有兩種CISO：入侵前和入侵后。入侵前的CISOs過于關(guān)注工具，并考慮投資于預(yù)防技術(shù)。在這樣做的時(shí)候，他們幾乎沒有考慮一旦發(fā)生了不好的事情，恢復(fù)和及時(shí)恢復(fù)服務(wù)的問題。不好的事情會(huì)發(fā)生；這不是是否的問題，而是何時(shí)的問題(以及多久一次，所以“入侵節(jié)奏”似乎比入侵可能性更適合KPI)。

安全漏洞如何加強(qiáng)CISO的能力

“不是如果，而是何時(shí)”的口頭禪，現(xiàn)在比以往任何時(shí)候都更需要在我們的風(fēng)險(xiǎn)管理思想中根深蒂固。另一方面，入侵后的CISO明白(通常被公平地認(rèn)為是“來之不易的經(jīng)驗(yàn)”)，人員和流程要重要得多。在事故應(yīng)對(duì)情況下，“全員出動(dòng)”更多的是一種責(zé)任，而不是一種好處。有人可能試圖幫助驅(qū)逐入侵者，但實(shí)際上是在銷毀證據(jù)或破壞監(jiān)護(hù)鏈，以防案件進(jìn)一步提起刑事訴訟。

這種對(duì)入侵前和入侵后CISO的簡單二分法揭示了每個(gè)行業(yè)和各種形狀和規(guī)模的公司在安全計(jì)劃的視角、優(yōu)先順序和準(zhǔn)備方面的重要差異。突破會(huì)讓您的企業(yè)變得更強(qiáng)大。

Mike Wilkes很幸運(yùn)地在2021年拉斯維加斯的Black Hat和相應(yīng)的Black Hat CISO峰會(huì)上發(fā)表了演講。會(huì)議題為“執(zhí)行(dis)命令：會(huì)議室中的認(rèn)知和系統(tǒng)性風(fēng)險(xiǎn)”，而且出席人數(shù)和反響都很好，因?yàn)楹芏嗯c會(huì)者后來要求復(fù)印一份會(huì)議記錄。

雖然這段錄音目前還沒有提供，但去年12月，ActualTech Media發(fā)布了一段錄音。這個(gè)演示包含了這篇文章的思想種子，因?yàn)樗鼑@著識(shí)別影響安全項(xiàng)目治理的認(rèn)知風(fēng)險(xiǎn)。它還包括一節(jié)關(guān)于作為復(fù)雜系統(tǒng)的突現(xiàn)屬性的系統(tǒng)性風(fēng)險(xiǎn)的性質(zhì)。

系統(tǒng)風(fēng)險(xiǎn)需要更多的關(guān)注(懷疑不久的將來會(huì)有另一篇關(guān)于這個(gè)主題的博客文章)，特別是當(dāng)我們開始看到更多的“安全混亂工程”進(jìn)入CISO社區(qū)關(guān)于風(fēng)險(xiǎn)管理的討論時(shí)。

黑帽是自COVID - 19封鎖以來第一個(gè)“外出任務(wù)”。在那里，CISO鮑勃·洛德(Bob Lord)做了一場題為“如何在簡歷中加入漏洞并活下來講述故事”的演講，這非常有見地，極大地促進(jìn)了我們對(duì)韌性本質(zhì)的思考，以及我們應(yīng)該如何接受失敗而不是害怕失敗。

為什么首席信息官應(yīng)該接受網(wǎng)絡(luò)入侵

Bob Lord對(duì)入侵事件略知一二，因?yàn)樗粌H是DNC的第一位安全官員，而且還成為雅虎的CISO！2015年11月，他在雅虎的工作！涉及披露2013年和2014年發(fā)生的一些歷史上最大的入侵事件。

其中他的演講的是他創(chuàng)建的事件響應(yīng)時(shí)間表，其中包括通常沒有記錄或正式承認(rèn)的事件響應(yīng)生命周期的一部分：監(jiān)管機(jī)構(gòu)、網(wǎng)絡(luò)保險(xiǎn)公司、董事會(huì)和幾乎每一位紙上談兵的批評(píng)者對(duì)CISO以及他們?cè)谑录蛉肭质录l(fā)生前所做的工作進(jìn)行反思的時(shí)刻。

有第一個(gè)“攻擊”，即當(dāng)惡意攻擊者以某種方式破壞或危害您的基礎(chǔ)設(shè)施時(shí)。但還有第二次“攻擊”，CISO往往無法幸免。在一個(gè)被排除在大多數(shù)D&O(董事和高級(jí)管理人員)責(zé)任保險(xiǎn)范圍之外的職業(yè)中工作是非常令人沮喪的，在這種職業(yè)中，主要的操作模式是將CISO引入迎面而來的是底部，而不管他們的安全計(jì)劃的力度有多大。允許這種模式繼續(xù)下去是危險(xiǎn)的。

