我们知道公司面临网络安全风险,实际上董事会也知道。他们清楚网络安全是个商业问题,也知道自己应该关注这一问题对业务意味着什么。但是,董事会往往对自己可以做点什么没有一个具体的概念。
一个不错的建议就是,将某安全事件,如数据泄露与董事会熟悉事情联系起来,然后再落到重要的安全控制上去。
这一方法能使你的董事会对情况多些了解,也能增加你安全策略的可信度。以下是使用这一方法的3个例子:
1. 网络划分、身份验证以及访问控制
内线消息:第三方厂商的安全凭证被盗,且被用作突破某大型全球零售商网络的轴心点。攻击者利用这一最初的数据泄露获取到了该零售商销售终端生态系统的访问权。这个案例中,第三方厂商仅仅需要对该网络非常有限的访问权即可,他们完全没必要访问那关键的POS系统。
为什么这很重要:公司运营中最关键的一条,就是要确保每个人都能做需要他们做的所有事情。保证他们能获取他们需要的所有东西但决不更多,是有效安全运营的关键。
你的董事会应该考虑的:清楚最小权限原则是公司运营有效且安全的基本原则。这一安全控制是每家公司企业都应该实现的安全基础。
2. 安全意识训练
内线消息:一个网络钓鱼骗局瞄准了一家年增数百万设备销售量的国际大牌消费设备公司。该网络钓鱼骗局可用于为网络罪犯投递攻击载荷。《威瑞森2015数据泄露调查报告》显示:23%的用户打开网络钓鱼邮件,11%会点击钓鱼链接——意味着每10封网络钓鱼邮件进入公司,就有90%的可能性至少有1名员工点击了恶意链接。
为什么这很重要:由于网络钓鱼骗局越来越普遍和精心设计,员工安全训练变得十分重要。安全技能训练帮助用户明白怎样将安全目标化为实践。
你的董事会应该考虑的:策略、规程和训练是公司深度防御战略的关键部分。要保证公司具有书面的安全策略和规程有助于引导员工的行为。此外,训练员工遵循这些实践有助于减少公司的安全风险。
3. 检测恶意攻击
内线消息:一家主流社交媒体厂商不得不面对公众数据泄露的指控。但最初看起来像是数据泄露的事件,其实只是引入到他们系统中的一个技术性改变引发的内部错误。现在每天都有成百上千的恶意软件攻击发生,很多公司都可能成为分布式拒绝服务(DDoS)攻击的受害者,这种攻击的目的就是要让你的目标用户连不上你的资源。
为什么这很重要:防护、检测和响应的原则就应用在这里了。有能力保护你的边界是非常重要的第一步。
接下来,能够检测出系统中的改变对于制定合适的响应计划非常关键。系统的基线配置,也就是所谓的“黄金镜像”,将帮助你的公司区分开“正常运营”的改变和恶意改变。
你的董事会应该考虑的:利用业务单位负责人识别出关键数据和资产是关键一步。只要做到这一点,与安全和IT团队协作就能为这些资产定义出安全配置以确保公司能发现安全事件并做出响应,尽快恢复到实际工作中。
利用高曝光率的数据泄露事件来夯实常见安全风险的例子能给你的董事会提供很好的直观教学课。这一方法能帮助他们理解自身可以怎样帮助改进公司的安全态势。这一策略也是培养他们对公司安全态势的支持,以及帮助鉴别适合你公司大小、产业和风险偏好的安全控制的绝佳方式。
作者:nana
来源:51CTO
