在很多公司和机构中,管理层通常依据自己对网络风险的认知,来决定网络安全安全的建设方向、建设重点和投入成本。
但由于其本身在陌生领域认识的局限性、滞后性和偏差性等。因此在开展网络安全的建设过程中,常出现以下多种现象:
1. 安全建设满足合规要求就好。一些管理层们认为机构安全仅需要遵从合规要求就够了,并不愿意在安全上进行过多的投入。在实践中,合规要求是帮助机构建立良好的网络安全基线并解决已知的漏洞。但合规要求没有能充分解决和应对新的、动态的安全威胁或对复杂的攻击对手。正确的做法应该是使用基于风险评估的方法来应用最新的网络安全标准和业界最佳实践,这样比仅遵从合规能更全面和更有效地管理网络风险。
2. 过于轻信己方的安全防护能力。事实上,这些年来发生的诸多攻击事件表明,机构的网络安全防护并不是想象中的钢铁长城,在外部APT攻击以及恶意内部人员的面前,机构的网络处于巨大的威胁中。幸运的是,很多企业CISO们认为威胁形势其实十分严峻,国外公司的研究报告表明83% 的 CISO 表示,过去三年外部威胁带来的挑战不断攀升,42% 的表示外部威胁显著增加; 59% 的 CISO 强烈赞同,攻击者的水平超过了企业的防御水平。因此建议通过定期和全面的安全评估来检查真实的安全防护能力。
3. 不觉得己方将遭受到攻击,认为攻击的几率和可能性非常低。这种考虑有些基于国情的考虑,认为国内处罚严厉,黑客不敢发起攻击。有些则认为己方属于小型机构或非关键基础信息设施行业,不会引起黑客的注意。但是,最近发生的勒索病毒事件以及国外机构对境内金融机构进行DDOS攻击并进行勒索的事件证明了上诉观点的错误。
4. 期望通过某种解决方案解决绝大部分的安全问题。网络安全是一个内容涵盖非常广泛的领域,因此在网络安全建设中,不存在银子弹的解决方案,每一种方案都只能提供一定范围和一定程度上的安全防护。在这其中尤其要注意两种错误的观念,一个是认为只要有完善的外网安全防护,内网就安全;另一个是认为业务生产网和其它网络已实现物理或逻辑隔离,因此业务网是安全的。实践中,因持有这两种观点而遭遇惨重损失的企业机构案例非常之多,值得管理层们警惕。
5. 重视技术层面的投入而忽略对人员的投入。战争中,决定战争胜负的是人的因素,网络安全建设也遵循同样的道理。内部人员的安全技能、对设备工具的使用熟悉情况、人员的数量、工作的积极性和主动性都将直接影响安全工作的质量和执行效率。因此管理层们应该考虑进行安全人力资源的评估、招募或引进足够的安全人员数量(包括安全外包)、开展定期的安全培训以提升人员技能、优化KPI绩效考核以提升人员工作积极性。
基础的安全管理和防护手段发挥着最大的功效
目前,管理层们在度量己方机构内部网络安全建设的时候,往往会受到互联网新技术新业务的应用和开展,黑客攻击技术和手段日益先进和复杂,以及安全厂家不断推出的新产品这三个因素的影响,将资源投入到这类热点领域而忽视了企业机构最为基础的安全管理和防护。事实上,在安全领域,最为基础的安全管理防护措施发挥着最为重要的作用,国外咨询机构的研究报告中就显示超过75%的安全漏洞可以通过基础的控制措施进行防护[4],因此管理层们应该把如何做好基础的控制措施放在首要和优先的位置 (在机构有更多资源的情况下可进一步扩充和提升全面安全防护能力)。一般来说,这些基础控制措施包括:
1. 有效和更新的管理制度和流程机制
2. 有效的网络边界隔离与防护
3. 定期/不定期的安全评估
4. 严格的权限账户管控
5. 配置操作规范和安全审计
6. 安全漏洞的发现与修补
7. 桌面终端安全防护
8. 持续的内部人员安全培训
9. 第三方服务及供应链的安全管控
10. 安全应急预案编制与应急演练
网络安全中的基础防护犹如建筑中承担抗震关键的柱子和房梁。做好基础防护则意味着企业机构达到了应有的安全基线,同时也获得了最大程度的安全投入回报。
积极的应对和恰当的改进可帮助建立更为有效的网络安全
正如网络攻击者不断的寻找漏洞,不断的改进其攻击手段以提高攻击成功率一样,企业机构也需要针对网络风险的变化及时的进行调整。在这种情况下,管理层们应该主动开展和进行一些有利的变革改进以适应新的合规、新的法律框架、以及新的风险应对要求。这些变革改进包括组织架构、企业安全策略、安全管理机制、安全技术等层面,下面给出一些变革的方向和内容以供管理层们参考。
改变并提升对网络安全的支持程度。网络安全的问题会威胁到企业的各个层面,并带来商业和声誉的双重损失,因此,企业机构的网络安全不再只是 IT 部门的问题,仅有CSO或CISO的支持是不够的。管理层们均有责参与到企业安全管理中。离开了管理层决策层领导的集体支持,则难以建立一个有效的网络安全防护。调查表明自2013年起,有31%—32%的受访者称,管理层意识和支持的缺乏对网络安全的有效性产生了不利影响。
提升安全管理层的发言权重。一些机构并没有设立CSO或CISO的职位,或者CSO和CISO并没有能够进入到公司的决策层(或董事会)(国外著名咨询机构的研究报告表明约有75%的受访者表示其负责网络安全的人没有进入董事会[5])。这样将导致网络安全的问题和建议没有能够被决策层给予足够的重视,从而没有获得对网络安全应有的建设支持。
改进管理层汇报报告的质量和内容。研究表明在给决策层呈报的报告中,存在着两个突出的问题。一个是网络安全的内容偏低,约25%的报告会阐述提及威胁等级;另一个问题是网络安全的内容没有能够以决策层能看懂的业务语言来进行描述。因此导致决策层不能完全了解和理解当前机构所面临的风险,进而对网络安全建设产生了不利影响。
提升应对危机的处置能力。现在绝大多数的企业机构普遍均建立了基于技术层面的网络安全应急预案。然而,很多机构缺乏以下三种应急预案。第一种是对于发生事件之后如何邀请执法机构介入的应急预案,第二种是如何配合监管和执法机构进行事件调查与处置的应急预案,第三种是如何在媒体上发布应对消息以缓解或消除造成的社会影响及公众质疑的应急预案。建议领导层考虑增加以上应急处置内容和程序,确保企业机构更加有效地应对安全危机。
提升对客户信息的保护水平。随着国家《网络安全法》的颁布实施,国家在法规层面显著提升了对个人信息的保护要求。
