破坏安全计划成功的8个圈套
发布时间:2022-07-28 12:08:28 所属栏目:安全 来源:互联网
导读:事实表明,一些规模最大的数据泄露事件通常源于小错误。 在今年5月发生的针对Colonial管道进行的网络攻击事件中,黑客使用该公司泄露的密码通过虚拟专用网络入侵Colonial公司的网络;Equifax公司在2017年遭遇网络攻击的切入点是一个尚未修补的广为人知的漏洞;
|
事实表明,一些规模最大的数据泄露事件通常源于小错误。 在今年5月发生的针对Colonial管道进行的网络攻击事件中,黑客使用该公司泄露的密码通过虚拟专用网络入侵Colonial公司的网络;Equifax公司在2017年遭遇网络攻击的切入点是一个尚未修补的广为人知的漏洞;而推特的比特币骗局始于对推特公司员工的鱼叉式网络钓鱼攻击。 虽然并没有完美的安全计划,但此类事件表明网络安全团队不能忽视任何事情。 网络安全领导者表示,企业需要警惕8个容易忽视的陷阱,这些陷阱可能会破坏一些企业原本成功的安全计划: 1.关注技术风险而不是业务风险 联合国项目事务署首席信息安全官、国际信息系统审计与控制协会(ISACA)的董事会成员Niel Harper表示,网络安全已成为企业董事会成员关注的话题,但首席信息安全官以及其他高管往往继续将安全视为一种技术风险而不是业务风险。 Harper表示,当企业领导者狭隘地看待网络安全时将会带来负面影响。 他解释道,“当他们将信息安全视为技术风险而不是业务风险时,就不会看到这样的风险会嵌入业务的各个方面。因此,首席信息安全官通常不会向企业董事会成员报告这种风险,而是向下通知相关负责人员。” Harper说,已经看到一些首席信息安全官通过与利益相关者建立良好关系来扭转这种局面。他们加强沟通以了解风险和目标,然后向董事会成员展示其安全计划如何解决这两方面的问题。 2.过分强调合规性 通常情况下,企业必须遵循行业、监管和法律标准才能更好开展业务。其中著名的法规包括支付卡行业数据安全标准(PCI DSS),适用于处理信用卡的企业;美国健康保险流通与责任法案(HIPAA),适用于处理医疗记录的任何人;以及欧盟的通用数据保护条例(GDPR)。此外,还有专门针对安全性的标准和框架,例如ISO/IEC27001标准。 Harper指出,首席信息安全官不能忽视他们必须满足的合规性标准,但他们和安全团队成员都不应该认为只要满足法规就证明其行为是安全可靠的。 他补充道:“合规性为企业带来了一种虚假的安全感。事实上,虽然许多企业遵守了这些法规,但违规行为仍在增加。” Harper表示,企业不能忽视合规标准的重要性,首席信息安全官必须始终知道,并让其他高管了解这些要求不是动态的,因此可能无法解决新出现的网络威胁,也无法根据具体情况(即人员配备、技术堆栈、风险)准确衡量企业的安全性如何随着时间的推移而改变。 他说:“这样做并不能真正了解企业面临的风险和问题。” 3.在安全方面的动作不够快 很多企业正在通过迁移到云平台、更敏捷的软件开发,以及对客户需求的快速响应来加速实施数字化转型。一些安全顾问指出,并非所有首席信息安全官都能跟上安全发展步伐,这导致了企业安全状况的整体差距。 一些企业也表达了类似的担忧。根据GitLab公司于2021年5月发布的一份最新全球DevSecOps调查报告,在针对4300名的开发人员的调查中,约84%的受访者表示,他们发布代码的速度比以往任何时候都快,但近一半(42%)的受访者表示,安全测试在发布过程中则太晚,而几乎相同比例的受访者表示,很难识别和解决安全漏洞。此外,37%的受访者表示跟踪缺陷修复的状态是一项挑战,33%的受访者认为修复优先级难以确定。 UST公司首席信息安全官Tony Velleca说,“安全方面需要更加敏捷,首席信息安全官需要从根本上以不同的方式思考他们如何处理网络安全问题。” 许多首席信息安全官似乎都明白了这一点。GitLab公司在调查中发现,70%的开发团队在开发早期就考虑了安全性。这比前一年略有上升,当时65%的开发团队表示他们在开发的早期就嵌入了安全性。 4.总是把注意力集中在紧急的事情上 德勤公司首席信息安全官兼网络风险服务战略、防御与响应负责人Andrew Morrison表示,安全计划面临的最大威胁之一是被安全团队被紧急事项所困扰。 他说,首席信息安全官和他们的团队可能会忙于处理面临的最紧迫的需求——即使这些是低级问题,以至于他们没有时间和精力解决战略优先事项;他们每天都在尽力解决那些突然出现的小问题,而不是加强企业更关键元素的安全性。 Morrison补充道,“对于他们来说,安全性不再实施计划,只是对正在发生的安全事件的一种战术反应。因为紧迫的事情取代了重要的事情。” Morrison指出,尽管将安全团队从这样的场景中解救出来很有挑战性,但首席信息安全官可以通过识别最大的风险并专注于应对这些风险,从而使安全工作与企业优先级保持一致。这反过来将使他们和安全团队在处理出现的问题时变得不那么被动,更具战略性。Morrison说:“首席信息安全官致力于管理安全事件,而不仅仅是对事件做出反应。” (编辑:我爱制作网_潮州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330565号