破坏安全计划成功的圈套
发布时间:2022-07-26 16:13:59 所属栏目:安全 来源:互联网
导读:事实表明,一些规模最大的数据泄露事件通常源于小错误。 在今年5月发生的针对Colonial管道进行的网络攻击事件中,黑客使用该公司泄露的密码通过虚拟专用网络入侵Colonial公司的网络;Equifax公司在2017年遭遇网络攻击的切入点是一个尚未修补的广为人知的漏洞;
|
事实表明,一些规模最大的数据泄露事件通常源于小错误。 在今年5月发生的针对Colonial管道进行的网络攻击事件中,黑客使用该公司泄露的密码通过虚拟专用网络入侵Colonial公司的网络;Equifax公司在2017年遭遇网络攻击的切入点是一个尚未修补的广为人知的漏洞;而推特的比特币骗局始于对推特公司员工的鱼叉式网络钓鱼攻击。 虽然并没有完美的安全计划,但此类事件表明网络安全团队不能忽视任何事情。 网络安全领导者表示,企业需要警惕8个容易忽视的陷阱,这些陷阱可能会破坏一些企业原本成功的安全计划: 1.关注技术风险而不是业务风险 联合国项目事务署首席信息安全官、国际信息系统审计与控制协会(ISACA)的董事会成员Niel Harper表示,网络安全已成为企业董事会成员关注的话题,但首席信息安全官以及其他高管往往继续将安全视为一种技术风险而不是业务风险。 Harper表示,当企业领导者狭隘地看待网络安全时将会带来负面影响。 2.过分强调合规性 通常情况下,企业必须遵循行业、监管和法律标准才能更好开展业务。其中著名的法规包括支付卡行业数据安全标准(PCI DSS),适用于处理信用卡的企业;美国健康保险流通与责任法案(HIPAA),适用于处理医疗记录的任何人;以及欧盟的通用数据保护条例(GDPR)。此外,还有专门针对安全性的标准和框架,例如ISO/IEC27001标准。 Harper表示,企业不能忽视合规标准的重要性,首席信息安全官必须始终知道,并让其他高管了解这些要求不是动态的,因此可能无法解决新出现的网络威胁,也无法根据具体情况(即人员配备、技术堆栈、风险)准确衡量企业的安全性如何随着时间的推移而改变。 他说:“这样做并不能真正了解企业面临的风险和问题。” 3.在安全方面的动作不够快 很多企业正在通过迁移到云平台、更敏捷的软件开发,以及对客户需求的快速响应来加速实施数字化转型。一些安全顾问指出,并非所有首席信息安全官都能跟上安全发展步伐,这导致了企业安全状况的整体差距。 一些企业也表达了类似的担忧。根据GitLab公司于2021年5月发布的一份最新全球DevSecOps调查报告,在针对4300名的开发人员的调查中,约84%的受访者表示,他们发布代码的速度比以往任何时候都快,但近一半(42%)的受访者表示,安全测试在发布过程中则太晚,而几乎相同比例的受访者表示,很难识别和解决安全漏洞。此外,37%的受访者表示跟踪缺陷修复的状态是一项挑战,33%的受访者认为修复优先级难以确定。 UST公司首席信息安全官Tony Velleca说,“安全方面需要更加敏捷,首席信息安全官需要从根本上以不同的方式思考他们如何处理网络安全问题。” 许多首席信息安全官似乎都明白了这一点。GitLab公司在调查中发现,70%的开发团队在开发早期就考虑了安全性。这比前一年略有上升,当时65%的开发团队表示他们在开发的早期就嵌入了安全性。 4.总是把注意力集中在紧急的事情上 德勤公司首席信息安全官兼网络风险服务战略、防御与响应负责人Andrew Morrison表示,安全计划面临的最大威胁之一是被安全团队被紧急事项所困扰。 他说,首席信息安全官和他们的团队可能会忙于处理面临的最紧迫的需求——即使这些是低级问题,以至于他们没有时间和精力解决战略优先事项;他们每天都在尽力解决那些突然出现的小问题,而不是加强企业更关键元素的安全性。 5.过分关注工具和技术,而不是利益相关者及其需求 同样,调研机构Forrester公司的首席分析师Jinan Budge表示,未能优先考虑利益相关者的参与可能会阻碍安全计划的实施。 她解释道,“没有这些计划,首席信息安全官不知道优先考虑什么或如何获得支持。没有优先考虑利益相关者参与的首席信息安全官也更有可能面临其他高管的抵制,甚至他们的项目资金可能被削减。首席信息安全官因此需要审视他们的战略。” 她表示,除非他们与利益相关者密切合作,共同创建和设计业务战略和网络安全战略,否则他们不会全面了解企业的业务风险。 6.在安全部门内缺乏安全意识 行业专家表示,只是建立一支强大的安全团队,但未能在企业中营造具有安全意识的文化,也可能影响安全性。 统计数据证明了这一点。根据Verizon公司在2021年发布的一份数据泄露调查报告,2020年85%的数据泄露事件与人为因素有关。 正如云计算技术开发商Accurics公司的首席信息安全官兼研究主管Om Moolchandani所说:“点击错误的链接可能会破坏首席信息安全官发布的议程。” 首席信息安全官必须制定有效的安全意识和培训计划,旨在帮助企业员工了解他们在安全方面可以发挥作用。 Morrison说。“安全文化很重要,因为它是首席信息安全官及其安全团队的力量倍增器。如今,几乎每一次网络攻击都是通过破坏凭据或违反个人信任来实现的,例如社交工程、网络钓鱼、获取密码。因此,有效的安全措施必须包括让每个人都意识到这些风险;包括让安全成为每个人的工作的一部分。” 7.忽视自己的安全人员 经验丰富的安全领导者表示,忽视团队成员和安全部门文化的首席信息安全官很快就会发现安全计划受到影响。 Budge说,“人们通常认为运作不良的团队会影响成员的发展,它也会影响网络安全态势和风险。”Budge的研究重点是如何使首席信息安全官获得成功,制定变革性的网络安全战略,并培养安全意识、行为和文化。 她补充说:“如果安全团队不堪重负,没有采用创新技术,没有实现自动化,也没有考虑更大的图景或战略。这些因素都会导致安全团队难以发挥关键作用。” 对现状不满意的员工更有可能离职。这可能会使首席信息安全官面临人员短缺的情况,这也会对团队产生负面影响。她说,“员工离职将进一步增加安全团队的负面印象,而员工之间可能难以更好沟通和交流。” (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号