每次的泄密事件是一次極其寶貴的經(jīng)歷。一個(gè)“久經(jīng)沙場”的CISO應(yīng)該更值得珍視和重視。但相反，人們發(fā)現(xiàn)了充分的證據(jù)表明，違反CISO規(guī)定的繼任者是獲得加薪的人(無論是否應(yīng)得)。

幾年前在紐約的一次信息安全會(huì)議上，一名CISO講述了一個(gè)故事，某人(而不是他們)在一家大公司工作，年薪80萬美元，但實(shí)際上在安全程序本身上花費(fèi)了寶貴的幾美元，然后發(fā)生了勒索軟件事件。

“砰！”就像軍隊(duì)里說的那樣。“左側(cè)的砰”是導(dǎo)致事故或破壞的事件，而“右邊的砰”是事件和里程碑之后發(fā)生的時(shí)間線的一部分。

結(jié)果是CISO被解雇了，新的CISO得到了120萬美元的報(bào)酬。安全計(jì)劃預(yù)算與該行業(yè)的行業(yè)基準(zhǔn)“協(xié)調(diào)”，約占IT總支出的5%。與支付贖金、增加安全預(yù)算并將CISO的補(bǔ)償提高到此類組織的市場費(fèi)率相比，使用合理的安全計(jì)劃預(yù)算來保護(hù)組織會(huì)更便宜。

在網(wǎng)絡(luò)安全方面采取“反脆弱”方法

一個(gè)學(xué)習(xí)武術(shù)的朋友提到了納西姆·尼古拉斯·塔勒布的《反脆弱》一書。這本書的主題之一是，脆弱的系統(tǒng)和脆弱的事物在受到壓力和壓力時(shí)很容易崩潰。例如，骨骼可以通過施加壓力和外力來改善和硬化。他們天生就能承受壓力和沖擊。

因此，反脆弱性也許是我們想要更好地理解的屬性，以建立可靠和健壯的系統(tǒng)。系統(tǒng)實(shí)際上可以從波動(dòng)性和隨機(jī)攻擊中受益。當(dāng)然，反脆弱系統(tǒng)是用反脆弱組件構(gòu)建的。穩(wěn)健和抗脆弱系統(tǒng)是指那些在教育和心理學(xué)意義上表現(xiàn)出彈性的系統(tǒng)，而不是與延展性強(qiáng)度和拉伸性能相關(guān)的機(jī)械工程意義上的系統(tǒng)。

當(dāng)云基礎(chǔ)設(shè)施受到攻擊時(shí)，我們不只是想將其恢復(fù)到以前的形狀，只是恢復(fù)先前存在的功能和特性。相反，我們希望看到基礎(chǔ)設(shè)施因奧運(yùn)會(huì)而得到改善和轉(zhuǎn)變，并變得更好。從這個(gè)意義上講，網(wǎng)絡(luò)彈性意味著適應(yīng)。它說明了系統(tǒng)的模塊化特性，允許我們以新的方式組合其元素，而無需太多額外的工作和費(fèi)用。一個(gè)設(shè)計(jì)良好的云基礎(chǔ)設(shè)施應(yīng)該展示成功地幫助它優(yōu)雅地失敗的設(shè)計(jì)原則，而不是在出現(xiàn)故障時(shí)“一眨眼就消失了”。這只是“殺不死你的只會(huì)讓你更強(qiáng)大”這句格言的一個(gè)方面。

這里有一些設(shè)計(jì)原則，感覺它們應(yīng)該在現(xiàn)代信息安全程序中找到:

容錯(cuò)，健壯，適應(yīng)性強(qiáng)

可擴(kuò)展，彈性，自愈

分段/孤立的環(huán)境

改進(jìn)和降低復(fù)雜性

優(yōu)雅地降級(jí)而不是完全失敗

原子、簡單、模塊化的組件

緊密集成和松散耦合

深度保障安全

堅(jiān)持最小特權(quán)原則

值得信賴的設(shè)計(jì)，而不僅僅是認(rèn)證或認(rèn)證

CISO如何從網(wǎng)絡(luò)入侵中走出來

總之，請(qǐng)?jiān)试S我鼓勵(lì)你和你的同行們從失敗中尋找力量。當(dāng)你經(jīng)歷了一次安全事件或漏洞時(shí)，你的勇氣已經(jīng)受到了考驗(yàn)。不要羞于講述這個(gè)故事，用它來帶來你應(yīng)得的尊重和莊嚴(yán)。別人不會(huì)把這賜予你;你得把它賜予自己。有了這次入侵，你實(shí)際上已經(jīng)通過跨越“入侵后”ciso社區(qū)提升了你的形象。

