網(wǎng)絡(luò)掠奪者是無情且無情的。一旦出現(xiàn)失誤，您的企業(yè)就可能陷入癱瘓。這就是為什么不僅要建立強(qiáng)大、有彈性的保障措施和實(shí)踐，而且要確保它們有效發(fā)揮作用。

在網(wǎng)絡(luò)安全方面，失敗絕對不是一個(gè)選擇。麻省理工學(xué)院斯隆管理學(xué)院網(wǎng)絡(luò)安全執(zhí)行主任 Keri Pearlson 認(rèn)為，企業(yè)領(lǐng)導(dǎo)者必須將重點(diǎn)從保護(hù)轉(zhuǎn)向恢復(fù)能力。“我們需要假設(shè)壞人將進(jìn)入我們的系統(tǒng)，找到新的方法來攻擊我們，并不斷創(chuàng)新以實(shí)現(xiàn)他們的目標(biāo)，”她解釋道。

雖然強(qiáng)有力的保護(hù)仍然很重要，但領(lǐng)導(dǎo)者還需要考慮他們的組織如何吸收攻擊、恢復(fù)并繼續(xù)前進(jìn)。皮爾森設(shè)想了一個(gè)未來的世界，在這個(gè)世界中，組織遭受攻擊時(shí)，其系統(tǒng)、聲譽(yù)、資產(chǎn)、組織和供應(yīng)鏈將受到零損害。“簡而言之，它們很有彈性。”

皮爾森建議組織建立安全技能、流程和程序，讓他們能夠注意到、阻止、響應(yīng)、恢復(fù)和改進(jìn)。“具有彈性意味著采用動(dòng)態(tài)的網(wǎng)絡(luò)安全方法，不斷適應(yīng)不斷變化的條件，這樣當(dāng)攻擊發(fā)生時(shí)，組織的運(yùn)營就不會受到影響，”她說。

協(xié)調(diào)漏洞

安全服務(wù)公司 HackerOne 的首席安全技術(shù)專家 Kayla Underkoffler 主張更多地使用協(xié)調(diào)漏洞披露——公開披露新發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞。她指出，雖然這個(gè)概念已經(jīng)成為公認(rèn)的最佳實(shí)踐，但許多組織仍然不愿意向前邁進(jìn)。“在披露已修補(bǔ)的漏洞時(shí)保持透明和協(xié)作不僅有利于披露的組織，而且有利于整個(gè)互聯(lián)網(wǎng)的安全，”Underkoffler 說。

只有承認(rèn)并分享導(dǎo)致違規(guī)的漏洞和錯(cuò)誤，才能提高所有組織的安全性。實(shí)現(xiàn)透明度的一種方法是采用漏洞披露計(jì)劃(VDP)，該計(jì)劃提供了如何報(bào)告漏洞的計(jì)劃。“其核心是‘看什么、說什么’的政策，”安德科夫勒說。“這有助于組織通過明確的指導(dǎo)方針與安全研究人員進(jìn)行協(xié)調(diào)，并避免過早或意外發(fā)布仍可能對組織構(gòu)成風(fēng)險(xiǎn)的漏洞。”

運(yùn)營與風(fēng)險(xiǎn)

Baker Donelson 律師事務(wù)所數(shù)據(jù)保護(hù)、隱私和網(wǎng)絡(luò)安全團(tuán)隊(duì)主席 Alisa Chestler 敦促組織不要將安全規(guī)劃視為嚴(yán)格的網(wǎng)絡(luò)問題。她指出，保護(hù)企業(yè)資產(chǎn)實(shí)際上是一個(gè)運(yùn)營和風(fēng)險(xiǎn)問題，需要整個(gè)管理團(tuán)隊(duì)進(jìn)行仔細(xì)、詳細(xì)的規(guī)劃。

Chestler 警告說，將安全規(guī)劃僅限于企業(yè)的 IT 團(tuán)隊(duì)完全沒有抓住重點(diǎn)，并使企業(yè)面臨重大風(fēng)險(xiǎn)。她表示：“未能針對可能發(fā)生在組織身上的各種潛在行動(dòng)和事件做好計(jì)劃，意味著企業(yè)對可能發(fā)生的一系列事件完全沒有準(zhǔn)備。”

切斯特勒建議創(chuàng)建一個(gè)強(qiáng)有力的治理計(jì)劃，該計(jì)劃需要定期安排管理團(tuán)隊(duì)會議，專門討論安全問題。她建議，該團(tuán)隊(duì)的最初任務(wù)應(yīng)該是繪制風(fēng)險(xiǎn)圖，然后努力減少漏洞。她解釋說，一旦制定了適當(dāng)?shù)闹卫碛?jì)劃來與運(yùn)營、IT、法律和財(cái)務(wù)同事一起審查和分析安全問題，企業(yè)就可以開始認(rèn)真關(guān)注當(dāng)前和潛在的未來威脅。

實(shí)施工作治理計(jì)劃的最大障礙之一是企業(yè)文化，特別是來自信息較少的管理團(tuán)隊(duì)成員的抵制。Chestler 認(rèn)為，通過持續(xù)的知識共享可以贏得管理層對強(qiáng)有力的安全治理的支持。她建議，繼續(xù)發(fā)布有關(guān)當(dāng)前網(wǎng)絡(luò)安全事件的新聞是促使管理層了解他們的角色在持續(xù)努力降低組織風(fēng)險(xiǎn)(尤其是新威脅不斷演變的風(fēng)險(xiǎn))方面的重要性的一種方式。

過度自信會致命

也許一個(gè)組織可能犯的最大的網(wǎng)絡(luò)安全錯(cuò)誤是對其成功應(yīng)對當(dāng)今復(fù)雜、廣泛的攻擊的能力過于自信。技術(shù)研究和咨詢公司 ISG 的總監(jiān) Phil Quitugua 解釋說：“威脅行為者不斷發(fā)展他們的策略和技術(shù)來規(guī)避防御。” 太警覺和準(zhǔn)備是不可能的。

跟上威脅形勢并定期進(jìn)行評估應(yīng)該成為企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵。Quitugua 表示：“持續(xù)改進(jìn)網(wǎng)絡(luò)安全方法是避免過度自信的關(guān)鍵。”

此外，驗(yàn)證安全控制是否按預(yù)期運(yùn)行應(yīng)該是一個(gè)永無止境的過程。Quitugua 建議：“更進(jìn)一步，企業(yè)應(yīng)該通過網(wǎng)絡(luò)范圍演習(xí)了解其整體彈性能力。”