网络安全需要对网络风险有独特的理解

迷失在翻译中:网络风险解释的脱节现实

在古印度的一个经典故事中,几个蒙住眼睛的人接近一头大象,每个人检查不同的部位。有人触摸树干,认为它像一条蛇。另一个摸到了一条腿,认为它是一棵树。还有一个拿着象牙的人,认为它是一支矛。尽管基于有限的互动,每个人的感知都是真实的,但没有人看到大象的完整图片。

这个故事与当今组织中网络安全团队面临的多方面挑战提供了富有启发性的相似之处。正如古老的故事一样,不同的利益相关者——无论是来自领导层(首席执行官、首席财务官、首席信息安全官)、漏洞管理 (VM) 还是治理、风险管理和合规性 (GRC)——通常对“网络风险”的构成持有不同的看法.'

这不仅仅是理论上的相似之处,正如一家大型保险公司的安全负责人最近与我们分享的那样:

“在我们拥有不同网络安全工具的基础设施中,我们看到了分散的风险认知。每个工具都在自己的孤岛中运行,引导不同的职能部门(董事会、SecOps 或 GRC)以独特的方式解释风险。这通常会导致战略不一致,并阻碍采取有凝聚力的方法。”

那么,是什么导致了对网络风险的这种碎片化理解呢?

深入探讨网络风险的支离破碎的观点

在下图中,我们重点关注构成企业网络安全的核心操作。该插图特别关注网络安全风险,展示了这些组件如何主动协同工作以减轻此类风险。

深入探讨网络风险的支离破碎的观点

网络安全功能如何紧密相连

  • IT/资产管理涉及资产库存、控制部署以及资产和产品生命周期管理。
  • VM团队带头进行漏洞识别和管理。
  • GRC负责监督控制/政策评估和政策管理。
  • CRQ(网络风险量化)要么是一个独立的部门,要么外包给咨询公司。

虽然每项行动都有其不可或缺的目的,但组织网络安全态势的强度和有效性取决于每个职能的共生关系。为了更好地理解这一点,让我们深入研究一些场景:

孤立运营:虽然“IT/资产管理”运营下的“资产库存”发挥着基础作用,但其有效性以及库存与实际资产之间的潜在差异直接影响虚拟机中的“漏洞识别”。如果资产盘点不正确,漏洞就可能被忽视。这是一个例子,说明一个孤岛中的流程如何影响另一个孤岛的效率。问责制的挑战又增加了一层复杂性。在这样一个孤立的环境中,确定谁负责降低风险成为一个紧迫的问题。

相互依存的动态:深入研究,GRC 中的“控制/政策评估”如果单独进行,似乎就足够了。但如果它不考虑实时漏洞(来自虚拟机)或最新的资产生命周期(来自 IT/资产管理),控制和策略可能不会像假设的那样强大。GRC、IT/资产管理和 VM 不仅仅是孤立的部门;它们也是独立的部门。他们是一台巨大机器上的齿轮,致力于确保组织安全。

统一愿景: CRQ 充当晴雨表,衡量所有其他流程的效率。然而,每个流程都需要通知 CRQ。例如,如果 IT/资产管理中“控制部署”的输出不准确,则可能会影响量化风险,从而可能低估威胁。此外,CRQ应该指导和通知其他操作;例如,GRC的政策是否足以让企业实现其风险管理目标取决于CRQ对剩余风险的评估,而不考虑现有政策的执行情况。

我们是怎么来到这里的?揭开网络安全观点碎片化的原因

工具划分:不同的团队使用针对其特定需求优化的不同工具。虽然这些工具各自的功能都很高效,但它们通常并不是为了与其他工具无缝共享数据或见解而设计的。

供应商依赖性和技术演进:组织通常严重依赖特定的供应商生态系统,因此很难集成第三方解决方案。随着技术进步的快速发展,现有的工具和策略很快就会过时。

组织层次结构:传统的公司结构中往往会出现筒仓,因为各个部门专注于自己的特定目标。在许多情况下,不同的部门有不同的目标、KPI、技能要求和运营边界。

缺乏统一的策略:安全领导者需要一个清晰、统一的策略,并且应该传达这一愿景,以便每个人都了解每个团队如何依赖其他团队。如果没有一个有针对性的计划来推动团队合作和整合,不同的运营很容易分崩离析。

掌握 IT/资产管理、VM、GRC 和 CRQ 等各个领域至关重要,但只有它们的集成功能才能确保强大的网络安全防御。

当每个人对网络风险的看法不同时:失败

1. 无效的风险优先级划分:由于风险理解不统一,关键威胁可能会得到错误的优先级划分。
示例:IT 团队将大部分预算分配给更新遗留系统,认为它们风险最高。与此同时,VM 团队对勒索软件攻击的增加感到震惊,认为立即投资高级威胁防护才是真正的优先事项。由于缺乏对网络风险的共同、量化的理解,两个部门都根据自己的风险评估行事,导致防御策略不协调

2. 资源和预算浪费:对跨部门风险的误解可能导致资金分配不当,导致效率低下。
示例:一项重大 IT 升级计划占用了大量预算,导致 VM 没有预算来更新其工具堆栈。这两个领域都很重要,但不匹配的分配阻碍了全面的网络安全工作,可能使组织容易受到网络威胁。

