本文出自

擴增實境:大賺數位財

擴增實境:大賺數位財

2017年11月號

網路安全六大共識

The C-Suite and IT Need to Get on the Same Page on Cybersecurity
科林.麥金提 Colin McKinty
瀏覽人數:4315
  • "網路安全六大共識"

  • 字放大
  • 授課文章購買
    購買〈網路安全六大共識〉文章
  • 個人收藏購買
    購買〈網路安全六大共識〉PDF檔
    下載點數 10
最近發表的一份針對組織最高層主管和資訊科技決策者的全球性調查,發現他們在網路威脅、成本等方面的評估,存在很大的差距……。

最近發表的一份長字輩高層主管和資訊科技決策者(ITDM)的全球性調查,發現他們在網路威脅、成本和責任領域等方面的評估,存在很大的差距。最顯著的差異有:

● 在美國接受調查的高階主管,有80%相信網路安全是他們業務面對的重大挑戰,卻只有50%的ITDM同意這種看法。

● ITDM估計,一次網路破壞的平均成本是2,720萬美元,遠高於高階主管說的平均590萬美元。

● 接受調查的高階主管,有50%相信外界能成功攻擊他們組織的原因,在於員工人為的錯誤,ITDM只有31%這麼認為。

這份研究顯示,受訪者不了解成功攻擊造成的成本,許多人都低估了。這不只是小偷拿走了一些東西。成功的網路攻擊有更深遠的含意,例如,衝擊股價、失去業務、罰款,甚至是策略性投資或合併失敗。

組織高層的策略願景,和資訊科技專家的真實世界經驗之間,存有差異,並不令人驚訝。他們對網路風險的性質,以及威脅如何轉化成業務和技術風險,想法可能不一樣。這主要是因為他們的優先要務不同:組織高層有責任降低業務風險,而資訊科技部門必須提供技術支援,以推動業務。

這些關鍵群體最有共識的地方,是網路空間潛藏著危險。60%的最高層主管,以及66%的ITDM認為,未來12個月他們的業務會成為網路攻擊目標,而且,這兩個群體都預期攻擊的頻率和嚴重程度會增加。這證實了在超連結的世界中,來自網路攻擊的威脅,現在成了日常業務當中每天都必須面對的一部分現實。

慎重看待網路安全的組織,應該執行一些最佳實務,以協助減少業務中斷, 並確保有效進行網路風險管理。這類實務包括:

● 讓最高層主管參與事件反應的沙盤推演,好讓他們充分了解自己扮演的角色,以及一次攻擊可能造成的所有成本。有了遭受攻擊的第一手經驗,即使是模擬的,那些高層主管也能提升意識,這對於由上而下推動重視安全的文化,是非常重要的。

● 教育這兩群人,以及所有的員工,讓他們知道,必須要了解組織的網路曝險程度,以及攻擊者可以如何利用事先收集的資訊,針對具體目標來策畫攻擊行動。這應該不只是理論性的練習,而應使用實際的例子,使用駭客可能發現和運用組織的資訊。例如,有關登錄資料和帳戶資訊的顧客細節,通常會在網路黑市出售。攻擊者可以利用這些資訊,創造「合成身分」,通常用來從事網路犯罪。

● 引進前瞻、策略性的網路防禦方法,以因應可能遭到網路攻擊的現實。這套策略必須在各種工具、人員和流程之間,取得適當的平衡。要保護極為重要的資產,是沒有萬靈丹的,不能只仰賴技術。你可以建置最新和最好的技術,但如果缺乏擁有恰當技能的恰當人員,仍容易遭到攻擊。此外,公司應好好定義和傳達營運程序,好讓技術發揮最大的功效。舉例來說,安全團隊要有足夠的頻寬,以調查系統產生的警示;單單提高發出警示的門檻,以降低警示的數目,不是因應缺乏頻寬的好方式。

● 盡可能探索在營運流程中自動化的運用,這逐漸成為安全專業人士的焦點,他們想要充分運用現有資源,發揮最大作用。為了有效率地分類處理那些警示,安全團隊需要盡可能多的情境,以斷定某個警示是否重要。這些情境包括外部和內部資料,例如,有關威脅的情報,能提供有關攻擊團體的工具、戰術和程序等較廣泛情境。

● 隨著勒索軟體攻擊的風險持續不斷,資訊科技團隊必須執行適當的備份策略,協助減輕這些攻擊造成的影響。如果寶貴的資料被勒索軟體加密而遺失,備份可用來恢復資料,不必支付贖金。資料應存放在受保護的地方,確保不會在攻擊時被加密。備份策略必須是組織廣泛的資訊安全事件回應計畫中的一部分,而且應詳細說明要做什麼事,以限制勒索軟體的攻擊範圍,並從攻擊恢復過來。

● 假設在某個時點,你的組織會遭到侵襲。你應檢討在你的網路內部和各個端點,是否有能力偵測和回應威脅。新的安全行動方案應聚焦在縮短發現、抑制和改正系統中不良活動的時間。安全思維領導人現在廣泛接受以下想法:只從以前見過的攻擊中,分析尋找相關的惡意活動形態,不足以偵測以前可能沒見過、精心策畫的目標明確攻擊行動。為縮短偵測資訊科技系統中不良活動所需要的時間,組織現在必須評估是否使用額外的偵測技術。例如,駭客經常建立指揮和控制管道,以引導他們的攻擊行動。找出這些管道,對於發掘不良活動極為重要。

隨著威脅的演變,光追蹤威脅是不夠的,還要採取主動的方法,設法了解未知的新網路威脅。

(羅耀宗譯自2017年4月26日HBR.org數位版文章)



科林.麥金提 Colin McKinty

英國航太系統公司(BAE Systems)美國網路安全策略副總裁。


本篇文章主題技術