安全最佳实践与金融最佳实践之间存在相通之处。事实上,安全主管们可以从股神巴菲特保护自身金融投资的方法上学到很多。
"历史经验告诉我们,人类从来不会汲取历史教训。"——巴菲特
2017年,公司企业在数据防护技术上的投资总额高达864亿美元,是5年前的2倍。同时,似乎每隔一周就会爆出一起重大安全事件。于是,安全主管们纷纷自问:我的安全投资真的有用吗?
面对越来越危险的威胁态势,大多数安全团队在传统安全技术和管理两方面都加倍投入。但这一策略并没有什么效果。因为随着IT基础设施的发展,网络攻击也在不断演进,10年前效果很好的安全工具在今天这个分散而动态的世界里不再有效。
给CISO的建议:定期评估自身投资的效果
像巴菲特评估他投资组合一样评估自己安全技术组合的投资回报率(ROI)。无论是按季度还是按年度,你得制定一个框架来定期评估自己在人力、过程和技术投资上的效果。可以围绕事件减少率、应用部署速度、IT总开支节省、合规时间和客户接受度等方面定义衡量标准,这样你就能对自己投资的安全工具哪些有用哪些没用有个准确的衡量,可以据此作出恰当的调整。
风险来自于不知道自己正在做什么。——巴菲特
尽管很多安全主管都惧怕“盲目行动”,也就是无法发现自家公司设备上的恶意软件,但现实就是大多数CISO实际上对自己的数据中心和云环境压根儿没有可见性。他们根本不清楚公司的应用怎么跨网络通信,也不知道哪些通路是脆弱的。因此,这些CISO用各种威胁检测技术将自己的系统层层包裹,而自己就被淹没在充斥着误报的大量警报中,没有精力响应真正的威胁。
给CISO的建议:弄清自己什么方面最脆弱
建立一张囊括了应用、用户和网络间通信方式的通联图,这样才可以了解自己的攻击界面和最大的弱点所在。就像医生靠核磁共振(MRI)看清患者身体中的各个关节,然后制定出合理治疗方案;安全主管应确保自己了解自家数据中心和云环境中的各种连接,以便弄清所有可能的攻击途径,知道哪些位置是最薄弱的环节。掌握了这些情报,CISO就可以合理调整安全投资策略,优先防护敏感区域,有效管理警报,专注响应真正的威胁。
我不指望自己跳过2米高的栏杆:我会找那些自己能迈过的30厘米高的。——巴菲特
有3个最佳实践可以降低风险,抑制安全威胁蔓延;它们都是非常基础的基本要求,然而却往往被忽视:
a) 打补丁,比如以最新的软件来更新操作系统和应用;
b) 多因子身份验证,比如对企业网络、系统和应用要求多因子身份验证;
c)分隔,比如分隔高价值资产和低价值资产。
在网络世界中投资这些简单的安全技巧,就好比在金融领域投资债券:收益是明白可见且持续的。
给CISO的建议:别忽视基础
别急于追赶最热门的新安全技术,先做好基础工作。如果你还没在公司的设备、数据中心和云环境中投入补丁更新、多因子身份验证和分隔,那你就错过了3大最基础的安全最佳实践,错失了保障公司安全的最佳投资回报机会。
我的伯克希尔·哈撒韦公司与大多数企业一样,股息收益远比资本收益高得多。——巴菲特
大多数企业宁愿快速采纳新技术也不愿从现有安全投资(技术、人或过程)中创造其他红利。安全及IT主管应紧密合作,确保安全投资符合公司整体IT战略。随着公司将更多工作流、应用和数据迁移向云端,要确保安全解决方案不仅仅跟上威胁发展态势,还要可以切实推动公司更快达成IT和安全目标。
给CISO的建议:确保安全投资符合公司整体IT战略
安全应成为业务推动器,而不是抑制剂。确保在遗留业务上的安全投资能补足公司迈向云端并采纳新技术和新工作流的缺口。
你够聪明的话,就无需借钱都能赚到很多。——巴菲特
2017年,公司企业在IT上的总花销大约有3.5万亿美元,其中安全开支只占不到3%。但正如我们去年从各大安全事件中见证的,一次黑客攻击就可以严重挫伤一家公司的市值。或者,用巴菲特的话讲就是:“打造一家公司的信誉需要花20年,毁掉它只需要5分钟。”如果安全是一家公司的基石,那么企业应据此为之分配相应的投入资金的资源。
给CISO的建议:将安全视为投资而不是费用中心
确保有足够的资金和资源投入到安全中以保证投资有效性。对安全投资进行绩效评估,向董事会及其他决策者清晰展示安全投资的ROI,以便公司高层将安全视为支撑公司收益流及整体业务价值的必要资源。
总结
今天这种满是敌意的威胁态势下,公司安全防护工作的风险前所未有的高。而且,随着安全供应商的激增,安全人员很容易迷花了眼睛。不过,安全主管们可以从巴菲特的投资哲学中汲取经验,制定明智的安全战略,让自己的投资获得最大的安全回报。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。