當今的CISO如何理解“主動安全”?在威脅發(fā)生之前做好準備，并提前規(guī)劃應對措施，需要充分的準備和正確的策略。

冰球傳奇Wayne Gretzky曾分享他在冰上成功的秘訣：“我滑向冰球?qū)⒁サ牡胤?，而不是它已?jīng)去過的地方?！?/p>

安全團隊若能在工作中采用Gretzky的這種前瞻性策略，將會大有裨益。那些專注于安全計劃未來目標的團隊，比起那些僅僅對已經(jīng)發(fā)生的事件做出反應的團隊，更能贏得勝利。

如今，“主動安全”已成為行業(yè)內(nèi)的流行詞匯，許多聲音呼吁CISO從被動安全轉(zhuǎn)向主動安全。今年早些時候，研究公司Omdia對北美、英國和歐洲的400多名安全決策者進行了調(diào)查，結(jié)果顯示47%的受訪者表示，他們的首要目標之一是“通過主動安全減少威脅的機會”。

那么，主動網(wǎng)絡(luò)安全究竟意味著什么?雖然定義各異，但簡單來說，它指的是更加注重為未來做準備，識別未來的威脅以及惡意行為者使用的戰(zhàn)術(shù)、技術(shù)和程序(TTP)，然后提前實施措施進行應對。

主動安全可能意味著重新評估團隊和策略

“在職能內(nèi)工作和在職能上工作之間需要取得平衡，這就是我認為被動和主動之間的區(qū)別。”IANS Research的教職員工兼公共部門CISO Wolfgang Goerlich表示，該公司是一家位于波士頓的網(wǎng)絡(luò)安全研究和咨詢公司。

“在職能上工作就是主動安全，安全團隊需要養(yǎng)成暫時跳出日常工作、休息片刻的習慣，用全新的視角審視如何架構(gòu)事務，思考是否擁有合適的人才和流程，以及技術(shù)和對手正在如何變化?！?/p>

當然，安全團隊必須保持強大的響應能力，以便在事件發(fā)生時能夠識別、控制并從中恢復，Goerlich和其他高級安全領(lǐng)導者如是說。

但他們也強調(diào)安全需要更加主動的原因，因為這使得CISO及其團隊和企業(yè)能夠領(lǐng)先于威脅，從而提高擊敗網(wǎng)絡(luò)對手的機會。

CISO繁重的工作可能阻礙主動規(guī)劃

提前規(guī)劃并不容易，尤其是在網(wǎng)絡(luò)安全領(lǐng)域，日益增多且復雜化的威脅使得許多防御者一直處于被動狀態(tài)。CISO及其團隊的日程已經(jīng)排得滿滿當當，處理諸如修補漏洞和向監(jiān)管機構(gòu)及董事會報告等緊急任務，讓他們難以騰出精力轉(zhuǎn)向更加主動的安全策略。正如Goerlich所說：“壓力越大，能看得多遠就越有限?！?/p>

此外，還有一個相關(guān)的挑戰(zhàn)，即需要跟蹤并緩解越來越多的風險和威脅。Gretzky可能只需要滑向即將出現(xiàn)的冰球，但安全團隊卻要面對“多個冰球和許多隊伍在同一個冰場上”，Goerlich指出。

CISO可以采取多種措施，將單純的被動安全計劃轉(zhuǎn)變?yōu)楦玫仄胶庵鲃优c被動的安全計劃。例如，許多CISO已經(jīng)實施了威脅狩獵計劃，還有一些參與了ISAC和其他信息共享實體。以下是幫助CISO領(lǐng)先于威脅的四個額外行動。

1. 安全框架可以幫助構(gòu)建主動性

金融科技咨詢公司Profinch的副總裁兼CISO、ISACA新興趨勢工作組成員Chetan Anand表示，他使用安全框架幫助他的團隊“預見并防止問題發(fā)生”，從而將他的安全計劃轉(zhuǎn)變?yōu)楦又鲃拥哪Ｊ健?/p>

Anand使用的是ISACA的數(shù)字信任生態(tài)系統(tǒng)框架(DTEF)，該框架于2024年初發(fā)布，旨在與其他現(xiàn)有框架和最佳實踐兼容，包括COBIT、ITIL、GDPR以及多個ISO和NIST標準。

