迷失在翻译中:网络风险解释的脱节现实
在古印度的一个经典故事中,几个蒙住眼睛的人接近一头大象,每个人检查不同的部位。有人触摸树干,认为它像一条蛇。另一个摸到了一条腿,认为它是一棵树。还有一个拿着象牙的人,认为它是一支矛。尽管基于有限的互动,每个人的感知都是真实的,但没有人看到大象的完整图片。
这个故事与当今组织中网络安全团队面临的多方面挑战提供了富有启发性的相似之处。正如古老的故事一样,不同的利益相关者——无论是来自领导层(首席执行官、首席财务官、首席信息安全官)、漏洞管理 (VM) 还是治理、风险管理和合规性 (GRC)——通常对“网络风险”的构成持有不同的看法.'
这不仅仅是理论上的相似之处,正如一家大型保险公司的安全负责人最近与我们分享的那样:
“在我们拥有不同网络安全工具的基础设施中,我们看到了分散的风险认知。每个工具都在自己的孤岛中运行,引导不同的职能部门(董事会、SecOps 或 GRC)以独特的方式解释风险。这通常会导致战略不一致,并阻碍采取有凝聚力的方法。”
那么,是什么导致了对网络风险的这种碎片化理解呢?
深入探讨网络风险的支离破碎的观点
在下图中,我们重点关注构成企业网络安全的核心操作。该插图特别关注网络安全风险,展示了这些组件如何主动协同工作以减轻此类风险。
网络安全功能如何紧密相连
- IT/资产管理涉及资产库存、控制部署以及资产和产品生命周期管理。
- VM团队带头进行漏洞识别和管理。
- GRC负责监督控制/政策评估和政策管理。
- CRQ(网络风险量化)要么是一个独立的部门,要么外包给咨询公司。
虽然每项行动都有其不可或缺的目的,但组织网络安全态势的强度和有效性取决于每个职能的共生关系。为了更好地理解这一点,让我们深入研究一些场景:
孤立运营:虽然“IT/资产管理”运营下的“资产库存”发挥着基础作用,但其有效性以及库存与实际资产之间的潜在差异直接影响虚拟机中的“漏洞识别”。如果资产盘点不正确,漏洞就可能被忽视。这是一个例子,说明一个孤岛中的流程如何影响另一个孤岛的效率。问责制的挑战又增加了一层复杂性。在这样一个孤立的环境中,确定谁负责降低风险成为一个紧迫的问题。
相互依存的动态:深入研究,GRC 中的“控制/政策评估”如果单独进行,似乎就足够了。但如果它不考虑实时漏洞(来自虚拟机)或最新的资产生命周期(来自 IT/资产管理),控制和策略可能不会像假设的那样强大。GRC、IT/资产管理和 VM 不仅仅是孤立的部门;它们也是独立的部门。他们是一台巨大机器上的齿轮,致力于确保组织安全。
统一愿景: CRQ 充当晴雨表,衡量所有其他流程的效率。然而,每个流程都需要通知 CRQ。例如,如果 IT/资产管理中“控制部署”的输出不准确,则可能会影响量化风险,从而可能低估威胁。此外,CRQ应该指导和通知其他操作;例如,GRC的政策是否足以让企业实现其风险管理目标取决于CRQ对剩余风险的评估,而不考虑现有政策的执行情况。
我们是怎么来到这里的?揭开网络安全观点碎片化的原因
工具划分:不同的团队使用针对其特定需求优化的不同工具。虽然这些工具各自的功能都很高效,但它们通常并不是为了与其他工具无缝共享数据或见解而设计的。
供应商依赖性和技术演进:组织通常严重依赖特定的供应商生态系统,因此很难集成第三方解决方案。随着技术进步的快速发展,现有的工具和策略很快就会过时。
组织层次结构:传统的公司结构中往往会出现筒仓,因为各个部门专注于自己的特定目标。在许多情况下,不同的部门有不同的目标、KPI、技能要求和运营边界。
缺乏统一的策略:安全领导者需要一个清晰、统一的策略,并且应该传达这一愿景,以便每个人都了解每个团队如何依赖其他团队。如果没有一个有针对性的计划来推动团队合作和整合,不同的运营很容易分崩离析。
掌握 IT/资产管理、VM、GRC 和 CRQ 等各个领域至关重要,但只有它们的集成功能才能确保强大的网络安全防御。
当每个人对网络风险的看法不同时:失败
1. 无效的风险优先级划分:由于风险理解不统一,关键威胁可能会得到错误的优先级划分。
示例:IT 团队将大部分预算分配给更新遗留系统,认为它们风险最高。与此同时,VM 团队对勒索软件攻击的增加感到震惊,认为立即投资高级威胁防护才是真正的优先事项。由于缺乏对网络风险的共同、量化的理解,两个部门都根据自己的风险评估行事,导致防御策略不协调
2. 资源和预算浪费:对跨部门风险的误解可能导致资金分配不当,导致效率低下。
示例:一项重大 IT 升级计划占用了大量预算,导致 VM 没有预算来更新其工具堆栈。这两个领域都很重要,但不匹配的分配阻碍了全面的网络安全工作,可能使组织容易受到网络威胁。
3. 事件响应延迟:对风险的零碎认知可能会导致重大事件发生时反应速度变慢,从而导致损害升级。
示例:在高场景风险中,例如,在野外积极利用零日漏洞,VM 团队通常了解立即采取行动的迫切需要。然而,IT 团队通常受到变更管理协议的限制,需要在部署补丁之前延迟兼容性测试。
4. 监管和法律影响:错误判断风险可能导致不遵守行业法规,引发法律纠纷和处罚。
示例:根据 SEC 对网络安全事件重要性的新裁决,一家公司将数据泄露视为非重大事件。后来,它因不披露而面临严厉的监管反弹。
5. 领导层信心受到削弱:如果风险被误解或忽视,可能会导致重大违规行为,从而削弱领导层和董事会的信心。
示例:根据报告的频繁但影响较小的安全事件,领导层认为组织的网络安全态势良好。然而,后来出现了一个未被发现的重大漏洞,动摇了董事会对安全团队领导层能力的信任。
网络安全世界需要一种新的网络风险理解范式:
我们目前对网络风险理解的缺陷不仅源于部门之间的差距,而且还源于部门之间的差距。它们的产生是由于缺乏将一切联系在一起的统一风险框架。
为了解决这个问题,请考虑采用具有以下原则的方法:
实用:
应该高度数据驱动,使用近乎实时的输入进行风险计算。它必须考虑每项资产的 IT、网络安全和业务环境,以确保准确且相对地表示风险。
自动化:
应消除手动数据处理和一次性分析。它必须是自动化的,使用最新的资产级数据计算风险,包括漏洞、威胁、暴露、适用的安全控制和业务关键性。
可检查:
应提供其计算的透明度,提供有关推动更高可能性和影响的因素的见解。
可操作:
应提供可操作的见解并自动化工作流程以降低风险。采取补救措施后,风险计算应立即更新模型。