信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

6月5日，2023年度Gartner安全與風險管理峰會在美國馬里蘭州正式開幕。在峰會開幕演講中，Gartner副總裁、高級分析師Leigh McMullen表示：如今許多企業(yè)組織的CISO和安全團隊感到精疲力竭，他們已經(jīng)為企業(yè)安全建設(shè)工作付出了最大的努力，卻沒有獲得符合預(yù)期的回報，其原因在于有四個常見的錯誤認知阻礙了企業(yè)充分發(fā)揮網(wǎng)絡(luò)安全的價值，并影響了安全計劃的實施與運營效果。企業(yè)組織應(yīng)恪守“最低有效”（Minimum Effective）的建設(shè)理念，才能讓網(wǎng)絡(luò)安全建設(shè)與投入為企業(yè)帶來更積極的影響。

誤區(qū)1

越多的數(shù)據(jù)意味著更好的保護

在大數(shù)據(jù)廣泛應(yīng)用的時代，利用大數(shù)據(jù)分析技術(shù)是快速提升網(wǎng)絡(luò)安全防護能力的一種有效途徑。比如說，在分析高級持續(xù)性威脅（APT）時，通過大數(shù)據(jù)分析可以大幅提升APT威脅的發(fā)現(xiàn)能力，快速有效發(fā)現(xiàn)安全異常情況，已經(jīng)成為一項不可或缺的手段。

然而不幸的是，數(shù)據(jù)越多，其中的垃圾數(shù)據(jù)也越多，如果不能有效地清理和編譯數(shù)據(jù)，對大數(shù)據(jù)的使用將會失去意義。Gartner的研究發(fā)現(xiàn)，只有三分之一的企業(yè)組織表示，他們成功地通過量化分析網(wǎng)絡(luò)風險推動了網(wǎng)絡(luò)安全的決策和行動能力。

McMullen認為，明智的CISO不應(yīng)該一味追求更多的數(shù)據(jù)和有效性未知的安全分析報告，而是要恪守最低有效洞察力（Minimum Effective Insight）原則，根據(jù)企業(yè)實際擁有的資源和能力，合理決策對數(shù)據(jù)的采集和使用。在開展安全數(shù)據(jù)分析時，CISO應(yīng)該使用以結(jié)果為導(dǎo)向的度量指標（ODM）方法，將安全和風險操作度量指標與企業(yè)最關(guān)鍵的安全防護工作目標聯(lián)系起來。

誤區(qū)2

越多的技術(shù)工具意味著更好的保護

根據(jù)Gartner的研究預(yù)測，2023年全球企業(yè)組織在網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品及服務(wù)方面的支出將超過1900億美元，同比增長12.7%。然而，即使企業(yè)在網(wǎng)絡(luò)安全工具和技術(shù)上持續(xù)加大投入，各種網(wǎng)絡(luò)安全事件仍然層出不窮，安全威脅發(fā)展態(tài)勢仍然嚴峻。

McMullen表示，企業(yè)的網(wǎng)絡(luò)安全部門往往會陷入一味購買設(shè)備的窘境，以為更先進的技術(shù)產(chǎn)品就能夠為自己帶來更好的安全性，結(jié)果不僅增加了企業(yè)安全運營工作的壓力，甚至還帶來了更大的威脅暴露面。為了真正提升網(wǎng)絡(luò)安全運營效率，企業(yè)組織應(yīng)倡導(dǎo)最低有效工具集（Minimum Effective Toolset），即只應(yīng)用實現(xiàn)安全觀察、防御和響應(yīng)所必需的最少技術(shù)。這將使網(wǎng)絡(luò)安全部門能夠真正掌控自己的網(wǎng)絡(luò)安全能力體系，降低安全運營的復(fù)雜性，避免不用安全工具間的缺乏互操作性。

對于現(xiàn)代企業(yè)組織而言，需要從運營成本的視角，評估網(wǎng)絡(luò)專業(yè)人員管理維護網(wǎng)絡(luò)安全工具的成本與回報，舍棄那些回報率低下的落后安全工具。與此同時，企業(yè)還應(yīng)該從整體網(wǎng)絡(luò)安全架構(gòu)的視角，考量各種安全工具是否具有提升企業(yè)安全防護水平的能力，以及是否具備應(yīng)用的簡單性、可組合性和互操作性。

誤區(qū)3

越完善的安全控制意味著更好的保護

實施完善的網(wǎng)絡(luò)安全控制措施是全球網(wǎng)絡(luò)安全領(lǐng)域重要的應(yīng)用實踐標準之一，旨在通過制度化的方式降低企業(yè)網(wǎng)絡(luò)安全風險，確保企業(yè)數(shù)據(jù)和關(guān)鍵業(yè)務(wù)系統(tǒng)免受黑客、網(wǎng)絡(luò)攻擊和其他在線威脅的侵害。然而，如果這些控制措施不能被組織的員工廣泛認同和嚴格遵守，一味添加更多的安全控制措施只會適得其反。

Gartner最近的一項調(diào)查發(fā)現(xiàn)，69%的受訪者在過去12個月里有違反過企業(yè)的網(wǎng)絡(luò)安全制度；74%的受訪者表示，一些安全控制措施降低了其日常工作效率，規(guī)避這些網(wǎng)絡(luò)安全制度有助于他們或團隊更好完成業(yè)務(wù)發(fā)展目標。

McMullen認為，企業(yè)的安全管理者要盡量減小安全運營工作的阻力，充分了解員工存在不安全行為的原因，并致力于提高安全管控措施的實際利用率。在很多時候，被員工們故意規(guī)避的控制措施會比沒有控制措施更糟糕。采用最低有效摩擦（Minimum Effective Friction）可以讓網(wǎng)絡(luò)安全部門準確評估安全控制措施的應(yīng)用效果，要優(yōu)先考慮用戶體驗，而不僅僅是技術(shù)的功能。據(jù)McMullen預(yù)測，50%的大型企業(yè)組織會在2027年前開始采用以人為本的安全控制實踐，盡量減少網(wǎng)絡(luò)安全建設(shè)帶來的業(yè)務(wù)影響和摩擦，并盡量提高控制措施的采用率。

誤區(qū)4

越多的專業(yè)安全人員意味著更好的保護

網(wǎng)絡(luò)安全已經(jīng)成為困擾企業(yè)數(shù)字化轉(zhuǎn)型的最大瓶頸之一，很多企業(yè)將這一情況歸咎于只有網(wǎng)絡(luò)安全專業(yè)人員才能從事專業(yè)網(wǎng)絡(luò)工作，而目前人才市場上的網(wǎng)絡(luò)安全專業(yè)人員供不應(yīng)求，因此企業(yè)難以構(gòu)建滿足發(fā)展需求的安全運營團隊。

McMullen認為，只有向公司所有員工普及網(wǎng)絡(luò)安全專業(yè)知識，而不是試圖通過招聘填補專業(yè)人才缺口，這才是解決以上發(fā)展問題的根本之道。隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入發(fā)展，組織CISO的角色定位已經(jīng)轉(zhuǎn)變成應(yīng)對數(shù)字化發(fā)展風險的決策參與者和推動者。因此，CISO不能只從技術(shù)和自動化的角度思考問題，而應(yīng)與各部門員工廣泛接觸交流，以影響決策制定，并確保每個員工都能夠掌握適當?shù)男畔ⅲ诒Ｕ习踩那疤嵯麻_展數(shù)字化工作，從而減輕安全團隊的工作負擔。