四种实用的方法来优先考虑你的网络安全投资

发展和优先考虑投资需求并不是一项容易的任务,对大多数首席信息安全官员(Cisos)来说是一项简单的任务。他们中的大多数都面临着强大的预算限制,需要广泛地证明他们要求的每一分钱。有些人只会在组织经历重大违规后获得了很大的支出。本文旨在提供有助于识别和优先考虑将不断提高组织的网络安全姿势的所需投资的选定的务实方法清单。

基于风险的方法

风险是一个函数可能性威胁的演员利用一个脆弱性在一个资产,而且影响如果风险发生,组织将面临风险。

这种方法是非常著名和广泛的描述方法。这种方法有一些差异,但都是高水平的。它处理识别一个组织的网络安全风险,估计他们的年发生率(可能性),和年度亏损(影响)如果风险实现,组织可能会面临。最高的风险年化预期损失应该是需要处理的最高优先事项。一旦风险被识别和评分,CISO需要做的就是识别出最有效的安全控制,在降低风险的同时减轻风险年度成本比风险的年度损失预期寿命。

这听起来容易,但实际上并非如此。良好的定量风险评估需要持续的操作工作,以便持续监测:

  • 组织中的资产及其价值;
  • 影响这些资产的漏洞;
  • 有机会和意图攻击的威胁行为者。

在我看来,风险管理是持续改善组织网络安全态势的最佳战略方法。然而,至少可以这么说,它仍然不是那么普遍。

让我分享三种可以在达到范围内的三种互补方法,以较短的术语使用,并支持决策过程,以避免基于或急于投资。

基于合规性的方法

有许多标准和最佳实践可以准备使用清单来用于识别缺失措施。

有大量的免费资源国家标准与技术研究院值得一提的是NIST。在他们的特别出版物中,你会发现几乎所有需要建立一个完整和健全的网络安全战略、政策、过程和程序。

风险管理是持续改善组织网络安全态势的最佳战略方法

“体验”的方法

每个安全操作中心(SOC)或事件响应团队收集有关受保护组织安全态势细节的宝贵见解。对于每一个安全事件,这个团队都必须从他们的分析中得出以下结论:

  • 验证和建议的课程清单;
  • 事件的根本原因;
  • 什么/谁最终发现了这个事件以及如何发现的。

上面的输出直接提示了缺点在哪里,以及应该优先解决什么问题。例如,如果最常见的感染载体是过去几个月的恶意Office文档,那么很明显,首先需要改进邮件过滤。另一方面,假设安全团队在一个大型组织中空闲,他们不向CISO提供这样的输入。在这种情况下,这很可能意味着检测和响应能力出现了严重问题。再一次,我们确定了一个需要改进的领域。

预防-检测-响应方法

这种方法是NIST Cyber​​安全框架的简化版本,它是关于将安全控件匹配到这三个区域:

  • 防止入侵尝试
  • 检测没有被阻止的内容
  • 回应被检测到的内容

首先,可以创建一个简单的表,将这三个功能作为列,并在其中放入现有的控件。在许多情况下,解决方案会重叠,并且希望有多种方法覆盖同一区域(纵深防御)。这里的目标是避免盲点,如果发现了盲点,下一笔投资可能会解决这些问题。

下面的示例在响应功能中显示了间隙,同时在网络和端点周边覆盖之间保持良好的平衡。

最后一个词

很可能大多数组织都在使用以上所有方法中的元素,而且毫无疑问还有更多的方法存在。虽然它们各不相同,但却有一个重要的共同点。这个元素就是人。如果你的员工是你自己的员工或拥有所需专业知识的服务提供商,这将会有所帮助。如果你只是为了在某个复选框中打个标记而只做了一次,那么你最终会给你的高管一种虚假的安全感,更不用说浪费钱了。网络安全并不是一种部署后就被遗忘的业务。

分享这篇博客文章


对卢卡斯Olszewski

Atos CERT - BDS全球负责人,科学界成员
Lukasz Olszewski是一个网络安全专家和领导者,拥有超过13年的经验。他是ATOS专家社区的杰出专家。他目前领导ATOS计算机应急响应团队(CERT)提供数字取证,安全事件响应,恶意软件分析,威胁狩猎,红色合作和情报服务。Lukasz具有计算机科学的学位,此前已成为系统管理员,主要与Linux和Unix系统一起工作。之后,他加入了苏格兰皇家银行,作为技术安全风险评估的技术风险分析师。2013年Lukasz加入了Atos作为安全工程师,后来在暹粒和安全监测,检测和分析领域的主要建筑师作用。Lukasz已经回应了许多严重的安全事件,参加了许多全球安全项目,主要研发计划,多种概念证明和撰写许多安全服务流程。Lukasz还经过认证信息系统专业(CISSP),GIAC认证事件处理程序(GCIH),GIAC认证法医分析师(GCFA)和认证的道德黑客(CEHV8)。

遵循或联系Lukasz