從被動轉向主動CISO提升網路安全前瞻性的四大策略

2024.09.12

當今的CISO如何理解「主動安全」?在威脅發生之前做好準備,並提前規劃應對措施,需要充分的準備和正確的策略。

冰球傳奇Wayne Gretzky曾分享他在冰上成功的秘訣:“我滑向冰球將要去的地方,而不是它已經去過的地方。”

安全團隊若能在工作中採用Gretzky的這種前瞻性策略,將會大有裨益。那些專注於安全計畫未來目標的團隊,比起那些僅僅對已經發生的事件做出反應的團隊,更能贏得勝利。

如今,「主動安全」已成為業界的流行詞彙,許多聲音呼籲CISO從被動安全轉向主動安全。今年早些時候,研究公司Omdia對北美、英國和歐洲的400多名安全決策者進行了調查,結果顯示47%的受訪者表示,他們的首要目標之一是「透過主動安全減少威脅的機會」。

那麼,主動網路安全究竟意味著什麼?雖然定義各異,但簡單來說,它指的是更加註重為未來做準備,識別未來的威脅以及惡意行為者使用的戰術、技術和程序(TTP),然後提前實施措施進行因應。

主動安全可能意味著重新評估團隊和策略

「在職能內工作和在職能上工作之間需要取得平衡,這就是我認為被動和主動之間的區別。」IANS Research的教職員工兼公共部門CISO Wolfgang Goerlich表示,該公司是一家位於波士頓的網絡安全研究和諮詢公司。

「在職能上工作就是主動安全,安全團隊需要養成暫時跳出日常工作、休息片刻的習慣,用全新的視角審視如何架構事務,思考是否擁有合適的人才和流程,以及技術和對手正在如何變化。 」

當然,安全團隊必須保持強大的反應能力,以便在事件發生時能夠識別、控制並從中恢復,Goerlich和其他高階安全領導者如是說。

但他們也強調安全需要更主動的原因,因為這使得CISO及其團隊和企業能夠領先於威脅,從而提高擊敗網路對手的機會。

CISO繁重的工作可能阻礙主動規劃

提前規劃並不容易,尤其是在網路安全領域,日益增加且複雜化的威脅使得許多防禦者一直處於被動狀態。 CISO及其團隊的行程已排得滿滿噹噹,處理諸如修補漏洞和向監管機構及董事會報告等緊急任務,讓他們難以騰出精力轉向更主動的安全策略。正如Goerlich所說:“壓力越大,能看得多遠就越有限。”

此外,還有一個相關的挑戰,就是需要追蹤並緩解越來越多的風險和威脅。 Gretzky可能只需要滑向即將出現的冰球,但安全團隊要面對“多個冰球和許多隊伍在同一個冰場上”,Goerlich指出。

CISO可以採取多種措施,將單純的被動安全計畫轉變為更好地平衡主動與被動的安全計畫。例如,許多CISO已經實施了威脅狩獵計劃,還有一些參與了ISAC和其他資訊共享實體。以下是幫助CISO領先威脅的四個額外行動。

1. 安全框架可以幫助建構主動性

金融科技顧問公司Profinch的副總裁兼CISO、ISACA新興趨勢工作組成員Chetan Anand表示,他使用安全框架來幫助他的團隊“預見並防止問題發生”,從而將他的安全計劃轉變為更加主動的模式。

Anand使用的是ISACA的數位信任生態系統框架(DTEF),該框架於2024年初發布,旨在與其他現有框架和最佳實踐相容,包括COBIT、ITIL、GDPR以及多個ISO和NIST標準。

他說,遵循框架能夠幫助安全打破孤島,專注於彈性,提升對安全操作的可見性,在問題變成隱患之前識別潛在問題,並為新興風險做好準備(因為這些框架本身也會隨著威脅環境的變化而演變)。

Anand表示,他透過ISACA的DTEF整合了ISO 27001:2022資訊安全管理系統要求、ISO 9001:2015品質管理系統要求以及ISO 31000:2018風險管理指南——這是他還遵循的三個標準。

他指出,這一切都有助於優化安全成本並提高資源效率,節省的資源可以重新用於前瞻性活動,而不是被動地應對。他補充道,“這有助於更好的規劃和準備。”

他還表示,遵循框架讓安全團隊更好地支持業務成長,因為安全團隊可以向新客戶和業務合作夥伴展示其已經實施了適當的措施來應對未來的挑戰。 「因此,這也是一個戰略優勢。」他補充道。

其他CISO似乎也同意Anand對使用框架的重視,研究顯示大多數CISO至少使用一個框架,然而,這種使用並非在所有企業安全團隊中都普遍存在,顯示仍有改進空間。

2. 採用持續改善的安全計畫方法

Info-Tech安全與隱私實踐的研究分析師Ahmad Jowhar表示,他聽到很多CISO談論採取更主動的姿態——他將其描述為“在威脅和漏洞滲透或影響企業之前預測並應對。”

換句話說,他表示,這意味著今天採取行動,以減輕明天的威脅。

Jowhar指出,安全評估、安全訓練和全體員工的技能提升,以及建構安全意識的企業文化,都有助於建立主動的安全姿態。

但他也建議CISO採用持續改進的方式來管理其安全計畫——類似於許多軟體產品團隊和典型企業中其他職能領域所使用的持續改善流程。

「我們看到威脅不斷演變並變得更加複雜,因此CISO也需要不斷進步,」他解釋道,「他們需要始終採取措施進行改進,不能認為昨天實施的方案今天和明天依然有效,這是主動安全的標誌。

Jowhar指出,CISO可以透過各種啟發性步驟來做到這一點。

其中一個步驟是識別企業的主要業務目標,並確保安全策略與這些目標保持一致並提供支援。

另一個關鍵步驟是了解目前安全計畫的狀態,明確未來理想的狀態,並詳細說明如何實現這一目標。 「如果你現在處於2級,那就要找出如何提升到5級。列出從2級到3級,再從3級到4級,最後到5級的漸進步驟,並為這些步驟爭取業務上的支持。

3. 定期舉行以未來為重點的會議

正如Goerlich指出的那樣,想要打造更主動安全計畫的CISO需要著眼未來。為了確保他有時間做到這一點,Goerlich每季都會安排一次定期的外出會議,他和團隊在會議上討論即將發生的變化。

「這為我們建立了一個流程和節奏,幫助我們擺脫日常事務,從而看到更大的全局,」他解釋道,「我們從頭開始,看看下個季度將會發生什麼變化,問自己需要為哪些情況做好準備,我們回顧一下,看看哪些做得好,哪些不夠好,然後我們設定目標,以便繼續前進。

Goerlich表示,他經常邀請外部的安全專家,如供應商高管和其他思想領袖,參加這些會議,聽取他們對威脅演變的見解,以及新興的安全工具和技術來應對這些威脅,他有時還會邀請公司內部的高階主管同事,以便他們分享自己的計畫和策略—這有助於確保安全工作與業務需求保持一致,並推動企業前進。

他已經看到了這種努力帶來的效果,他舉例說明,在一次外出會議上,團隊發現了其特權存取管理(PAM)流程中的挑戰,特別是該流程所需的大量手動步驟。

「這是那種企業多年來逐步建立起來的流程,在當時看來完全合理,但隨著時間推移,情況發生了變化,流程不再運作良好。」Goerlich解釋道。

因此,團隊對PAM計畫進行了重新設計,減少了步驟,並用新工具取代了舊工具,創造了一個更自動化、更有效率且更安全的流程。

Goerlich表示,這個例子說明了定期召開以預見性為重點會議的價值,以及採取主動措施如何轉化為更好的安全性。他解釋說,重新設計的PAM流程提高了操作效率,減少了安全團隊為了支援依賴大量手動操作的傳統流程所需的緊急應變工作量。

4. 在企業內創建並掌控網路安全敘事

全球情報與網路安全諮詢公司S-RM的美洲網路安全諮詢主管Michael Clark表示,CISO面臨的最大挑戰之一是獲得足夠的支援和資源,以建立一個具備彈性的安全計劃,該計劃能夠在未來防護活動與反應能力之間取得適當的平衡。

Clark將這一問題很大程度上歸咎於典型企業中當前的網路安全敘事狀態,他表示,CISO的敘事往往透過另一位高階主管傳達給董事會,而這位高階主管常常對威脅情勢和企業的安全狀況呈現出一個「更樂觀的畫面」。

「CISO想要傳達的訊息並沒有傳達到董事會,」他說,並補充道,CISO需要一個與董事會溝通的管道,「讓他們能夠以不被那個[溝通人]粉飾的方式提出他們的擔憂。 」

他說,這對領先一步至關重要。

「威脅和監管環境正在變化,技術的複雜性也在不斷演進。如果CISO得不到他們需要的支持,就很難在這些變化中保持領先。」他解釋道。

能夠向CEO和董事會清晰表達安全動態,並成功爭取所需資源,這一直是CISO面臨的長期挑戰。

2024年SPMB Executive Search的調查數據反映了這一問題,調查發現,只有27%的CISO在2024年直接向CEO匯報(相比2023年的22%有所上升),且只有54%的CISO至少每季度向董事會報告一次,調查還發現,5%的CISO根本不向董事會報告。

儘管其他調查顯示,向CEO和董事會報告的CISO比例較高,但整體研究表明,CISO直接接觸董事會的情況仍然並不普遍或頻繁。

為了應對這些挑戰並獲得實施主動安全措施所需的資源,Clark建議CISO們“創造一種敘事,說明安全如何賦能業務、保護業務、支持品牌並提升投資者的信任。”

他說,CISO應該衡量並報告與風險相關的關鍵指標,展示這些安全措施如何與業務需求和策略保持一致,並支持它們,然後,利用這些資訊講述安全工作的故事,並指出需要改進的領域。

「領導者不希望向董事會傳遞負面訊息,而CISO也不希望被指責為誇大其詞,因此他們必須創造並掌控敘事,他們需要學會如何闡明自己如何支持業務、如何保護品牌,然後從另一個角度說明存在的問題、如何解決這些問題,以及如何優先處理這些工作。

Clark曾與一位CISO客戶合作,該客戶向董事會匯報時說安全團隊已經識別了98%的需要保護的終端,而沒有說明如何識別剩下的2%,有多少終端得到了保護,這為什麼重要,關閉保護缺口需要什麼,以及不採取行動的風險。

「他們應該說,『這是我們在當前預算下能做到的事情,如果我們想做更多或加快速度,這就是安全所需要的。』」Clark說。

他補充道,這樣坦誠的討論更有可能讓CISO獲得所需的資源,以便實施安全措施,幫助他們領先於被動應對模式。