近日,《2023年全球数字信任洞察调查报告》(the 2023 Global Digital Trust Insights)发布。该报告调研了全球60多个地区的不同行业,共计3522名业务、安全和信息技术领域领导者,介绍了2023年的网络安全领域新挑战、CISO的工作与价值,结合现实编写了企业高管层网络安全手册,并厘清了网络安全的具体需求场景及解决方案(本文要点),为企业应对全球数字信任挑战提供了可行的发展计划。
摘译 | 李秋娟/赛博研究院实习研究员
来源 | PwC
“最高管理层网络安全和隐私行动手册”以报告的“全球数字信任洞察”为基础,概述了2023年全球网络安全前景,以及高管们应对企业网络安全形势所应付出的努力,为全面和持久地应对网络攻击提供解决问题的角度。
01 高管各主体应当怎么做?
对于CISO来说,数据泄露等网络安全违规行为将造成客户信任度降低、恢复数据耗费高昂成本、客户数据泄露或丢失等惨痛代价。研究显示,自2020年以来,42%的高管认为对企业管理系统的网络攻击有增无减;逾1/4的企业发生过损失超100万美元的数据泄露事件,约10%的企业因此遭受了1000万美元以上的损失。
这些令人心碎的时刻能够成为团队协作的催化剂,强化从员工到董事会对网络安全的重视,并激励整个高管层共同行动。
CISO正逐渐抓住主动权。在企业中,CISO不仅是独立的网络顾问,而且还与整个高管层展开了紧密合作。为了完善企业网络和隐私安全,高管层需要一个有凝聚力的结构——以CISO为中心进行决策,CEO负责整体业务,董事会负责管理、监督和治理,CIO/CTO负责技术基础设施建设、CFO负责网络投入,COO负责运营和供应链,CRO负责风险管理,CDO/CPO负责数据治理,CHRO强化网络人才库,同时各部门相互配合和协调。
具体而言:
CEO(首席执行官):简化运营和技术中不必要的复杂性,优化信息技术和运营系统。
CIO/CTO(首席信息官/首席技术官):与CISO、DevSecOps团队结成联盟。采用“左移范式”(“shift left” paradigm),在云开始使用之前建立云安全机制(或及时补建);快速开发的同时维持对系统强大的控制力。
CFO(首席财务官):考量每一笔增量支出如何最大限度减少网络风险。与CISO合作制定总体规划,在多级别保护的同时精简公司软件;保证云的开放性,向零信任架构转变。
COO(首席运营官):在运营和供应链安全方面与CISO合作,增强对供应链中断、延迟以及对运营系统攻击的应变能力,创建网络风险管理计划流程。
CRO(首席风险官):审视企业的风险承受能力和偏好。基于业务连续性和灾难恢复程度,制定一个具有凝聚力的企业恢复计划。
CDO/CPO(首席数据官/首席隐私官):CDO、CPO和CISO应制定一个企业内部指导手册,内容涵盖数据治理、可访问性和准确性等数据安全和隐私的所有重要角度。
CHRO(首席人力资源官):CISO和风险管理人员需要帮助CHRO确定员工流失的累积影响和连锁运营风险;CHRO应当更新对网络人才的选拔和激励机制,并在聘用合同中增加企业网络安全保障条款。
02 网络安全需求场景及解决方案
随着数字化的发展,未来将有更多的互联系统、成倍增长的数据和不断扩大的网络风险。在严峻的经济环境中,企业高管和CISO团队还有更多的工作要做。报告选择了三种最频发的网络事件类型,对高管层不同主体的作用和对策进行了分析。
场景1:云攻击
38%的受访者预计2023年将出现更严重的云攻击。
问题点:安全性不足,缺乏深度防御,编码错误,对书面代码和库代码测试不足,数据加密不当。
解决方案:
CIO:在应用程序开发中启用DevSecOps,并在全面的发布前进行测试;修复来自用户和自动部署的错误配置。
CISO:建立并执行用于保护应用程序和数据、漏洞和渗透测试、定期打补丁、持续合规监控以及安全事件和事件监控(SIEM)的政策和程序。
CTO:要求云服务提供商和第三方提供仪表板和工具,以检测其环境中的错误配置。
CDO:确认应用程序符合隐私要求,对客户数据进行分区和加密,对静态、传输和使用中的数据进行加密。
场景2:对运营技术的攻击
29%的大型企业预计对于运营技术的攻击会增加。
问题点:黑客利用未修补的漏洞注入勒索软件。虽然这些被利用的漏洞之前已经在企业系统中打过补丁,但是由于传统操作系统缺乏补丁管理、监控和检测功能,这些漏洞仍然没有在传统操作系统中被发现。
解决方案:
CIO:与CISO和CTO合作,使信息技术系统和运营技术系统形成相互融合并相互依赖的关系。
CISO:与CIO和CTO合作,分离信息技术(IT)系统和运营技术(OT)系统,并就正确访问方法和事件响应中的角色定位对员工进行培训。
CTO:与CISO和CIO协作创建端点修补和监控计划。
CRO:将信息技术系统和运营技术系统投入到有关事件响应过程的演练中,以评估运营技术系统环境中存在的网络风险。
COO:考虑在采购工业控制系统、与云提供商签订合同或与外部服务提供商确定服务协议等场景下的网络安全问题。
场景3:勒索软件
45%的安全和信息技术高管预计勒索软件攻击将进一步增加。
问题点:杀毒软件过期,无法检测恶意附件中嵌入的恶意软件,多元身份验证机制的缺失使得攻击者获得初始访问权限。网络犯罪分子通过隐蔽身份入侵管理帐户,借此关闭大部分核心IT基础设施,并破坏数据备份。
解决方案:
CEO:支持整个企业的网络安全意识培训。
CIO:检查信息技术系统和企业环境之间的联系。
CTO:在运行设备的场景中评估设备的脆弱性。
COO:协助CIO、CISO评估类似情况对用户安全的影响程度。
CISO:弥合信息技术部门和运营部门之间的安全鸿沟。
CDO:与COO、CISO、CPO合作,评估客户数据被盗/损坏造成的损失。
CRO:与业务连续性与灾难恢复(BC/DR)团队进行弹性测试。
CFO:与CISO、CIO沟通,向监管机构和公众披露信息,并根据发现的漏洞审查包含网络保险在内的网络支出、决定勒索软件的酬金支付政策。
董事会:深入了解管理层的网络演练工作,为防御勒索软件攻击做准备。确定董事会收到网络攻击事件通知的时间和机制。
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。