合規與風險
資安長(CISO)如何擬定「世界盃」等級的網路安全計劃?
在足球比賽中,主要的績效指標是勝利,包括了所有邁向勝利的步驟:首次進攻、完成傳球、失誤、得分。而對資安長來說,績效是指什麼?本篇文章探討資安長以及資安專家成功做好網路安全計劃的制勝三大關鍵。
今日的資安長(CISO)就像是一名足球教練。兩者都必須有個成功的願景。都需要組建隊伍並贏得成員的尊重。並且兩者都必須根據績效表現來做出判斷。在足球比賽中,主要的績效指標是勝利,包括了所有邁向勝利的步驟:首次進攻、完成傳球、失誤、得分。而對資安長來說,績效是指什麼?
常見的關鍵績效指標(KPI),像是平均修復時間(MTTR,mean time to recovery )、入侵嘗試次數以及每次資安事件的處理成本,這些都是確保企業安全和合規的重要因素。但在更高層面上,我們認為如果資安長能夠掌握以下三個網路安全領域 – 安全態勢、存取權限管理以及網路安全訓練,那他們就能夠展現世界盃級別的表現(或至少進入決賽周)。
成功網路安全計劃的三大關鍵
📍#1 強大的安全態勢
安全態勢(Security Posture)已經成為一個流行語,但它仍是衡量組織如何有效偵測、回應及預防網路威脅的重要指標。
但諷刺的是,並沒有衡量安全態勢的單一指標。它更像是整體IT環境中漏洞和威脅數量、嚴重性以及組織反應速度的綜合結果。
但網路安全團隊在處理重大威脅和漏洞時,往往侷限在端點(筆記型電腦、桌上型電腦和行動裝置)內的活動。
這就是延伸式偵測及回應(XDR)安全解決方案對資安長的網路安全計劃相當寶貴的地方了。XDR能夠提供跨端點、電子郵件、伺服器、雲端工作負載和網路威脅及漏洞的完整能見度,同時可以利用自動化來過濾及關聯大量的威脅資料。因為它能夠跨越所有安全防護層來提供較少卻更高保真度的警報通知。這也代表著會減少誤報的數量。
根據ESG的報告,部署XDR的公司被攻擊成功的次數減少了50%。對依績效評估的資安長來說,能夠檢視整個IT環境並對威脅做出更快回應的能力將有助於保持強大的安全態勢。
📍#2 給使用者適當的網路存取權限
組織通常沒有為員工設置適當的身份驗證及授權。正如我們在史諾登(Edward Snowden)洩露美國國家安全局高度機密資訊時所了解到的,授權給不需要存取權限的員工或承包商是件相當危險的事情。
因此,資安長必須密切關注特權使用者(Privileged User)與非特權使用者(non-Privileged User)的比例。如果公司的IT環境中有太多的特權使用者,那就有面臨內部威脅的風險。此外,特權使用者也是惡意駭客眼中的金礦,如果他們能夠竊取特權使用者的登錄憑證,就有辦法存取更多的敏感資料。
大多數資安長現在都會遵循最小權限原則,即IT只授予使用者完成工作所需的權限,但也僅此而已。許多網路安全團隊仍然透過每年一次的使用者存取權限稽查來手動監控特權使用者。為了避免另一個史諾登的出現,應該建立自動化的程序,能夠在特權使用者離開公司或是在組織內部調動時關閉權限。
自動化調整存取權限的需要催生了一種零信任安全模型。零信任對資安長的吸引力在於,它會在每個使用者或裝置連接網路前先驗證其風險和健康狀況。當連線建立後,零信任架構會持續的監控裝置、使用者或應用程式的健康狀況。如果出現變化,連線將被自動終止,以限制當惡意駭客接管使用者帳號的可能影響。
跟用於偵測及回應的XDR一樣,管理使用者存取權限的零信任安全模型為資安長提供了能見度、自動化和持續監控的能力,能夠更好的處理資料外洩事件發生。
📍#3 定期進行網路安全意識訓練
88%的資料外洩事件發生的主因是來自人為錯誤。無論是員工、高階主管還是IT和資安團隊,只要是人都可能會犯錯,而駭客就在等著這些機會來加以利用。持續的教育訓練是成功網路安全計劃的必備條件。
對各部門的培訓都會有所不同 – 從教育員工識別商務電子郵件入侵(BEC)和網路釣魚詐騙,到確保IT團隊擁有適當的技能來進行漏洞評估或部署虛擬修補技術,但全公司範圍的安全意識訓練是資安長團結組織和鼓舞士氣的好方法。
下面是兩個資安長需要牢記在心的網路安全訓練最佳實作:
- 讓教育訓練和每個人的工作職責相關,這樣人們就不會將教育訓練視為另一項工作義務。 例如,應該對高階主管進行關於資料外洩所造成財務及信譽損失的教育。而員工應該接受如何發現和回報網路釣魚攻擊的訓練和測試。
- 確保意識訓練達到效果。沒有任何單一指標能夠評量網路安全意識訓練的成效。但資安長應該在訓練後尋找反應在真實世界的實際成果。像是回報網路釣魚攻擊的員工變多,或實際安全漏洞的減少等等。
持續的網路安全意識訓練與之前討論的文化認同有關。高績效的資安長知道,要營造帶有網路安全意識的文化就必須讓每個人都按照相同的行動手冊(Playbook)操作,並感覺到自己在為公司的資安做出貢獻。
資安長是高績效的願景領導者
每一位成功的足球教練都必須成長為一名高績效的願景領導者,既能專注於致勝的細節,又能比對手更能看見全局。
同樣地,成功的資安長必須透過追踪標準資安關鍵績效指標(KPI)來了解細節,同時透過基於XDR、零信任安全模型和網路安全訓練的網路安全計劃來掌握全局。能夠在工作上巧妙地平衡細節和整體策略的資安長將成為數位企業比過往任何時候都更加需要的高績效願景領導者。
想了解更多關於網路風險管理的資訊,請參考以下資源: