當(dāng)今的CISO如何理解“主動(dòng)安全”?在威脅發(fā)生之前做好準(zhǔn)備，并提前規(guī)劃應(yīng)對(duì)措施，需要充分的準(zhǔn)備和正確的策略。

冰球傳奇Wayne Gretzky曾分享他在冰上成功的秘訣：“我滑向冰球?qū)⒁サ牡胤?，而不是它已?jīng)去過(guò)的地方?！?/p>

安全團(tuán)隊(duì)若能在工作中采用Gretzky的這種前瞻性策略，將會(huì)大有裨益。那些專(zhuān)注于安全計(jì)劃未來(lái)目標(biāo)的團(tuán)隊(duì)，比起那些僅僅對(duì)已經(jīng)發(fā)生的事件做出反應(yīng)的團(tuán)隊(duì)，更能贏得勝利。

如今，“主動(dòng)安全”已成為行業(yè)內(nèi)的流行詞匯，許多聲音呼吁CISO從被動(dòng)安全轉(zhuǎn)向主動(dòng)安全。今年早些時(shí)候，研究公司Omdia對(duì)北美、英國(guó)和歐洲的400多名安全決策者進(jìn)行了調(diào)查，結(jié)果顯示47%的受訪(fǎng)者表示，他們的首要目標(biāo)之一是“通過(guò)主動(dòng)安全減少威脅的機(jī)會(huì)”。

那么，主動(dòng)網(wǎng)絡(luò)安全究竟意味著什么?雖然定義各異，但簡(jiǎn)單來(lái)說(shuō)，它指的是更加注重為未來(lái)做準(zhǔn)備，識(shí)別未來(lái)的威脅以及惡意行為者使用的戰(zhàn)術(shù)、技術(shù)和程序(TTP)，然后提前實(shí)施措施進(jìn)行應(yīng)對(duì)。

主動(dòng)安全可能意味著重新評(píng)估團(tuán)隊(duì)和策略

“在職能內(nèi)工作和在職能上工作之間需要取得平衡，這就是我認(rèn)為被動(dòng)和主動(dòng)之間的區(qū)別?！盜ANS Research的教職員工兼公共部門(mén)CISO Wolfgang Goerlich表示，該公司是一家位于波士頓的網(wǎng)絡(luò)安全研究和咨詢(xún)公司。

“在職能上工作就是主動(dòng)安全，安全團(tuán)隊(duì)需要養(yǎng)成暫時(shí)跳出日常工作、休息片刻的習(xí)慣，用全新的視角審視如何架構(gòu)事務(wù)，思考是否擁有合適的人才和流程，以及技術(shù)和對(duì)手正在如何變化?！?/p>

當(dāng)然，安全團(tuán)隊(duì)必須保持強(qiáng)大的響應(yīng)能力，以便在事件發(fā)生時(shí)能夠識(shí)別、控制并從中恢復(fù)，Goerlich和其他高級(jí)安全領(lǐng)導(dǎo)者如是說(shuō)。

但他們也強(qiáng)調(diào)安全需要更加主動(dòng)的原因，因?yàn)檫@使得CISO及其團(tuán)隊(duì)和企業(yè)能夠領(lǐng)先于威脅，從而提高擊敗網(wǎng)絡(luò)對(duì)手的機(jī)會(huì)。

CISO繁重的工作可能阻礙主動(dòng)規(guī)劃

提前規(guī)劃并不容易，尤其是在網(wǎng)絡(luò)安全領(lǐng)域，日益增多且復(fù)雜化的威脅使得許多防御者一直處于被動(dòng)狀態(tài)。CISO及其團(tuán)隊(duì)的日程已經(jīng)排得滿(mǎn)滿(mǎn)當(dāng)當(dāng)，處理諸如修補(bǔ)漏洞和向監(jiān)管機(jī)構(gòu)及董事會(huì)報(bào)告等緊急任務(wù)，讓他們難以騰出精力轉(zhuǎn)向更加主動(dòng)的安全策略。正如Goerlich所說(shuō)：“壓力越大，能看得多遠(yuǎn)就越有限?！?/p>

此外，還有一個(gè)相關(guān)的挑戰(zhàn)，即需要跟蹤并緩解越來(lái)越多的風(fēng)險(xiǎn)和威脅。Gretzky可能只需要滑向即將出現(xiàn)的冰球，但安全團(tuán)隊(duì)卻要面對(duì)“多個(gè)冰球和許多隊(duì)伍在同一個(gè)冰場(chǎng)上”，Goerlich指出。

CISO可以采取多種措施，將單純的被動(dòng)安全計(jì)劃轉(zhuǎn)變?yōu)楦玫仄胶庵鲃?dòng)與被動(dòng)的安全計(jì)劃。例如，許多CISO已經(jīng)實(shí)施了威脅狩獵計(jì)劃，還有一些參與了ISAC和其他信息共享實(shí)體。以下是幫助CISO領(lǐng)先于威脅的四個(gè)額外行動(dòng)。

1. 安全框架可以幫助構(gòu)建主動(dòng)性

金融科技咨詢(xún)公司Profinch的副總裁兼CISO、ISACA新興趨勢(shì)工作組成員Chetan Anand表示，他使用安全框架幫助他的團(tuán)隊(duì)“預(yù)見(jiàn)并防止問(wèn)題發(fā)生”，從而將他的安全計(jì)劃轉(zhuǎn)變?yōu)楦又鲃?dòng)的模式。

Anand使用的是ISACA的數(shù)字信任生態(tài)系統(tǒng)框架(DTEF)，該框架于2024年初發(fā)布，旨在與其他現(xiàn)有框架和最佳實(shí)踐兼容，包括COBIT、ITIL、GDPR以及多個(gè)ISO和NIST標(biāo)準(zhǔn)。

他說(shuō)，遵循框架能夠幫助安全打破孤島，專(zhuān)注于彈性，提升對(duì)安全操作的可見(jiàn)性，在問(wèn)題變成隱患之前識(shí)別潛在問(wèn)題，并為新興風(fēng)險(xiǎn)做好準(zhǔn)備(因?yàn)檫@些框架本身也會(huì)隨著威脅環(huán)境的變化而演變)。

Anand表示，他通過(guò)ISACA的DTEF集成了ISO 27001:2022信息安全管理系統(tǒng)要求、ISO 9001:2015質(zhì)量管理系統(tǒng)要求以及ISO 31000:2018風(fēng)險(xiǎn)管理指南——這是他還遵循的三個(gè)標(biāo)準(zhǔn)。

他指出，這一切都有助于優(yōu)化安全成本并提高資源效率，節(jié)省下來(lái)的資源可以重新用于前瞻性活動(dòng)，而不是被動(dòng)應(yīng)對(duì)。他補(bǔ)充道，“這有助于更好的規(guī)劃和準(zhǔn)備?！?/p>

他還表示，遵循框架讓安全團(tuán)隊(duì)更好地支持業(yè)務(wù)增長(zhǎng)，因?yàn)榘踩珗F(tuán)隊(duì)可以向新客戶(hù)和業(yè)務(wù)合作伙伴展示其已經(jīng)實(shí)施了適當(dāng)?shù)拇胧﹣?lái)應(yīng)對(duì)未來(lái)的挑戰(zhàn)?！耙虼?，這也是一個(gè)戰(zhàn)略?xún)?yōu)勢(shì)。”他補(bǔ)充道。

其他CISO似乎也同意Anand對(duì)使用框架的重視，研究顯示大多數(shù)CISO至少使用一個(gè)框架，然而，這種使用并非在所有企業(yè)安全團(tuán)隊(duì)中都普遍存在，表明仍有改進(jìn)空間。

2. 采用持續(xù)改進(jìn)的安全計(jì)劃方法

Info-Tech安全與隱私實(shí)踐的研究分析師Ahmad Jowhar表示，他聽(tīng)到很多CISO談?wù)摬扇「鲃?dòng)的姿態(tài)——他將其描述為“在威脅和漏洞滲透或影響企業(yè)之前預(yù)測(cè)并應(yīng)對(duì)?！?/p>

換句話(huà)說(shuō)，他表示，這意味著今天采取行動(dòng)，以減輕明天的威脅。

Jowhar指出，安全評(píng)估、安全培訓(xùn)和全體員工的技能提升，以及構(gòu)建安全意識(shí)的企業(yè)文化，都有助于建立主動(dòng)的安全姿態(tài)。

但他還建議CISO采用持續(xù)改進(jìn)的方式來(lái)管理其安全計(jì)劃——類(lèi)似于許多軟件產(chǎn)品團(tuán)隊(duì)和典型企業(yè)中其他職能領(lǐng)域使用的持續(xù)改進(jìn)流程。

“我們看到威脅在不斷演變并變得更加復(fù)雜，因此CISO也需要不斷進(jìn)步，”他解釋道，“他們需要始終采取措施進(jìn)行改進(jìn)，不能認(rèn)為昨天實(shí)施的方案今天和明天依然有效，這是主動(dòng)安全的標(biāo)志。”

Jowhar指出，CISO可以通過(guò)各種啟發(fā)性步驟來(lái)做到這一點(diǎn)。

其中一個(gè)步驟是識(shí)別企業(yè)的主要業(yè)務(wù)目標(biāo)，并確保安全策略與這些目標(biāo)保持一致并提供支持。

另一個(gè)關(guān)鍵步驟是了解當(dāng)前安全計(jì)劃的狀態(tài)，明確未來(lái)理想的狀態(tài)，并詳細(xì)說(shuō)明如何實(shí)現(xiàn)這一目標(biāo)?！叭绻悻F(xiàn)在處于2級(jí)，那就要找出如何提升到5級(jí)。列出從2級(jí)到3級(jí)，再?gòu)?級(jí)到4級(jí)，最后到5級(jí)的漸進(jìn)步驟，并為這些步驟爭(zhēng)取業(yè)務(wù)上的支持?！盝owhar解釋道。

3. 定期舉行以未來(lái)為重點(diǎn)的會(huì)議

正如Goerlich指出的那樣，想要打造更主動(dòng)安全計(jì)劃的CISO需要著眼未來(lái)。為了確保他有時(shí)間做到這一點(diǎn)，Goerlich每季度都會(huì)安排一次定期的外出會(huì)議，他和團(tuán)隊(duì)在會(huì)上討論即將發(fā)生的變化。

“這為我們建立了一個(gè)流程和節(jié)奏，幫助我們擺脫日常事務(wù)，從而看到更大的全局，”他解釋道，“我們從頭開(kāi)始，看看下個(gè)季度將會(huì)發(fā)生什么變化，問(wèn)自己需要為哪些情況做好準(zhǔn)備，我們回顧一下，看看哪些做得好，哪些不夠好，然后我們?cè)O(shè)定目標(biāo)，以便繼續(xù)前進(jìn)。”

Goerlich表示，他經(jīng)常邀請(qǐng)外部的安全專(zhuān)家，如供應(yīng)商高管和其他思想領(lǐng)袖，參加這些會(huì)議，聽(tīng)取他們對(duì)威脅演變的見(jiàn)解，以及新興的安全工具和技術(shù)來(lái)應(yīng)對(duì)這些威脅，他有時(shí)還會(huì)邀請(qǐng)公司內(nèi)部的高管同事，以便他們分享自己的計(jì)劃和策略——這有助于確保安全工作與業(yè)務(wù)需求保持一致，推動(dòng)企業(yè)前進(jìn)。

他已經(jīng)看到了這種努力帶來(lái)的效果，他舉例說(shuō)明，在一次外出會(huì)議上，團(tuán)隊(duì)發(fā)現(xiàn)了其特權(quán)訪(fǎng)問(wèn)管理(PAM)流程中的挑戰(zhàn)，特別是該流程所需的大量手動(dòng)步驟。

“這是那種企業(yè)多年來(lái)逐步建立起來(lái)的流程，在當(dāng)時(shí)看來(lái)完全合理，但隨著時(shí)間推移，情況發(fā)生了變化，流程不再運(yùn)作良好?！盙oerlich解釋道。

因此，團(tuán)隊(duì)對(duì)PAM計(jì)劃進(jìn)行了重新設(shè)計(jì)，減少了步驟，并用新工具取代了舊工具，創(chuàng)建了一個(gè)更加自動(dòng)化、更加高效且更安全的流程。

Goerlich表示，這個(gè)例子說(shuō)明了定期召開(kāi)以預(yù)見(jiàn)性為重點(diǎn)會(huì)議的價(jià)值，以及采取主動(dòng)措施如何轉(zhuǎn)化為更好的安全性。他解釋說(shuō)，重新設(shè)計(jì)的PAM流程提高了操作效率，減少了安全團(tuán)隊(duì)為了支持依賴(lài)大量手動(dòng)操作的傳統(tǒng)流程所需的緊急應(yīng)對(duì)工作量。

4. 在企業(yè)內(nèi)創(chuàng)建并掌控網(wǎng)絡(luò)安全敘事

全球情報(bào)與網(wǎng)絡(luò)安全咨詢(xún)公司S-RM的美洲網(wǎng)絡(luò)安全咨詢(xún)主管Michael Clark表示，CISO面臨的最大挑戰(zhàn)之一是獲得足夠的支持和資源，以建立一個(gè)具備彈性的安全計(jì)劃，該計(jì)劃能夠在未來(lái)防護(hù)活動(dòng)與響應(yīng)能力之間取得適當(dāng)?shù)钠胶狻?/p>

Clark將這一問(wèn)題很大程度上歸咎于典型企業(yè)中當(dāng)前的網(wǎng)絡(luò)安全敘事?tīng)顟B(tài)，他表示，CISO的敘事往往通過(guò)另一位高管傳達(dá)給董事會(huì)，而這位高管常常對(duì)威脅形勢(shì)和企業(yè)的安全狀況呈現(xiàn)出一個(gè)“更加樂(lè)觀(guān)的畫(huà)面”。

“CISO想要傳達(dá)的信息并沒(méi)有傳達(dá)到董事會(huì)，”他說(shuō)，并補(bǔ)充道，CISO需要一個(gè)與董事會(huì)溝通的渠道，“讓他們能夠以不被那個(gè)[溝通人]粉飾的方式提出他們的擔(dān)憂(yōu)?！?/p>

他說(shuō)，這對(duì)領(lǐng)先一步至關(guān)重要。

“威脅和監(jiān)管環(huán)境在變化，技術(shù)的復(fù)雜性也在不斷演進(jìn)。如果CISO得不到他們需要的支持，就很難在這些變化中保持領(lǐng)先地位?！彼忉尩馈?/p>

能夠向CEO和董事會(huì)清晰表達(dá)安全動(dòng)態(tài)，并成功爭(zhēng)取所需資源，這一直是CISO面臨的長(zhǎng)期挑戰(zhàn)。

2024年SPMB Executive Search的調(diào)查數(shù)據(jù)反映了這一問(wèn)題，調(diào)查發(fā)現(xiàn)，只有27%的CISO在2024年直接向CEO匯報(bào)(相比2023年的22%有所上升)，且只有54%的CISO至少每季度向董事會(huì)匯報(bào)一次，調(diào)查還發(fā)現(xiàn)，5%的CISO根本不向董事會(huì)匯報(bào)。

盡管其他調(diào)查顯示，向CEO和董事會(huì)匯報(bào)的CISO比例較高，但整體研究表明，CISO直接接觸董事會(huì)的情況仍然并不普遍或頻繁。

為了應(yīng)對(duì)這些挑戰(zhàn)并獲得實(shí)施主動(dòng)安全措施所需的資源，Clark建議CISO們“創(chuàng)造一種敘事，說(shuō)明安全如何賦能業(yè)務(wù)、保護(hù)業(yè)務(wù)、支持品牌并提升投資者的信任?！?/p>

他說(shuō)，CISO應(yīng)該衡量并報(bào)告與風(fēng)險(xiǎn)相關(guān)的關(guān)鍵指標(biāo)，展示這些安全措施如何與業(yè)務(wù)需求和戰(zhàn)略保持一致，并支持它們，然后，利用這些信息講述安全工作的故事，并指出需要改進(jìn)的領(lǐng)域。

“領(lǐng)導(dǎo)者不希望向董事會(huì)傳遞負(fù)面信息，而CISO也不希望被指責(zé)為夸大其詞，因此他們必須創(chuàng)造并掌控?cái)⑹拢麄冃枰獙W(xué)會(huì)如何闡明自己如何支持業(yè)務(wù)、如何保護(hù)品牌，然后從另一個(gè)角度說(shuō)明存在的問(wèn)題、如何解決這些問(wèn)題，以及如何優(yōu)先處理這些工作?！盋lark說(shuō)道。

Clark曾與一位CISO客戶(hù)合作，該客戶(hù)向董事會(huì)匯報(bào)時(shí)說(shuō)安全團(tuán)隊(duì)已經(jīng)識(shí)別了98%的需要保護(hù)的終端，而沒(méi)有說(shuō)明如何識(shí)別剩下的2%，有多少終端得到了保護(hù)，這為什么重要，關(guān)閉保護(hù)缺口需要什么，以及不采取行動(dòng)的風(fēng)險(xiǎn)。

“他們應(yīng)該說(shuō)，‘這是我們?cè)诋?dāng)前預(yù)算下能做到的事情，如果我們想做更多或加快速度，這就是安全所需要的?！盋lark說(shuō)道。

他補(bǔ)充道，這樣坦誠(chéng)的討論更有可能讓CISO獲得他們所需的資源，以便實(shí)施安全措施，幫助他們領(lǐng)先于被動(dòng)應(yīng)對(duì)模式。