根據(jù)最新研究，用于支持技術(shù)升級(jí)、安全培訓(xùn)和業(yè)務(wù)舉措的安全預(yù)算不足，會(huì)對(duì)企業(yè)造成不成比例的影響，使企業(yè)更易受到攻擊。

由Splunk委托的一項(xiàng)針對(duì)歐洲、美國(guó)、澳大利亞和日本600名CISO的調(diào)查發(fā)現(xiàn)，董事會(huì)和安全領(lǐng)導(dǎo)者之間存在語(yǔ)言和優(yōu)先級(jí)上的差距。CISO們面臨著控制支出和外包職能的壓力，同時(shí)還需要證明安全舉措的業(yè)務(wù)價(jià)值。

這家思科旗下的安全可視化公司進(jìn)行的調(diào)查發(fā)現(xiàn)，在某些領(lǐng)域削減開(kāi)支——如員工培訓(xùn)和技術(shù)升級(jí)延期——比其他領(lǐng)域更容易導(dǎo)致重大安全事件。

這些來(lái)自同行調(diào)查的見(jiàn)解可以幫助CISO們?cè)诜磳?duì)董事會(huì)提出的預(yù)算削減時(shí)，構(gòu)建更有說(shuō)服力的風(fēng)險(xiǎn)導(dǎo)向型論點(diǎn)——或者在最壞的情況下，當(dāng)面臨預(yù)算限制時(shí)，為自己的投資決策提供依據(jù)。

技術(shù)升級(jí)延期

隨著網(wǎng)絡(luò)威脅以前所未有的速度演變，推遲必要的技術(shù)升級(jí)會(huì)對(duì)企業(yè)造成嚴(yán)重影響。最新的技術(shù)更新旨在增強(qiáng)企業(yè)的安全功能，并直接應(yīng)對(duì)最近發(fā)現(xiàn)的挑戰(zhàn)。

“舊系統(tǒng)缺乏允許更先進(jìn)功能的新特性和功能，比如遷移到云端，”Splunk發(fā)言人Kirsty Paine告訴記者，“沒(méi)有更新的安全功能，將信息遷移到云端可能會(huì)留下漏洞?！?/p>

推遲技術(shù)升級(jí)還會(huì)使企業(yè)依賴過(guò)時(shí)的傳統(tǒng)系統(tǒng)，從而增加安全債務(wù)。

CISO們報(bào)告稱，推遲升級(jí)是最常見(jiàn)的成本削減措施，結(jié)果有62%的時(shí)間會(huì)導(dǎo)致數(shù)據(jù)泄露。

安全培訓(xùn)縮減

當(dāng)預(yù)算被削減時(shí)，許多企業(yè)會(huì)感受到縮減或完全取消培訓(xùn)項(xiàng)目的壓力，導(dǎo)致員工無(wú)法識(shí)別潛在威脅。

這通常成為一個(gè)問(wèn)題，因?yàn)槿藶殄e(cuò)誤——如軟件或基礎(chǔ)架構(gòu)配置錯(cuò)誤——經(jīng)常導(dǎo)致停機(jī)時(shí)間和業(yè)務(wù)收入損失。此外，削減安全意識(shí)培訓(xùn)會(huì)導(dǎo)致整個(gè)企業(yè)形成松散的安全文化。

“安全培訓(xùn)對(duì)于減少人為錯(cuò)誤、讓員工識(shí)別釣魚(yú)攻擊至關(guān)重要，因此通過(guò)取消培訓(xùn)，企業(yè)更容易遭受攻擊，”Splunk的Paine說(shuō)。

超過(guò)三分之一(36%)的CISO表示由于預(yù)算限制而削減了培訓(xùn)，其中45%因此遭遇了成功攻擊。

不支持業(yè)務(wù)舉措

安全團(tuán)隊(duì)往往沒(méi)有獲得足夠的人員、時(shí)間或其他資源來(lái)支持公司的發(fā)展或增長(zhǎng)，導(dǎo)致安全能力與它們本應(yīng)保護(hù)的業(yè)務(wù)舉措之間存在不匹配。

這通常發(fā)生在為了迅速推進(jìn)而采取的數(shù)字化舉措中，例如最近爭(zhēng)相采用AI，這導(dǎo)致許多企業(yè)跳過(guò)傳統(tǒng)的安全加固措施，轉(zhuǎn)而追求快速勝利和廣泛實(shí)驗(yàn)。