他說，遵循框架能夠幫助安全打破孤島，專注于彈性，提升對安全操作的可見性，在問題變成隱患之前識別潛在問題，并為新興風險做好準備(因為這些框架本身也會隨著威脅環(huán)境的變化而演變)。

Anand表示，他通過ISACA的DTEF集成了ISO 27001:2022信息安全管理系統(tǒng)要求、ISO 9001:2015質(zhì)量管理系統(tǒng)要求以及ISO 31000:2018風險管理指南——這是他還遵循的三個標準。

他指出，這一切都有助于優(yōu)化安全成本并提高資源效率，節(jié)省下來的資源可以重新用于前瞻性活動，而不是被動應對。他補充道，“這有助于更好的規(guī)劃和準備?！?/p>

他還表示，遵循框架讓安全團隊更好地支持業(yè)務增長，因為安全團隊可以向新客戶和業(yè)務合作伙伴展示其已經(jīng)實施了適當?shù)拇胧﹣響獙ξ磥淼奶魬?zhàn)?！耙虼?，這也是一個戰(zhàn)略優(yōu)勢。”他補充道。

其他CISO似乎也同意Anand對使用框架的重視，研究顯示大多數(shù)CISO至少使用一個框架，然而，這種使用并非在所有企業(yè)安全團隊中都普遍存在，表明仍有改進空間。

2. 采用持續(xù)改進的安全計劃方法

Info-Tech安全與隱私實踐的研究分析師Ahmad Jowhar表示，他聽到很多CISO談論采取更主動的姿態(tài)——他將其描述為“在威脅和漏洞滲透或影響企業(yè)之前預測并應對?！?/p>

換句話說，他表示，這意味著今天采取行動，以減輕明天的威脅。

Jowhar指出，安全評估、安全培訓和全體員工的技能提升，以及構(gòu)建安全意識的企業(yè)文化，都有助于建立主動的安全姿態(tài)。

但他還建議CISO采用持續(xù)改進的方式來管理其安全計劃——類似于許多軟件產(chǎn)品團隊和典型企業(yè)中其他職能領(lǐng)域使用的持續(xù)改進流程。

“我們看到威脅在不斷演變并變得更加復雜，因此CISO也需要不斷進步，”他解釋道，“他們需要始終采取措施進行改進，不能認為昨天實施的方案今天和明天依然有效，這是主動安全的標志?！?/p>

Jowhar指出，CISO可以通過各種啟發(fā)性步驟來做到這一點。

其中一個步驟是識別企業(yè)的主要業(yè)務目標，并確保安全策略與這些目標保持一致并提供支持。

另一個關(guān)鍵步驟是了解當前安全計劃的狀態(tài)，明確未來理想的狀態(tài)，并詳細說明如何實現(xiàn)這一目標。“如果你現(xiàn)在處于2級，那就要找出如何提升到5級。列出從2級到3級，再從3級到4級，最后到5級的漸進步驟，并為這些步驟爭取業(yè)務上的支持?！盝owhar解釋道。

3. 定期舉行以未來為重點的會議

正如Goerlich指出的那樣，想要打造更主動安全計劃的CISO需要著眼未來。為了確保他有時間做到這一點，Goerlich每季度都會安排一次定期的外出會議，他和團隊在會上討論即將發(fā)生的變化。

“這為我們建立了一個流程和節(jié)奏，幫助我們擺脫日常事務，從而看到更大的全局，”他解釋道，“我們從頭開始，看看下個季度將會發(fā)生什么變化，問自己需要為哪些情況做好準備，我們回顧一下，看看哪些做得好，哪些不夠好，然后我們設(shè)定目標，以便繼續(xù)前進。”

Goerlich表示，他經(jīng)常邀請外部的安全專家，如供應商高管和其他思想領(lǐng)袖，參加這些會議，聽取他們對威脅演變的見解，以及新興的安全工具和技術(shù)來應對這些威脅，他有時還會邀請公司內(nèi)部的高管同事，以便他們分享自己的計劃和策略——這有助于確保安全工作與業(yè)務需求保持一致，推動企業(yè)前進。

他已經(jīng)看到了這種努力帶來的效果，他舉例說明，在一次外出會議上，團隊發(fā)現(xiàn)了其特權(quán)訪問管理(PAM)流程中的挑戰(zhàn)，特別是該流程所需的大量手動步驟。

