Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱
  • Twitter
  • Facebook
  • LinkedIn

為何網路安全主管難以回答「我們有多安全?」這個問題?

為何網路安全主管難以回答「我們有多安全?」這個問題?

獨立的業務風險研究指出,網路安全很少與業務策略完全整合,但其實應該要這麼做。

想想看:一個登上報紙頭條的弱點被披露出來,新聞和社交媒體大肆報導。全球幾乎每個企業都要使用的軟體被牽扯其中。董事會强烈要求給出答案,而高階主管們火燒眉毛,忙成一團。貴公司的執行長召開緊急會議。她問的第一個問題是:「我們有多安全?」 

您準備好回答這個問題了嗎?

如果準備好回答了,則您幸運之至。根據 Tenable 委託 Forrester Consulting 進行的一項研究,10 位安全主管當中,只有 4 位表示他們能夠充滿自信地回答「我們有多安全或多危險?」這個問題*。 

如果您對網路安全稍加研究過,就知道為何回答這個問題比看起來要難得多。 

當然,您可以提供有關受到影響的系統數量和您團隊修復速度的資料。但是,所有這些資料都無法為您的執行長提供她想要的答案。她真正想瞭解的是:此弱點是否會對我們創造核心業務價值的能力產生負面影響? 

Forrester 受委託所進行的研究 (研究群體為位於 10 個國家的 416 位安全高階主管和 425 位業務高階主管) 顯示,企業在瞭解和管理網路風險方面存在脫節現象。根據「和業務單位密切合作的安全主管之崛起」研究,66% 的業務主管對其安全團隊量化其企業風險或安全等級只有一點點信心,這個結果令人震驚。該研究還揭示:

  • 只有不到 50% 的安全主管能夠在特定業務風險的背景下勾勒出網路安全威脅的影響範圍。 
  • 只有半數 (51%) 的資安主管表示,其資安團隊會與業務利害關係人共同合作,讓成本、績效及降低風險的目標與業務需求密切配合。
  • 只有 43% 的安全主管表示自己會定期與業務利害關係人共同檢討安全團隊的績效指標。
  • 不到半數 (47%) 的安全主管在制定網路安全策略時會經常ˊ諮詢業務高階主管。另一方面來說,10 位業務高階主管當中,有 4 位 (42%) 在制定企業的業務策略時幾乎不會 (就算有也很少) 諮詢安全主管。
  • 只有 54% 的安全主管和 42% 的業務高階主管表示其網路安全策略完全或接近完全配合業務目標。 

在與 Tenable 進行的訪談中,田納西州橡樹嶺市的橡樹嶺國家實驗室資安長 Kevin Kerr 表示,「與業務主管談話時,最大的挑戰是力求使用非技術語言並專注於業務,或者能夠將技術語言轉換為業務語言。如果您對業務一竅不通,那就做不到這一點。您得瞭解他們害怕什麼、對威脅的看法以及他們認為哪些是重要的事。如果您瞭解他們的業務,您知道他們要做什麼,要保護什麼,要將什麼貨幣化;您便可以向他們展現安全做到這一點的最佳方式,以達到他們要求的標準,同時還能讓他們可以無拘無束地執行他們的業務。」

瞭解業務背景資訊

瞭解網路風險的業務背景資訊並不容易,不同企業,對此問題的回答也有所不同。 

位於墨西哥 San Pedro 的 Home Depot Mexico 資安長 Cesar Garza 表示:「風險是業務高階主管瞭解且害怕的一個名詞,也是網路安全中最廣為周知的詞彙。我們的網路安全專業人員每分每秒都在處理風險,包括:弱點、程式碼缺陷、人為因素、中斷的流程、不適用的技術、設定錯誤等。風險是網路安全高階主管和業務高階主管之間最常探討的話題。這是雙方之間的共通點。但是,將網路安全風險轉換為高階主管可以理解的業務風險仍是一個挑戰。在有些情況下,我們需要想像最壞的情況,談論諸如罰款、品牌損害和失去客戶忠誠度等問題,才能向業務高階主管傳達確切的訊息。因此,我喜歡這麼說:讓我們聊聊風險吧,這樣我們才能瞭解網路安全投資。」

為了提供業務背景資訊,安全和風險管理主管必須先要回答兩個關鍵問題:

  1. 企業的核心價值創造是什麼?對製造業而言,此問題的回答可能是製造和銷售小商品來取得利潤。對於醫療保健業而言,此問題的回答可能是為患者提供醫療保健。對於政府而言,此問題的回答可能是為公眾提供服務,例如頒發駕照或進行垃圾處理。 
  2. 企業的哪些 IT 資產對實現核心價值創造至關重要?例如,如果企業有 ERP 系統、醫療記錄應用程式或資料庫,那麼在離線時,是否會造成業務營運陷入停頓狀態?是否存在某些使用者群組,其電腦受損時會洩露關鍵的智慧財產權或敏感性資料,從而可能妨礙企業實現該核心價值?是否存在一個雲端環境,在其離線時,可能擾亂重要的客戶專用型 Web 服務(例如銀行或電子商務網站)?

在與 Tenable 進行的訪談中,位於麻塞諸塞州 Needham 的全球旅行平台副總裁暨資安長 Rick Vadgama 表示:「與各個業務主管建立良好的業務合作夥伴關係或進行接觸,確實可以瞭解業務計畫的一些情況。如果他們的系統不執行,功能不可用,這將會對其營收產生什麼樣的影響?基於這一點,從安全角度來看,我們應瞭解我們該在將時間和人力花在何處,以確保對構成該系統的所有資產都瞭如指掌,而且知道有哪些弱點。作為資訊安全主管,我們接觸的環境非常多。透過切實與業務主管合作,您會親耳聽到他們所瞭解的是他們賴以生存的關鍵系統,然後您可以圍繞這個方面展開工作。」

儘管增加對業務背景資訊的瞭解非常重要,但同樣重要的是,即使有了這種瞭解,現有的資產管理和組態資料庫也只能為我們做這些了。首先,資產清單和組態管理是相當靜態的作業。以我的經驗而論,大多數企業僅限於對關鍵業務功能進行年度風險評估或業務影響分析。這種靜態方法幾乎不足以掌握現代攻擊破綻的實際情況,其中包括內部部署和雲端型 IT、物聯網 (IoT) 和操作技術的動態組合。 

例如,在大多數企業中,雲端服務每天都會根據需要執行。隨著員工的入職或離職,企業會不斷地新增或移除運算資產。並根據業務需求的變化持續建置和升級應用程式與軟體。而且,為了應對 COVID-19 疫情,全球大量員工已經轉為在家工作的模式,這可能為企業的營運方式樹立新的典範。由於當今企業隨著數位商業的步伐快速發展,資產盤點清單已經無法跟上發展的步伐。安全主管只能使用一些可用的工具來盡可能全面地瞭解資產重要性。 

在與 Tenable 進行的訪談中,LafargeHolcim 位於馬德里的歐洲、中東暨非洲地區 IT 部門的 IT 安全和內部控制主管 Jose Maria Labernia Salvador 表示:「身為安全專業人員,我們面對的最大挑戰是所經歷的成長速度 (尤其是在非自然成長的產業中) 以及在執行量化風險評估時的不明確性」。

在識別重要業務資產工作的同時,您還必須能夠對企業每年面對的成千上萬個威脅和弱點排定優先順序,以找出實際上會對核心資產造成最高風險的弱點。安全主管需要在弱點或攻擊方式帶來的威脅、以及修復或減輕業務影響這兩者之間取得平衡。基本而言,您需要瞭解您面對該問題的曝險有多高、使用現成的穩健流程解決此問題的速度有多快,以及對此問題不聞不問與善加解決對您的核心業務價值會產生哪些影響。

如果再有頭條新聞大肆報導的弱點讓貴公司高層坐立不安,您準備好如何應對了嗎?

您的高階主管終究很可能不是網路安全專家,而且肯定也不是弱點專家。他們真正想知道的是:我們的網路安全做法對創造價值的業務有什麼影響?採用與業務單位密切合作的方法,您可以充滿信心地評估有多少弱點對那些對業務的核心領域有最大影響的資產至關重要,因為這樣才能讓您明確回答「我們有多安全或多危險?」這個問題。 

本系列先前的部落格文章著重於網路安全與業務密切配合的挑戰,以及網路安全主管為何難以回答「我們有多安全或多危險?」這個問題。此外,本系列也探討了新冠病毒應對策略給世人的啟示,分析業務與網路安全之間的斷層,並且反思當資安長需要與高階主管及董事會溝通時,現有的網路安全指標為何不足。在接下來的文章中,我們會介紹有哪些切實可行的步驟可讓企業中的網路安全與業務相互配合,同時一窺與業務單位密切合作的網路安全主管的工作日常。 

深入瞭解:

相關文章

您是否容易受到最新攻擊程式危害?

輸入您的電子郵件地址,以便收到最新 cyber exposure 警示。

免費試用 立即購買

選擇 Tenable.io

免費試用 30 天

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。 立即註冊。

立即購買 Tenable.io

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

免費試用 Nessus Professional

免費試用 7 天

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買 Nessus Professional

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。完整詳情請見此處。

免費試用 立即購買

試用 Tenable.io Web Application Scanning

免費試用 30 天

享受我們專為現代應用程式而設計,屬於 Tenable.io 平台一部分的最新 Web 應用程式掃描產品的所有功能。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

購買 Tenable.io Web Application Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

免費試用 聯絡業務人員

試用 Tenable.io Container Security

免費試用 30 天

享受整合至弱點管理平台中的唯一容器安全產品的完整功能。監控容器映像中是否有弱點、惡意軟體及政策違規的情形。與持續整合和持續部署 (CI/CD) 系統整合,以支援 DevOps 作法、加強安全性並支援企業政策合規性。

購買 Tenable.io Container Security

Tenable.io Container Security 整合了建置程序,能提供包含弱點、惡意軟體和政策違規等容器影像安全性的能見度,讓您無縫並安全地啟用 DevOps 流程。

取得 Tenable.sc 產品示範

請填寫以下表格並附上您的聯絡資訊,我們的業務代表將盡快與您聯絡,以安排產品示範。您也可以附上簡短註解 (字元上限為 255 個)。請注意,標示星號 (*) 的欄位是必填欄位。

免費試用 聯絡業務人員

試用 Tenable Lumin

免費試用 30 天

透過 Tenable Lumin,能夠以視覺方式呈現 Cyber Exposure 並加以探索,長期追蹤風險降低狀況,以及對照同業進行指標分析。

購買 Tenable Lumin

聯絡業務代表,瞭解 Lumin 如何協助您獲得整個企業的深入洞見,並管理網路風險。

申請 Tenable.ot 產品示範

取得您所需要的操作技術安全性。
降低您無法處理的風險。