“業(yè)務(wù)舉措可能是新產(chǎn)品或功能，或是不同的工作方式(如居家辦公)，”Splunk的Paine解釋說(shuō)，“無(wú)論舉措是什么，如果沒(méi)有安全支持，這些舉措通常是在沒(méi)有考慮安全的情況下設(shè)計(jì)的?！?/p>

Paine補(bǔ)充道：“眾所周知，‘事后添加安全’的方法比‘設(shè)計(jì)時(shí)考慮安全’的方法更糟糕?！?/p>

根據(jù)調(diào)查，只有少數(shù)CISO(18%)獲得的資金支持不足以支持業(yè)務(wù)舉措，但其中近三分之二(64%)因此遭遇了數(shù)據(jù)泄露。

溝通脫節(jié)

Splunk的研究報(bào)告《CISO報(bào)告》揭示了CISO和董事會(huì)之間在安全資金方面的脫節(jié)，41%的董事會(huì)認(rèn)為他們的安全預(yù)算足夠，而只有29%的CISO持相同看法。

“這種差異通常源于董事會(huì)將安全預(yù)算視為戰(zhàn)術(shù)問(wèn)題，而沒(méi)有考慮其對(duì)業(yè)務(wù)的更廣泛影響，”Paine說(shuō)，“為了改變這種觀點(diǎn)，CISO們必須用業(yè)務(wù)成果來(lái)解釋他們工作的價(jià)值，比如他們正在保護(hù)的收入和品牌聲譽(yù)?！?/p>

董事會(huì)保護(hù)盈利能力，而CISO專注于保護(hù)數(shù)據(jù)和系統(tǒng)。為了彌合這一差距，董事會(huì)成員和CISO需要確定對(duì)各自利益相關(guān)者而言近乎同等重要的領(lǐng)域，Splunk建議。

“例如，CISO們不應(yīng)該專注于平均修復(fù)時(shí)間(MTTR)，而應(yīng)該優(yōu)先考慮降低風(fēng)險(xiǎn)，并向董事會(huì)傳達(dá)降低導(dǎo)致更高投資回報(bào)率的風(fēng)險(xiǎn)的重要性，這是他們更熟悉的術(shù)語(yǔ)，”Paine總結(jié)道。

了解如何說(shuō)服董事會(huì)批準(zhǔn)安全資金是CISO們必須掌握的一項(xiàng)技能。同樣重要的是確保雙方對(duì)期望相互尊重，從而在董事會(huì)和CISO之間建立雙向溝通渠道。

證明安全支出的合理性

記者采訪的獨(dú)立專家同意報(bào)告得出的結(jié)論，即適當(dāng)?shù)馁Y金對(duì)于網(wǎng)絡(luò)安全至關(guān)重要。面臨縮減安全支出或培訓(xùn)壓力的首席安全官需要據(jù)理力爭(zhēng)，用業(yè)務(wù)(而非技術(shù))術(shù)語(yǔ)來(lái)證明安全支出承諾的合理性。

Trend Micro英國(guó)網(wǎng)絡(luò)安全總監(jiān)Jonathan Lee表示，企業(yè)仍然經(jīng)常將安全支出視為可以削減以追求利潤(rùn)的成本，而不是支持增長(zhǎng)的投資。

“企業(yè)對(duì)威脅的攻擊做出反應(yīng)是不可接受的，”Lee認(rèn)為，“只有大約三分之一的企業(yè)有具備網(wǎng)絡(luò)安全知識(shí)的董事會(huì)成員，是時(shí)候消除高層普遍存在的樂(lè)觀偏見(jiàn)，用顯著減少導(dǎo)致首次被攻擊的漏洞的安全措施來(lái)從戰(zhàn)略上支撐企業(yè)的目標(biāo)?！?/p>

漏洞眾包平臺(tái)Bugcrowd美洲區(qū)的CISO Trey Ford承認(rèn)，嚴(yán)峻的經(jīng)濟(jì)形勢(shì)意味著預(yù)算緊張，但認(rèn)為削減安全支出來(lái)支持之前已同意的項(xiàng)目將是危險(xiǎn)的。

