图源:Pattara via Alamy Stock Photo
我记得自己刚担任首席信息安全官时的早期经历。我们常常被安排在信息技术部门的一个昏暗角落,说着其他高管们只是出于礼貌才勉强忍受的端口、补丁和协议等术语。
直到我学会了将安全漏洞转化为业务风险,对话内容以及我的职业生涯才发生了根本性的变化。如今,作为首席执行官,我从另一个角度看待这个问题:安全不仅仅是一种防御机制,它还可以作为一种资源管理的战略项目。
现代首席信息安全官面临着一个根本性的困境:工具箱里堆满了各种工具,预算却有限,而董事会却要求证明“我们受到保护”。传统的做法,比如购买工具以满足合规性要求,或者对最新供应商的炒作做出反应,都已经失败了。这使得安全工作陷入了一种混乱的猜测状态,其中的重复冗余往往掩盖了巨大的漏洞。
最有效的解决方案是采用以威胁为导向的防御战略。这种方法要求将每一笔安全资金、每一个控制措施和每一种工具都精心地与最有可能给组织带来经济损失的具体现实攻击行为相对应。它还重新定义了首席信息安全官的角色,从技术守护者转变为战略风险管理合作伙伴。让我们先来看看为什么以合规为基础的技术守护者——首席信息安全官的方法会不足。
一、优先考虑正确的威胁:从对手的视角来看
以合规为基础的模式的第一个失败之处在于其无法进行优先级排序,并非所有漏洞都是平等的,也并非所有威胁都与企业相关。对于一家公司来说,至关重要的是要评估并证明其在缓解最严重的威胁上花费资金,而不是在那些微不足道的风险上。这种做法被称为风险优先级排序,确保首先解决最具影响力的威胁,以保护财务绩效、声誉和长期可行性。将有限的资源浪费在微不足道的风险上,会使组织面临灾难性的、但可预防的损害。
以威胁为导向的策略通过迫使组织采取以下步骤来纠正这一点:
1.识别对手。利用威胁情报来识别针对你的行业、地理位置和技术堆栈的具体威胁行为者。
2.将战术映射到资产。利用像MITRE ATT&CK这样的框架,将对手团体已知的战术、TTP(技术与程序)直接映射到你的组织的“核心资产”。
3.量化影响。根据潜在损失预期对TTP(技术与程序)的技术严重性评分进行排名。
将安全工具与风险相映射是一个战略过程,它将每一个安全控制措施(无论是工具还是能力)与它旨在缓解的具体业务风险相匹配。它将安全团队的注意力从跟踪工具部署(一个技术指标)转移到衡量财务或运营风险的降低(一个业务指标)上。
二、识别覆盖漏洞和工具冗余
一旦组织的首要威胁按照其财务风险进行优先级排序,以威胁为导向的防御战略就提供了一种数据驱动的方法来评估防御覆盖范围并揭露过度支出。这种方法使组织能够超越简单地聚合安全警报,系统地评估现有工具和配置在抵御最有可能针对组织的特定威胁方面的有效性。
覆盖漏洞是指组织当前的防御措施不足以缓解或检测到优先级最高的对手活动的领域。持续验证——通过反复测试安全控制措施(通常通过自动化模拟或评估)来持续验证它们是否按预期工作——是保持领先于不断变化的威胁和防御格局的必要条件。评估覆盖漏洞使组织能够用可量化的数据取代对工具有效性的假设,然后可以利用这些数据来优化和加强薄弱领域的防御。
三、指导更好的业务决策制定
最成功的安全领导者不仅仅填补漏洞,他们通过精心将每一个安全优先事项、每一笔支出和每一个购买的工具与组织最大的财务和运营风险相匹配来指导业务决策。以威胁为导向的防御战略最终使安全领导者能够将技术成果转化为与董事会和高层领导产生共鸣的业务行动——换句话说,就是将安全从一个技术问题重新定义为一个战略业务推动器。关注财务影响、运营韧性以及竞争优势,而不是技术术语,有助于高管们在业务背景下理解安全问题。这使他们能够做出明智的决策,并将网络安全与更广泛的公司目标对齐。
组织外的人员很少需要知道你是如何进行安全工作的,但他们确实需要了解风险的状况以及管理风险所需的资源。首席信息安全官不应报告技术指标,例如他们的团队收到的警报平均数量或补丁更新频率,而应通过量化业务关键故障场景的可能性来呈现风险差距。例如,确定由于特定活动或漏洞导致收入中断的可能性为40%,然后为缓解该风险的战略投资进行论证。
这种从安全资金到韧性资金的转变使董事会能够就风险承受能力和战略投资做出明智的、数据驱动的决策。
作者:Tony Velleca(托尼·维勒卡)
译者:木青
睿观:
传统的、以合规为基础的安全模式因无法有效排序风险而失效。成功的CISO(首席信息安全官)必须转向“以威胁为导向的防御战略”,其核心是:识别真实对手,利用MITRE ATT&CK框架将其战术映射到核心资产,并量化其潜在业务影响。通过这种方式,CISO能将对话从技术指标,转变为董事会能理解的、以数据驱动的业务风险,从而将自己从“技术守护者”重塑为“战略风险伙伴”。
卓越的CISO(首席信息安全官)从不向董事会汇报“我们部署了多少防火墙”,而是汇报“我们花了多少钱,消除了多大概率的、价值千万的业务中断风险”。
