是時候採用新的網路風險管理模式了
激增的網路攻擊面,龐大的漏洞量,複雜的威脅場景以及新的業務需求等諸多因素,都在呼籲新的網路風險管理模型的出現和運用。
當前所使用的網路風險管理模式顯然已經無法適應時代的發展需求。雖然網路風險管理對於企業高管而言比以往任何時候都更為重要,但是鑑於不斷激增的攻擊面,龐大的漏洞量以及複雜的威脅場景等因素,對於CISO和網路安全團隊而言,想要有效地實現網路風險管理卻變得更為困難。
即將釋出的ESG最新研究表明,過去發揮過作用的網路風險管理模型如今已經不再是一種合適的選擇,以下是部分調查結果提要:
企業管理者的參與程度遠遠超過以往。幾年前,企業高管的目標並不是獲取真正強大的安全性,他們想要的只是足夠好的安全性就夠了。當時的安全專業人士對這些並未付諸全力的網路安全工作感到遺憾和失落,他們迫切渴望擁有具備網路安全專業知識的執行長,能夠真正投資於強大的網路安全控制和監督工作。ESG資料表明,如今企業高管和董事會的參與度和網路安全需求都要遠勝以往。這迫使CISO和資訊保安團隊收集和分析更多的網路風險資料,並以業務友好型方式將其呈現給使用者。資料表明,這已經推動了一種新的、更全面的網路風險管理模式的出現。
網路安全支出持續增加,但也出現越來越多的限制。網路安全預算每年都在增長,並且這種趨勢還會持續下去。事實上,企業高管們確實願意增加支出以保護他們的組織,但同時他們也希望更好地瞭解他們的錢究竟花到了什麼地方?獲得了哪些投資回報?
例如,如果預算增加,也就是CISO明年要求120萬美元網路安全支出而不是原計劃的100萬美元,那麼首席財務官(CFO)就會希望瞭解這筆錢用到了哪些地方?企業為此獲得了哪些額外保護?企業高管、GRC經理和網路安全專業人員正試圖通過使用模糊指標分析不完整資料來弄清楚如何衡量網路安全支出的投資回報率。這裡迫切需要改進。
所有網路風險管理投入都在快速增長,基本的網路風險管理公式如下所示:
所以,這就是問題所在——所有的一切都在迅速增長。整體攻擊面(即裝置、資料、基於雲的工作負載、應用程式等)正在增長,從而導致更多的安全漏洞。例如,ESG研究中的一大亮點就是,各組織業務合作伙伴對第三方風險管理的需求日益增長,以防止發生類似OPM和Target的間接攻擊事件。
與此同時,威脅也正變得更具針對性和複雜性。就其產生的後果而言,企業將需要處理更多的風險型別,包括財務風險、操作風險以及聲譽風險等等。將所有這些變化疊加在一起,網路風險管理工作量就會不斷增加並且變得更為專業化,而不良的網路風險管理實踐所造成的後果必然是高風險、高成本的。
根本不存在網路風險管理基準這樣的事情。風險管理任務——例如漏洞掃描、第三方風險審計以及滲透測試等——始終都是以定期(每月一次、每季度一次、每年多次等)和獨立的方式進行。通常而言,這些活動是由審計師、法律法規甚至業務合作伙伴進行指導,而不是任何具有凝聚力和整體性風險管理策略進行指導。
這就是該方法的問題所在——一切都在不斷變化,網路風險管理的每個方面都是相互關聯的。因此,當一件事發生變化時,它就會影響其他一切。您如何做到在任何時間點對網路風險管理進行基準測試?答案是您不能!這也就意味著,我們必須接受這種認識,並努力進行持續的風險管理測量。
該研究為我們描繪了一幅清晰的圖景:網路風險管理對於管理人員來說變得越來越重要,但對於CISO和網路安全團隊來說則更為困難。
顯然,當前的網路風險管理模式已被打破,必須做出改變,而這種變化很快就會出現在我們面前。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】