我們知道公司面臨網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，實(shí)際上董事會(huì)也知道。他們清楚網(wǎng)絡(luò)安全是個(gè)商業(yè)問(wèn)題，也知道自己應(yīng)該關(guān)注這一問(wèn)題對(duì)業(yè)務(wù)意味著什么。但是，董事會(huì)往往對(duì)自己可以做點(diǎn)什么沒(méi)有一個(gè)具體的概念。

[[158081]]

一個(gè)不錯(cuò)的建議就是，將某安全事件，如數(shù)據(jù)泄露與董事會(huì)熟悉事情聯(lián)系起來(lái)，然后再落到重要的安全控制上去。

這一方法能使你的董事會(huì)對(duì)情況多些了解，也能增加你安全策略的可信度。以下是使用這一方法的3個(gè)例子：

1. 網(wǎng)絡(luò)劃分、身份驗(yàn)證以及訪問(wèn)控制

內(nèi)線消息：第三方廠商的安全憑證被盜，且被用作突破某大型全球零售商網(wǎng)絡(luò)的軸心點(diǎn)。攻擊者利用這一最初的數(shù)據(jù)泄露獲取到了該零售商銷(xiāo)售終端生態(tài)系統(tǒng)的訪問(wèn)權(quán)。這個(gè)案例中，第三方廠商僅僅需要對(duì)該網(wǎng)絡(luò)非常有限的訪問(wèn)權(quán)即可，他們完全沒(méi)必要訪問(wèn)那關(guān)鍵的POS系統(tǒng)。

為什么這很重要：公司運(yùn)營(yíng)中最關(guān)鍵的一條，就是要確保每個(gè)人都能做需要他們做的所有事情。保證他們能獲取他們需要的所有東西但決不更多，是有效安全運(yùn)營(yíng)的關(guān)鍵。

你的董事會(huì)應(yīng)該考慮的：清楚最小權(quán)限原則是公司運(yùn)營(yíng)有效且安全的基本原則。這一安全控制是每家公司企業(yè)都應(yīng)該實(shí)現(xiàn)的安全基礎(chǔ)。

2. 安全意識(shí)訓(xùn)練

內(nèi)線消息：一個(gè)網(wǎng)絡(luò)釣魚(yú)騙局瞄準(zhǔn)了一家年增數(shù)百萬(wàn)設(shè)備銷(xiāo)售量的國(guó)際大牌消費(fèi)設(shè)備公司。該網(wǎng)絡(luò)釣魚(yú)騙局可用于為網(wǎng)絡(luò)罪犯投遞攻擊載荷?！锻鹕?015數(shù)據(jù)泄露調(diào)查報(bào)告》顯示：23%的用戶(hù)打開(kāi)網(wǎng)絡(luò)釣魚(yú)郵件，11%會(huì)點(diǎn)擊釣魚(yú)鏈接——意味著每10封網(wǎng)絡(luò)釣魚(yú)郵件進(jìn)入公司，就有90%的可能性至少有1名員工點(diǎn)擊了惡意鏈接。

為什么這很重要：由于網(wǎng)絡(luò)釣魚(yú)騙局越來(lái)越普遍和精心設(shè)計(jì)，員工安全訓(xùn)練變得十分重要。安全技能訓(xùn)練幫助用戶(hù)明白怎樣將安全目標(biāo)化為實(shí)踐。

你的董事會(huì)應(yīng)該考慮的：策略、規(guī)程和訓(xùn)練是公司深度防御戰(zhàn)略的關(guān)鍵部分。要保證公司具有書(shū)面的安全策略和規(guī)程有助于引導(dǎo)員工的行為。此外，訓(xùn)練員工遵循這些實(shí)踐有助于減少公司的安全風(fēng)險(xiǎn)。

3. 檢測(cè)惡意攻擊

內(nèi)線消息：一家主流社交媒體廠商不得不面對(duì)公眾數(shù)據(jù)泄露的指控。但最初看起來(lái)像是數(shù)據(jù)泄露的事件，其實(shí)只是引入到他們系統(tǒng)中的一個(gè)技術(shù)性改變引發(fā)的內(nèi)部錯(cuò)誤?，F(xiàn)在每天都有成百上千的惡意軟件攻擊發(fā)生，很多公司都可能成為分布式拒絕服務(wù)(DDoS)攻擊的受害者，這種攻擊的目的就是要讓你的目標(biāo)用戶(hù)連不上你的資源。

為什么這很重要：防護(hù)、檢測(cè)和響應(yīng)的原則就應(yīng)用在這里了。有能力保護(hù)你的邊界是非常重要的第一步。

接下來(lái)，能夠檢測(cè)出系統(tǒng)中的改變對(duì)于制定合適的響應(yīng)計(jì)劃非常關(guān)鍵。系統(tǒng)的基線配置，也就是所謂的“黃金鏡像”，將幫助你的公司區(qū)分開(kāi)“正常運(yùn)營(yíng)”的改變和惡意改變。

你的董事會(huì)應(yīng)該考慮的：利用業(yè)務(wù)單位負(fù)責(zé)人識(shí)別出關(guān)鍵數(shù)據(jù)和資產(chǎn)是關(guān)鍵一步。只要做到這一點(diǎn)，與安全和IT團(tuán)隊(duì)協(xié)作就能為這些資產(chǎn)定義出安全配置以確保公司能發(fā)現(xiàn)安全事件并做出響應(yīng)，盡快恢復(fù)到實(shí)際工作中。

利用高曝光率的數(shù)據(jù)泄露事件來(lái)夯實(shí)常見(jiàn)安全風(fēng)險(xiǎn)的例子能給你的董事會(huì)提供很好的直觀教學(xué)課。這一方法能幫助他們理解自身可以怎樣幫助改進(jìn)公司的安全態(tài)勢(shì)。這一策略也是培養(yǎng)他們對(duì)公司安全態(tài)勢(shì)的支持，以及幫助鑒別適合你公司大小、產(chǎn)業(yè)和風(fēng)險(xiǎn)偏好的安全控制的絕佳方式。

原文地址：http://www.aqniu.com/neo-points/12157.html