Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱
  • Twitter
  • Facebook
  • LinkedIn

說明業務風險:現有的網路安全指標為何不足

說明業務風險: 現有的網路安全指標為何不足

如何向貴公司的高階主管說明網路安全計畫的業務風險背景資訊?身為一位網路安全主管,這是我每天都會遇到的問題。

安全與風險管理主管擁有大量架構與控制措施在手,可衡量我們計畫最精細的面向。雖然這類指標在協助管理安全團隊的日常運作上價值極高,但要向我們的業務主管說明時,也不無短處。

面對高階主管或甚至是稽核委員會層級時 (通常是負責安全的董事會單位),高階主管會想瞭解網路安全計畫對於企業實現核心價值主張的能力有何影響。不過,Forrester Consulting 受到 Tenable 委託進行了一項超過 800 名業務主管與網路安全主管參與的全球調查,發現 66% 的業務主管對安全團隊量化公司風險或安全程度的能力 (最多) 只有一點信心。

這不表示安全主管做得不對。反之,它突顯出無法避免的現實:現行的網路風險衡量方式無法提供企業所需的業務背景資訊。研究中,超過半數的安全主管沒有自信自己擁有技術或流程,能預測出公司業務的網路安全威脅,將近五分之二的人更不確定自己是否擁有這些資料。

任職於墨西哥 San Pedro 市 Home Depot Mexico 的資安長 Cesar Garza 用四個字說明這個挑戰:「調查結果。」在與 Tenable 的訪談中,Garza 表示:「對我們來說,找出我們的網路風險程度並不是那麼困難。我們擁有 [全球各地的總公司] 寄來的成熟度評估、弱點評估、滲透測試和各種稽核與評估。最困難的部份是我們要如何應對所有的調查結果。大多數的調查結果都需要投資、內部的其他作業開支、增加新技術上的工作團隊或投資。」

如何計算網路風險?

網路風險是由貴公司資產、安全控制措施、威脅、弱點在任何指定時間點組成的函式。若不清楚哪些資產對於貴公司核心業務價值的重要性最高,就不可能知道哪些網路風險會對業務構成實際威脅。在找出最關鍵的資產後,下一步是瞭解貴公司每年面對的成千上萬個威脅和弱點,以找出實際上對核心資產造成最高風險的威脅與弱點。

Forrester 的研究指出,只有不到 50% 的安全主管能夠在特定業務風險的背景下勾勒出網路安全威脅的影響範圍。參與票選的安全主管中,超過半數 (56%) 在為弱點排定優先順序的程序中,皆未套用業務風險管理的目標。只有半數 (51%) 的安全主管表示,其團隊會與業務利害關係人密切合作,讓成本、績效及降低風險的目標與業務需求密切配合。此外,4 位安全主管中只有 1 位表示,自己會固定與業務主管共同檢討安全部門的績效指標。

Forrester 研究還揭示:

  • 超過半數 (56%) 安全主管表示,自己的企業缺乏良好的能見度,難以掌握最關鍵資產的安全狀態。
  • 有 60% 左右的受訪者表示,自己對於內部員工的風險評估能見度為高度或完整,但是員工遠端工作或在家工作時,只有 52% 的人展現同樣的自信。
  • 只有 51% 的人表示自己擁有高度或完整能見度,瞭解承包商或合作夥伴使用的系統,換成第三方廠商時,則有 55% 的人持相同想法。

若沒有業務背景資訊,您就無法計算網路風險

我被資深業務主任和董事會最常問到的兩個問題分別是:「我們公司安全嗎?」以及「我們的計畫與同業相較如何?」

然而,安全主管跟業務主管不同,手上的客觀資料有限,要藉此建立必要的資產、安全控制機制、威脅和弱點的網路風險方程式,才能回答上述兩個問題。任何現有架構都無法掌握我們作業的全貌,安全主管因此得將一大堆測量指標東拼西湊起來。如果缺乏針對各項資產業務背景資訊的客觀測量方式,我們的網路風險計算效用就會很有限。

此外,Forrester 的研究顯示,不到半數的安全主管認為自己使用的產業指標分析架構在準確通報業務風險上非常有效。超過半數的安全主管表示,自己並未對安全控制措施進行充分的指標分析。

同時,我們公司的攻擊破綻中牽涉了太多變數,以至於短期內很可能無法讓整個業界就安全指標達成共識。從來就沒有企業能宣稱自己 100% 安全。我們只能在取得資訊之後計算出可接受的風險等級,讓我們做出業務決策,評估我們在處理完合理程度的曝險之後,可以達到何種效果。

如何利用手上的資源,開始消弭網路安全與業務之間的斷層?

沒有一種方式能夠放諸四海皆準,但我們可以用位西班牙馬德里的 LafargeHolcim IT EMEA 公司做個例子。該公司 IT 安全與内部控管主管 Jose Maria Labernia Salvador 與 Tenable 訪談時表示:「我們評估了目前我們所擁有的不同層級防護的滲透率。這樣有助於讓我們公司瞭解環境中的潛在曝險,並在整個網路安全價值鏈中定義其風險評分。我們採用的模型是以 KPI、資料或區段為導向,因為您永遠都不知道什麼東西會成為最初的攻擊媒介,它可能會橫向移動,並且對我們公司造成傷害。」

利用既有資料朝必要方向邁進

風險是相對的,並非絕對。企業內部永遠都會存在風險。問題在於,我們是否採取了特定業務行動,使風險降低或增加。現有的資安評估選項只提供了您快速劃分界線的能力,這是個起點,您可以由此開始尋找進一步改良安全計畫所需要的工作內容。

在 Home Depot Mexico 工作的 Garza 採用了 Tenable.io with Lumin,以幾乎即時的方式取得目前網路曝險的能見度。「我們可以排定網路風險的優先順序,並且全部顯示在一個畫面當中。」他補充說明,該公司目前正在建立一個高階儀表板,能夠提供高階主管能見度。

若要判別對貴公司而言最重要的關鍵風險指標,沒有什麼萬能的方法。身為業界專業人員的安全主管,我們能做的只有開始合力制定業務風險指標,確立對於高階業務主管來說最有意義的指標。

為此,我把在我職業生涯中曾經被董事會和高階主管問到的以下問題留給您。

  • 最關鍵的風險、部門、資產是什麼和/或在哪裡?
    • 目前如何保護它們?
  • 與業界以及同行相比,我們的計畫有多成熟?
    • 改善成熟度的藍圖為何?
  • 與競爭對手或業界同行相較,我們的資安計畫取得資源的成效如何?
  • 業務關鍵性最高的部門現在是否比一年前更加安全?
  • 我們如何因應 (插入最近佔據頭條的弱點)?

我希望這些問題會讓您想到其他值得衡量的業務風險指標,這樣我們就有可能一起找出更好的方法,實現網路安全與業務之間的合作。

本系列先前的部落格文章專注於網路安全與業務密切配合的挑戰,以及網路安全主管為何難以回答「我們有多安全或多危險?」這個問題。我們也檢視了新冠病毒應對策略給我們的啟示:業務與網路安全之間的斷層。在未來的貼文中,我們將探討與業務單位密切合作的五大步驟,並瞭解與業務單位密切合作的安全主管如何度過他的一天。

深入瞭解:

相關文章

您是否容易受到最新攻擊程式危害?

輸入您的電子郵件地址,以便收到最新 cyber exposure 警示。

免費試用 立即購買

選擇 Tenable.io

免費試用 30 天

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。 立即註冊。

立即購買 Tenable.io

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

免費試用 Nessus Professional

免費試用 7 天

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買 Nessus Professional

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。完整詳情請見此處。

免費試用 立即購買

試用 Tenable.io Web Application Scanning

免費試用 30 天

享受我們專為現代應用程式而設計,屬於 Tenable.io 平台一部分的最新 Web 應用程式掃描產品的所有功能。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

購買 Tenable.io Web Application Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

免費試用 聯絡業務人員

試用 Tenable.io Container Security

免費試用 30 天

享受整合至弱點管理平台中的唯一容器安全產品的完整功能。監控容器映像中是否有弱點、惡意軟體及政策違規的情形。與持續整合和持續部署 (CI/CD) 系統整合,以支援 DevOps 作法、加強安全性並支援企業政策合規性。

購買 Tenable.io Container Security

Tenable.io Container Security 整合了建置程序,能提供包含弱點、惡意軟體和政策違規等容器影像安全性的能見度,讓您無縫並安全地啟用 DevOps 流程。

取得 Tenable.sc 產品示範

請填寫以下表格並附上您的聯絡資訊,我們的業務代表將盡快與您聯絡,以安排產品示範。您也可以附上簡短註解 (字元上限為 255 個)。請注意,標示星號 (*) 的欄位是必填欄位。

免費試用 聯絡業務人員

試用 Tenable Lumin

免費試用 30 天

透過 Tenable Lumin,能夠以視覺方式呈現 Cyber Exposure 並加以探索,長期追蹤風險降低狀況,以及對照同業進行指標分析。

購買 Tenable Lumin

聯絡業務代表,瞭解 Lumin 如何協助您獲得整個企業的深入洞見,並管理網路風險。

申請 Tenable.ot 產品示範

取得您所需要的操作技術安全性。
降低您無法處理的風險。