“這是那種企業(yè)多年來逐步建立起來的流程，在當時看來完全合理，但隨著時間推移，情況發(fā)生了變化，流程不再運作良好?！盙oerlich解釋道。

因此，團隊對PAM計劃進行了重新設(shè)計，減少了步驟，并用新工具取代了舊工具，創(chuàng)建了一個更加自動化、更加高效且更安全的流程。

Goerlich表示，這個例子說明了定期召開以預見性為重點會議的價值，以及采取主動措施如何轉(zhuǎn)化為更好的安全性。他解釋說，重新設(shè)計的PAM流程提高了操作效率，減少了安全團隊為了支持依賴大量手動操作的傳統(tǒng)流程所需的緊急應對工作量。

4. 在企業(yè)內(nèi)創(chuàng)建并掌控網(wǎng)絡(luò)安全敘事

全球情報與網(wǎng)絡(luò)安全咨詢公司S-RM的美洲網(wǎng)絡(luò)安全咨詢主管Michael Clark表示，CISO面臨的最大挑戰(zhàn)之一是獲得足夠的支持和資源，以建立一個具備彈性的安全計劃，該計劃能夠在未來防護活動與響應能力之間取得適當?shù)钠胶狻?/p>

Clark將這一問題很大程度上歸咎于典型企業(yè)中當前的網(wǎng)絡(luò)安全敘事狀態(tài)，他表示，CISO的敘事往往通過另一位高管傳達給董事會，而這位高管常常對威脅形勢和企業(yè)的安全狀況呈現(xiàn)出一個“更加樂觀的畫面”。

“CISO想要傳達的信息并沒有傳達到董事會，”他說，并補充道，CISO需要一個與董事會溝通的渠道，“讓他們能夠以不被那個[溝通人]粉飾的方式提出他們的擔憂?！?/p>

他說，這對領(lǐng)先一步至關(guān)重要。

“威脅和監(jiān)管環(huán)境在變化，技術(shù)的復雜性也在不斷演進。如果CISO得不到他們需要的支持，就很難在這些變化中保持領(lǐng)先地位?！彼忉尩?。

能夠向CEO和董事會清晰表達安全動態(tài)，并成功爭取所需資源，這一直是CISO面臨的長期挑戰(zhàn)。

2024年SPMB Executive Search的調(diào)查數(shù)據(jù)反映了這一問題，調(diào)查發(fā)現(xiàn)，只有27%的CISO在2024年直接向CEO匯報(相比2023年的22%有所上升)，且只有54%的CISO至少每季度向董事會匯報一次，調(diào)查還發(fā)現(xiàn)，5%的CISO根本不向董事會匯報。

盡管其他調(diào)查顯示，向CEO和董事會匯報的CISO比例較高，但整體研究表明，CISO直接接觸董事會的情況仍然并不普遍或頻繁。

為了應對這些挑戰(zhàn)并獲得實施主動安全措施所需的資源，Clark建議CISO們“創(chuàng)造一種敘事，說明安全如何賦能業(yè)務、保護業(yè)務、支持品牌并提升投資者的信任。”

他說，CISO應該衡量并報告與風險相關(guān)的關(guān)鍵指標，展示這些安全措施如何與業(yè)務需求和戰(zhàn)略保持一致，并支持它們，然后，利用這些信息講述安全工作的故事，并指出需要改進的領(lǐng)域。

“領(lǐng)導者不希望向董事會傳遞負面信息，而CISO也不希望被指責為夸大其詞，因此他們必須創(chuàng)造并掌控敘事，他們需要學會如何闡明自己如何支持業(yè)務、如何保護品牌，然后從另一個角度說明存在的問題、如何解決這些問題，以及如何優(yōu)先處理這些工作?！盋lark說道。

Clark曾與一位CISO客戶合作，該客戶向董事會匯報時說安全團隊已經(jīng)識別了98%的需要保護的終端，而沒有說明如何識別剩下的2%，有多少終端得到了保護，這為什么重要，關(guān)閉保護缺口需要什么，以及不采取行動的風險。

“他們應該說，‘這是我們在當前預算下能做到的事情，如果我們想做更多或加快速度，這就是安全所需要的。’”Clark說道。

他補充道，這樣坦誠的討論更有可能讓CISO獲得他們所需的資源，以便實施安全措施，幫助他們領(lǐng)先于被動應對模式。