6月5日�,2023年度Gartner安全與風險管理峰會在美國馬里蘭州正式開幕。在峰會開幕演講中,Gartner副總裁����、高級分析師Leigh McMullen表示:如今許多企業(yè)組織的CISO和安全團隊感到精疲力竭,他們已經為企業(yè)安全建設工作付出了最大的努力��,卻沒有獲得符合預期的回報�,其原因在于有四個常見的錯誤認知阻礙了企業(yè)充分發(fā)揮網絡安全的價值,并影響了安全計劃的實施與運營效果�����。企業(yè)組織應恪守“最低有效”(Minimum Effective)的建設理念���,才能讓網絡安全建設與投入為企業(yè)帶來更積極的影響�����。
(資料圖)
誤區(qū)1越多的數據意味著更好的保護
在大數據廣泛應用的時代,利用大數據分析技術是快速提升網絡安全防護能力的一種有效途徑�����。比如說�����,在分析高級持續(xù)性威脅(APT)時����,通過大數據分析可以大幅提升APT威脅的發(fā)現能力��,快速有效發(fā)現安全異常情況�,已經成為一項不可或缺的手段����。
然而不幸的是,數據越多�,其中的垃圾數據也越多,如果不能有效地清理和編譯數據����,對大數據的使用將會失去意義。Gartner的研究發(fā)現����,只有三分之一的企業(yè)組織表示,他們成功地通過量化分析網絡風險推動了網絡安全的決策和行動能力�����。
McMullen認為����,明智的CISO不應該一味追求更多的數據和有效性未知的安全分析報告��,而是要恪守最低有效洞察力(Minimum Effective Insight)原則��,根據企業(yè)實際擁有的資源和能力�,合理決策對數據的采集和使用���。在開展安全數據分析時����,CISO應該使用以結果為導向的度量指標(ODM)方法�,將安全和風險操作度量指標與企業(yè)最關鍵的安全防護工作目標聯系起來。
誤區(qū)2越多的技術工具意味著更好的保護
根據Gartner的研究預測�,2023年全球企業(yè)組織在網絡安全技術、產品及服務方面的支出將超過1900億美元���,同比增長12.7%����。然而���,即使企業(yè)在網絡安全工具和技術上持續(xù)加大投入,各種網絡安全事件仍然層出不窮���,安全威脅發(fā)展態(tài)勢仍然嚴峻�����。
McMullen表示��,企業(yè)的網絡安全部門往往會陷入一味購買設備的窘境����,以為更先進的技術產品就能夠為自己帶來更好的安全性,結果不僅增加了企業(yè)安全運營工作的壓力�����,甚至還帶來了更大的威脅暴露面�。為了真正提升網絡安全運營效率,企業(yè)組織應倡導最低有效工具集(Minimum Effective Toolset)��,即只應用實現安全觀察�、防御和響應所必需的最少技術。這將使網絡安全部門能夠真正掌控自己的網絡安全能力體系���,降低安全運營的復雜性��,避免不用安全工具間的缺乏互操作性�。
對于現代企業(yè)組織而言,需要從運營成本的視角����,評估網絡專業(yè)人員管理維護網絡安全工具的成本與回報,舍棄那些回報率低下的落后安全工具��。與此同時���,企業(yè)還應該從整體網絡安全架構的視角�,考量各種安全工具是否具有提升企業(yè)安全防護水平的能力�����,以及是否具備應用的簡單性�����、可組合性和互操作性�����。
誤區(qū)3越完善的安全控制意味著更好的保護
實施完善的網絡安全控制措施是全球網絡安全領域重要的應用實踐標準之一����,旨在通過制度化的方式降低企業(yè)網絡安全風險,確保企業(yè)數據和關鍵業(yè)務系統免受黑客���、網絡攻擊和其他在線威脅的侵害�����。然而�,如果這些控制措施不能被組織的員工廣泛認同和嚴格遵守�����,一味添加更多的安全控制措施只會適得其反�����。
Gartner最近的一項調查發(fā)現���,69%的受訪者在過去12個月里有違反過企業(yè)的網絡安全制度�;74%的受訪者表示����,一些安全控制措施降低了其日常工作效率,規(guī)避這些網絡安全制度有助于他們或團隊更好完成業(yè)務發(fā)展目標����。
McMullen認為��,企業(yè)的安全管理者要盡量減小安全運營工作的阻力�,充分了解員工存在不安全行為的原因���,并致力于提高安全管控措施的實際利用率��。在很多時候���,被員工們故意規(guī)避的控制措施會比沒有控制措施更糟糕。采用最低有效摩擦(Minimum Effective Friction)可以讓網絡安全部門準確評估安全控制措施的應用效果�,要優(yōu)先考慮用戶體驗,而不僅僅是技術的功能�。據McMullen預測,50%的大型企業(yè)組織會在2027年前開始采用以人為本的安全控制實踐����,盡量減少網絡安全建設帶來的業(yè)務影響和摩擦,并盡量提高控制措施的采用率��。
誤區(qū)4越多的專業(yè)安全人員意味著更好的保護
網絡安全已經成為困擾企業(yè)數字化轉型的最大瓶頸之一���,很多企業(yè)將這一情況歸咎于只有網絡安全專業(yè)人員才能從事專業(yè)網絡工作����,而目前人才市場上的網絡安全專業(yè)人員供不應求�����,因此企業(yè)難以構建滿足發(fā)展需求的安全運營團隊�。
McMullen認為,只有向公司所有員工普及網絡安全專業(yè)知識��,而不是試圖通過招聘填補專業(yè)人才缺口�,這才是解決以上發(fā)展問題的根本之道。隨著企業(yè)數字化轉型的深入發(fā)展���,組織CISO的角色定位已經轉變成應對數字化發(fā)展風險的決策參與者和推動者��。因此��,CISO不能只從技術和自動化的角度思考問題��,而應與各部門員工廣泛接觸交流��,以影響決策制定���,并確保每個員工都能夠掌握適當的信息���,在保障安全的前提下開展數字化工作,從而減輕安全團隊的工作負擔���。
參考鏈接:https://www.gartner.com/en/newsroom/press-releases/2023-06-05-gartner-identifies-four-myths-obscuring-cybersecuritys-full-value
