)建滿足發(fā)展需求的安全運營團隊。
McMullen認為,只有向公司所有員工普及網(wǎng)絡(luò)安全專業(yè)知識,而不是試圖通過招聘填補專業(yè)人才缺口,這才是解決以上發(fā)展問題的根本之道。隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入發(fā)展,組織CISO的角色定位已經(jīng)轉(zhuǎn)變成應(yīng)對數(shù)字化發(fā)展風(fēng)險的決策參與者和推動者。因此,CISO不能只從技術(shù)和自動化的角度思考問題,而應(yīng)與各部門員工廣泛接觸交流,以影響決策制定,并確保每個員工都能夠掌握適當(dāng)?shù)男畔ⅲ诒U习踩那疤嵯麻_展數(shù)字化工作,從而減輕安全團隊的工作負擔(dān)。
參考鏈接:https://www.gartner.com/en/newsroom/press-releases/2023-06-05-gartner-identifies-four-myths-obscuring-cybersecuritys-full-value
標(biāo)簽: