企业如何从被动选择的思维模式转变为积极主动的持续网络改进文化呢?回答这个问题对于增强网络弹性至关重要。对于那些在各种监管环境中摸索的企业来说,更深入地了解实时和持续的安全实践是至关重要的。
合规性不等于安全性
人们对网络安全最大的误解之一是合规性等同于全面的安全性。
人们应该把安全合规视为一种安全演习:就像企业拥有人员疏散计划,但并不能防止火灾一样。诸如美国联邦贸易委员会“保障规则”和支付卡行业(PCI)标准等法规旨在加强信息安全,这些标准确实做到了,但它们是网络安全团队应该遵守标准法规的下限,而不是上限。
此外,日益复杂的网络安全监管环境使得依赖基于合规性的方法变得越来越不稳定。企业可能会耗尽资源来完成年度或季度审计。一旦审计通过,自满情绪就会出现,而在下一个审计周期开始之前,可能出现新的漏洞。这种方法引入了安全漏洞,网络攻击者很快就会利用这些漏洞。
首席信息安全官需要改变这个根深蒂固且有缺陷的流程。要超越多种选项的思维模式,需要培养一种优先考虑持续改进网络安全防御和实践的企业文化,而不仅仅是通过定期审计,这一转变将构成强大和适应性安全态势的基石。
所以关键的问题是:企业如何开始建立一种持续网络改进的有效文化?这一切都始于强调实时安全实践。
实时的安全实践vs.定期的安全实践
实时的安全实践和定期的安全实践之间的相互作用是有效的漏洞管理的核心。由于每一种实践都有其独特的价值主张,一个强大的网络防御战略必须将这两种类型的实践融合成一个统一的方法。
在这个威胁瞬息万变的世界里,实时的安全实践是不可或缺的。例如,端点检测和漏洞检测必须是正在进行的过程。它们为网络提供发生变化的信息,在威胁出现时提醒企业。实时活动的失误可能会带来灾难:最近的勒索软件攻击表明,存在的漏洞可以在短短几小时内被利用,有时甚至更短。一个有效的实时安全系统提供了在漏洞被利用之前检测和纠正漏洞所需的关键窗口。
另一方面,定期的安全实践(例如渗透测试)提供了对系统进行压力测试和发现潜在弱点的机会。不过,它们的价值不应被夸大。渗透测试不是日常工具:它们更类似于性能评估。它们证明存在问题,但首先提醒注意问题的是持续的安全监控。
一些首席信息安全官严重依赖渗透测试,误以为它是解决网络安全问题的灵丹妙药。虽然渗透测试很有价值,但它们的设计目的并不是提供企业每天面临的威胁的实时数据。
保持平衡是关键。首席信息安全官必须管理实时活动,例如监控网络流量、威胁搜索和漏洞检测,以及例如渗透测试、风险评估和审计等定期活动。这种方法确保了全面的覆盖,利用每个实践的优势来创建一个环环相扣的、有弹性的网络威胁防御策略。企业的目标是创建一个安全系统,它不仅能够在审计中幸存下来,而且能够在面对现实世界的威胁时表现出色。
实时漏洞管理的紧迫性
为了建立网络安全改进文化,企业必须建立有效的漏洞管理策略,该策略依赖于不断评估潜在威胁的暴露情况,并采取主动措施减轻威胁。这一过程需要数据收集、威胁情报、风险评估和快速反应的复杂结合。
健壮的实时漏洞管理策略以一致的监控为基础。这涉及到利用安全信息和事件管理系统以及端点检测和响应平台来收集和分析整个网络的安全数据。这些工具旨在识别可能指示潜在安全事件的异常模式或行为。它们为响应网络威胁的方法提供了基础,使企业能够在检测到威胁时快速响应。
与这些系统相辅相成的是威胁情报馈送,它提供有关最新已知威胁和漏洞利用的数据。将威胁情报与安全信息和事件管理系统以及端点检测和响应工具集成可以增强其有效性,从而更快、更准确地检测到威胁。
一旦检测到威胁,企业需要进行风险评估,以确定其响应的优先级。并非所有漏洞都具有相同级别的风险,应该根据潜在影响分配资源。像通用漏洞评分系统这样的工具为评估漏洞的严重性提供了一种标准化的方法。这使得企业可以首先集中精力解决高风险漏洞,降低整体网络风险。
除了通用漏洞评分系统之外,企业必须确保他们有快速响应和修复检测到的漏洞的过程。这可能涉及补丁管理系统以快速部署更新或事件响应团队以管理更复杂的威胁。
实现持续改进网络的企业文化需要对这些先进的技术能力进行投资。它需要超越传统的、以合规性为中心的思维模式,并培养一种主动的方法,将实时威胁检测和响应置于企业网络战略的中心。