“預(yù)算削減影響安全規(guī)劃、戰(zhàn)略和運(yùn)營(yíng)的各個(gè)方面——這些都是與風(fēng)險(xiǎn)委員會(huì)保持一致，在整個(gè)企業(yè)中精心策劃的復(fù)雜體系，”Ford告訴記者。

對(duì)于運(yùn)營(yíng)安全團(tuán)隊(duì)來(lái)說(shuō)，人員編制凍結(jié)不僅僅是令人沮喪，它會(huì)加速警報(bào)疲勞、值班輪換和倦怠。工具和項(xiàng)目的資金流失可能會(huì)加劇可見(jiàn)性差距——限制日志覆蓋范圍、監(jiān)控和警報(bào)，或系統(tǒng)和應(yīng)用程序中漏洞的測(cè)試和跟蹤。

“失去資金的安全舉措很少屬于‘可有可無(wú)’的類別——它們幾乎總是與風(fēng)險(xiǎn)委員會(huì)優(yōu)先處理的風(fēng)險(xiǎn)項(xiàng)目和控制差距有關(guān)，”Ford說(shuō)，“正在處理的風(fēng)險(xiǎn)和被取消資金的項(xiàng)目將需要重新接受風(fēng)險(xiǎn)評(píng)估，并可能需要向董事會(huì)的風(fēng)險(xiǎn)委員會(huì)報(bào)告?！?/p>

就風(fēng)險(xiǎn)達(dá)成共識(shí)并溝通

應(yīng)用安全測(cè)試供應(yīng)商Immuniweb的CEO Ilia Kolochenko認(rèn)為，安全領(lǐng)導(dǎo)者需要制定連貫的網(wǎng)絡(luò)安全戰(zhàn)略。

“許多企業(yè)傾向于擁有來(lái)自不同供應(yīng)商的重疊且因此冗余的解決方案，同時(shí)分配很少或沒(méi)有時(shí)間來(lái)妥善處理安全警報(bào)和事件響應(yīng)，”Kolochenko說(shuō)。

“更糟糕的是，只有令人擔(dān)憂的一小部分企業(yè)擁有定義明確、長(zhǎng)期導(dǎo)向和全面的網(wǎng)絡(luò)安全戰(zhàn)略，該戰(zhàn)略將涵蓋第三方風(fēng)險(xiǎn)管理、配置錯(cuò)誤、多云環(huán)境中身份和訪問(wèn)管理(IAM)的漏洞、容器安全或新興的AI風(fēng)險(xiǎn)等關(guān)鍵領(lǐng)域，包括軟件工程師過(guò)度依賴AI機(jī)器人生成的合成代碼，而這些代碼經(jīng)常包含漏洞甚至后門程序，”Kolochenko說(shuō)。

CISO和董事會(huì)需要協(xié)調(diào)他們的優(yōu)先級(jí)，并就一種溝通方式達(dá)成一致，通過(guò)這種方式可以不斷理解、闡述和緩解網(wǎng)絡(luò)風(fēng)險(xiǎn)。

“這將有助于確保決策和投資是在充分了解的基礎(chǔ)上做出的，”Lee說(shuō)，“這應(yīng)該能夠使預(yù)算花在正確的領(lǐng)域，從而確保遵守法規(guī)要求，并使服務(wù)持續(xù)運(yùn)行?！?/p>

身份安全供應(yīng)商One Identity的現(xiàn)場(chǎng)戰(zhàn)略師Alan Radford認(rèn)為，培訓(xùn)、系統(tǒng)更新、災(zāi)難恢復(fù)規(guī)劃、事件響應(yīng)和合規(guī)性監(jiān)控等基礎(chǔ)要素對(duì)于保持強(qiáng)大的安全態(tài)勢(shì)至關(guān)重要。

“業(yè)務(wù)驅(qū)動(dòng)型網(wǎng)絡(luò)安全并非購(gòu)買最昂貴的工具，而是將技術(shù)、流程和人員結(jié)合起來(lái)，以有效降低風(fēng)險(xiǎn)，”Radford告訴記者，“安全領(lǐng)導(dǎo)者必須向董事會(huì)傳達(dá)，風(fēng)險(xiǎn)降低不僅僅關(guān)乎工具，還關(guān)乎運(yùn)營(yíng)韌性。投資于人員、培訓(xùn)和運(yùn)營(yíng)準(zhǔn)備工作的回報(bào)高于任何單項(xiàng)技術(shù)采購(gòu)?！?/p>