就拿約翰·西蒙尼為例吧。他目前是戴爾技術(shù)公司的首席安全官。他手下有60個(gè)首席信息官。2019年，我在舊金山RSA的CISO訓(xùn)練營遇到了他。在會(huì)上，他談到了在戴爾擁有和運(yùn)營的眾多組織(包括RSA)中尋找信息安全人才所面臨的挑戰(zhàn)。他還提到，2014年11月索尼遭到朝鮮黑客攻擊時(shí)，他在索尼擔(dān)任全球首席信息技術(shù)官(值得注意的是，他只擔(dān)任了兩個(gè)月)。因此，破裂后還有生活，你應(yīng)該弄清楚如何最好地把它寫進(jìn)簡歷，并圍繞為什么這件事讓你變得更強(qiáng)大，寫出一篇扎實(shí)(真實(shí))的敘述。

SecurityScorecard可以幫助您從網(wǎng)絡(luò)事件中前進(jìn)

如果您有興趣了解您和您的企業(yè)如何更好地準(zhǔn)備和響應(yīng)網(wǎng)絡(luò)攻擊，SecurityScorecard的事件響應(yīng)解決方案使CISO能夠在發(fā)生攻擊時(shí)立即采取行動(dòng)補(bǔ)救事件并降低風(fēng)險(xiǎn)。

今日推薦

網(wǎng)絡(luò)安全評(píng)級(jí)

虹科網(wǎng)絡(luò)安全評(píng)級(jí)是一個(gè)安全評(píng)級(jí)平臺(tái)，使企業(yè)能夠以非侵入性和由外而內(nèi)的方式，對(duì)全球任何公司的安全風(fēng)險(xiǎn)進(jìn)行即時(shí)評(píng)級(jí)、了解和持續(xù)監(jiān)測。獲得C、D或F評(píng)級(jí)的公司被入侵或面臨合規(guī)處罰的可能性比獲得A或B評(píng)級(jí)的公司高5倍。虹科網(wǎng)絡(luò)安全評(píng)級(jí)對(duì)企業(yè)的安全狀況以及任何組織的安全系統(tǒng)中所有供應(yīng)商和合作伙伴的網(wǎng)絡(luò)健康狀況提供即時(shí)可見性。

該平臺(tái)使用可信的商業(yè)和開源威脅源以及非侵入性的數(shù)據(jù)收集方法，對(duì)全球成千上萬的組織的安全態(tài)勢進(jìn)行定量評(píng)估和持續(xù)監(jiān)測。網(wǎng)絡(luò)安全評(píng)級(jí)提供十個(gè)不同風(fēng)險(xiǎn)因素評(píng)分的詳細(xì)報(bào)告：

• 應(yīng)用安全
• 端點(diǎn)安全
• CUBIT評(píng)分
• DNS健康
• 黑客通訊
• IP信譽(yù)
• 信息泄露
• 網(wǎng)絡(luò)安全
• 修補(bǔ)頻率
• 社會(huì)工程

虹科網(wǎng)絡(luò)安全評(píng)級(jí)為各行各業(yè)的大小型企業(yè)提供最準(zhǔn)確、最透明、最全面的安全風(fēng)險(xiǎn)評(píng)級(jí)。

虹科是在各細(xì)分專業(yè)技術(shù)領(lǐng)域內(nèi)的資源整合及技術(shù)服務(wù)落地供應(yīng)商。虹科網(wǎng)絡(luò)安全事業(yè)部的宗旨是：讓網(wǎng)絡(luò)安全更簡單！憑借深厚的行業(yè)經(jīng)驗(yàn)和技術(shù)積累，近幾年來與世界行業(yè)內(nèi)頂級(jí)供應(yīng)商Morphisec，DataLocker，Allegro，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了緊密的合作關(guān)系。我們的解決方案包括網(wǎng)絡(luò)全流量監(jiān)控，數(shù)據(jù)安全，終端安全（動(dòng)態(tài)防御），網(wǎng)絡(luò)安全評(píng)級(jí)，網(wǎng)絡(luò)仿真，物聯(lián)網(wǎng)設(shè)備漏洞掃描，安全網(wǎng)絡(luò)時(shí)間同步等行業(yè)領(lǐng)先解決方案。虹科的工程師積極參與國內(nèi)外專業(yè)協(xié)會(huì)和聯(lián)盟的活動(dòng)，重視技術(shù)培訓(xùn)和積累。

此外，我們積極參與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、中國通信企業(yè)協(xié)會(huì)等行業(yè)協(xié)會(huì)的工作，為推廣先進(jìn)技術(shù)的普及做出了重要貢獻(xiàn)。我們?cè)诓粩鄤?chuàng)新和實(shí)踐中總結(jié)可持續(xù)和可信賴的方案，堅(jiān)持與客戶一起思考，從工程師角度發(fā)現(xiàn)問題，解決問題，為客戶提供完美的解決方案。