网络安全是一个商业问题,在会议室但责任仍然主要落在IT领导者身上。
在2022年Gartner董事会调查88%的董事会成员将网络安全视为商业风险;只有12%的人认为这是技术风险。然而,2021年的一项调查显示,85%的组织的首席信息官(CIO)、首席信息安全官(CISO)或同等职位的人要对网络安全负责。
由于数字信息和技术如今已与日常工作紧密结合,企业在网络威胁面前变得更加脆弱。但针对信息和关键基础设施的攻击本身也变得复杂得多。
网络风险事件可能对一个组织产生运营、财务、声誉和战略后果,所有这些都需要付出巨大的代价。这使得现有的措施变得不那么有效,这意味着大多数组织需要加强他们的网络安全游戏。
俄罗斯入侵乌克兰的标志是军事和破坏性的恶意攻击.随着入侵的扩大,袭击的威胁关键基础设施——致命中断的可能性也在增加。任何企业都无法幸免。
许多组织已经面临一系列的潜伏安全失败但现在,依赖为你的组织量身定制的威胁情报,并从你的政府联络人那里获得指导,了解如何准备应对你可能还没有准备好应对的攻击,就显得尤为重要。
随着高层制定应对俄罗斯入侵的策略在乌克兰,优先考虑网络安全规划。专注于你能控制的事情。确保你的事件应对计划是最新的。提高意识和警惕性,以发现和预防潜在的增加的威胁,但要注意您的组织正在感受到的额外压力和压力。一个人为错误由于这些力量可能比实际的网络攻击对您的组织有更大的影响。
关键基础设施这些部门包括能源生产和输送、水和废水处理、医疗保健以及粮食和农业。在许多国家,关键基础设施是国有的,而在其他国家,如美国,私营企业拥有和运营的比例要大得多。
这些部门不仅对现代社会的正常运转至关重要,而且彼此相互依存,对其中一个部门的网络攻击可能对另一个部门产生直接影响。攻击者越来越多地选择在cyber-physical系统(CPS)。
的风险是非常真实的甚至在俄罗斯入侵乌克兰之前。攻击关键基础设施行业的组织从2013年的不到10家增加到2020年的近400家,增长了3900%。因此,世界各地的政府都在强制实施更多的安全控制就不足为奇了关键任务CPS.
俄罗斯入侵乌克兰增加了威胁针对所有组织的网络攻击.你需要培养一种全面的,协调的CPS安全策略同时还将关键基础设施的新安全指令纳入治理。美国“关于改善关键基础设施控制系统网络安全的国家安全备忘录例如,美国正在优先考虑电力和天然气管道部门,其次是水/废水和化工部门。
问题的症结在于,传统的以网络为中心的点解决方案安全工具已经不足以应对当今网络攻击的速度和复杂性。这是特别的情况操作技术(OT)连接、监控和保护工业操作(机器),继续与处理组织的技术骨干融合信息技术(它)。
进行一个完整的OT/库存清单物联网(物联网)安全解决方案在您的组织中使用。也执行评价的独立或多功能基于平台的安全选项,以进一步加快CPS安全堆栈的收敛。
最常见和最显著的类型网络安全攻击包括:
网络攻击者部署DDoS攻击通过使用设备网络压倒企业系统。虽然这种形式的网络攻击能够关闭服务,但大多数攻击实际上是为了造成中断,而不是完全中断服务。
现在,每天都有成千上万的DDoS攻击被报告,其中大多数都被作为正常业务流程加以缓解,无需特别关注。但网络攻击者有能力扩大攻击范围——DDoS攻击在复杂性、数量和频率上持续上升。这对即使是最小的企业的网络安全也构成了日益严重的威胁。
DDos攻击也越来越多地直接针对应用程序。因此,成功且具有成本效益的防御这类威胁需要多层面的方法:
DDoS防御所需要的技能与防御其他类型的网络攻击所需要的技能不同,因此大多数组织将需要使用第三方解决方案来增强他们的能力。
一系列信息技术和信息系统控制领域构成了抵御网络攻击的技术防线。这些包括:
技术控制并不是抵御网络攻击的唯一防线。领先的组织严格审查他们的网络风险文化和相关职能的成熟度,以扩大他们的网络防御。这包括建立员工意识和安全行为。
简单地说,网络安全失败是因为缺乏足够的控制。没有一个组织是100%安全的,组织不能控制威胁或不良行为者。组织只控制安全准备方面的优先级和投资。
为了决定在何处、何时以及如何投资IT控制和网络防御,对人员、流程和技术的安全能力进行基准测试,并确定需要填补的空白和目标优先级。
值得注意的是,人为因素在网络安全风险中占有重要地位。网络罪犯已经成为社会工程方面的专家,他们使用越来越复杂的技术来诱骗员工点击恶意链接。确保员工有信息和技术更好地防御这些攻击至关重要。
环境本身是不断发展的在以下几个方面:
网络安全与许多其他形式的企业风险相互关联,这些威胁和技术正在迅速发展。考虑到这一点,多个利益攸关方必须共同努力,以确保正确的安全性水平,并防止盲点。但是,尽管越来越多的人认为网络安全是一种商业风险,但网络安全的责任仍然主要落在IT领导者的肩上。
2021年Gartner的一项调查发现,85%的组织的首席信息官、首席信息官或同等职位的人要对网络安全负责。在接受调查的组织中,只有10%的非it高管承担了责任,只有12%的董事会设有专门的董事会级别的网络安全委员会。
为了确保足够的安全,首席信息官应该与他们的董事会合作,确保所有制定影响企业安全的业务决策的利益相关者共享责任、问责制和治理。
大多数网络安全指标今天使用的是组织无法控制的因素的跟踪指标(例如,“上周我们被攻击了多少次?”)。相反,要关注与具体结果相关的指标,以证明你的网络安全项目是可信和可防御的。
Gartner预计,到2024年,监管机构在网络安全漏洞发生后开出的罚款金额中,80%将来自未能证明履行了应有的注意义务,而不是漏洞造成的影响。
Gartner推崇结果驱动指标(odm)的“CARE”模型:
一致性 |
一致性指标评估控制是否在整个组织中持续工作。 |
充分性 |
充分性指标评估控制是否符合业务需求而令人满意和可接受。 |
合理性 |
合理性指标评估控制是否适当、公平和适度。 |
有效性 |
有效性指标评估控制是否成功和/或有效地产生预期或预期的结果。 |
你花在网络安全上的钱并不能反映你的保护水平,其他人花在网络安全上的钱也不能反映你与他们相比的保护水平。
大多数风险和安全准备的货币表示(例如,“这是500万美元的风险还是5000万美元的风险?”)既不可信也站不住脚,而且,即使它们是可信的,它们也不支持与优先事项和安全投资相关的日常决策。
使用结果驱动的度量标准,对网络安全优先事项和投资进行更有效的治理。odm不会根据威胁类型来衡量、报告或影响投资;调整支出以应对勒索软件、攻击或黑客攻击是你无法控制的。相反,应该将投资与应对这些威胁的控制相结合。
例如,一个组织不能控制它是否遭受ransomware攻击但它可以将投资与三个关键控制挂钩:备份和恢复、业务连续性和网络钓鱼培训。这三种控制的odm反映了组织抵御勒索软件的保护程度以及这种保护级别的成本——基于业务的分析为董事会和其他高级领导讲述了一个令人信服的故事。
注意,控制可以是您拥有、管理和部署的人员、流程和技术的任何组合,以为组织创建一定级别的保护。采用成本优化方法来评估每个控制的成本(投资)、价值(效益)和管理的风险水平。一般来说,更好的保护(更低的风险)将更昂贵。