3. 事件响应延迟:对风险的零碎认知可能会导致重大事件发生时反应速度变慢,从而导致损害升级。
示例:在高场景风险中,例如,在野外积极利用零日漏洞,VM 团队通常了解立即采取行动的迫切需要。然而,IT 团队通常受到变更管理协议的限制,需要在部署补丁之前延迟兼容性测试。

4. 监管和法律影响:错误判断风险可能导致不遵守行业法规,引发法律纠纷和处罚。
示例:根据 SEC 对网络安全事件重要性的新裁决,一家公司将数据泄露视为非重大事件。后来,它因不披露而面临严厉的监管反弹。

5. 领导层信心受到削弱:如果风险被误解或忽视,可能会导致重大违规行为,从而削弱领导层和董事会的信心。
示例:根据报告的频繁但影响较小的安全事件,领导层认为组织的网络安全态势良好。然而,后来出现了一个未被发现的重大漏洞,动摇了董事会对安全团队领导层能力的信任。

网络安全世界需要一种新的网络风险理解范式:

我们目前对网络风险理解的缺陷不仅源于部门之间的差距,而且还源于部门之间的差距。它们的产生是由于缺乏将一切联系在一起的统一风险框架。

为了解决这个问题,请考虑采用具有以下原则的方法:

实用:
应该高度数据驱动,使用近乎实时的输入进行风险计算。它必须考虑每项资产的 IT、网络安全和业务环境,以确保准确且相对地表示风险。

自动化:
应消除手动数据处理和一次性分析。它必须是自动化的,使用最新的资产级数据计算风险,包括漏洞、威胁、暴露、适用的安全控制和业务关键性。

可检查:
应提供其计算的透明度,提供有关推动更高可能性和影响的因素的见解。

可操作:
应提供可操作的见解并自动化工作流程以降低风险。采取补救措施后,风险计算应立即更新模型。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/416384.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Redis: Redis介绍

文章目录 一、redis介绍二、通用的命令三、数据结构1、字符串类型(String)(1)介绍(2)常用命令(3)数据结构 2、列表(List)(1)介绍&…

GCC 内联汇编

LINUX下的汇编入门 AT&T风格 汇编 和GCC风格汇编 汇编代码的调试 前面写了三篇,是自我摸索三篇,摸着石头过河,有些或许是错误的细节,不必在意! 今天我们直接用GCC编译C语言代码,且在C语言里面内嵌AT&T风格的汇编! 前三篇大家了解即可,我们重点放在内嵌汇编里,简单快…

【计算机网络】2、传输介质、通信方向、通信方式、交换方式、IP地址表示、子网划分

文章目录 传输介质双绞线无屏蔽双绞线UTP屏蔽双绞线STP 网线光纤多模光纤MMF单模光纤SMF 无线信道无线电波红外光波 通信方向单工半双工全双工 通信方式异步传输同步传输串行传输并行传输 交换方式电路交换报文交换分组交换 IP地址表示IP地址的定义IP地址的分类无分类编址特殊I…

LeeCode 42. 接雨水

给定 n 个非负整数表示每个宽度为 1 的柱子的高度图,计算按此排列的柱子,下雨之后能接多少雨水。 示例 1: 输入:height [0,1,0,2,1,0,1,3,2,1,2,1] 输出:6 解释:上面是由数组 [0,1,0,2,1,0,1,3,2,1,2,1]…

Spring Boot - Application Events 的发布顺序_ApplicationContextInitializedEvent

文章目录 Pre概述Code源码分析 Pre Spring Boot - Application Events 的发布顺序_ApplicationEnvironmentPreparedEvent Spring Boot - Application Events 的发布顺序_ApplicationEnvironmentPreparedEvent 概述 Spring Boot 的广播机制是基于观察者模式实现的&#xff0c…

flutter开发web应用网络请求后台失败--记录遇到的跨源资源共享问题

前因 愉快开发flutter的web应用,发现网络请求后台一直请求不通啊,百思不得其解后偶然遇到了跨源资源共享(CORS)这一名词,才发现了问题关键所在。 什么是跨源资源共享 引用跨源资源共享(CORS)…

pytorch(四)、完整小网络的搭建和sequential的使用

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言搭建小网络和sequential的使用一、 第一种形式如下:二、第二种方式,使用sequential 前言 至此,神经网络的基础部分就基本结…

初阶数据结构:顺序表

目录 1. 引子:线性表2. 简单数据结构:顺序表2.1 顺序表简介与功能模块分析2.2 顺序表的实现2.2.1 顺序表:存储数据结构的构建2.2.2 顺序表:初始化与空间清理(动态)2.2.3 顺序表:插入与删除数据2…

Spring Boot程序的打包与运行:构建高效部署流程

引言 在现代应用开发中,高效的打包和部署流程对于项目的开发、测试和上线至关重要。Spring Boot作为一种快速开发框架,提供了方便的打包工具和内嵌式的Web服务器,使得打包和运行变得更加简单。本文将研究在Spring Boot应用中如何进行打包&am…

Vue四个阶段,八个钩子函数

- 创造阶段:创建Vue实例和初始化数据事件,数据代理,监测watch - beforeCreate,只是创建实例,不能this.$el,this.msg,this.方法名() - created,数据代理了,能v…

Python 面向对象绘图(Matplotlib篇-16)

Python 面向对象绘图(Matplotlib篇-16)         🍹博主 侯小啾 感谢您的支持与信赖。☀️ 🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ🌹꧔ꦿ�…

ffmpeg 常用命令行详解

概述 ffmpeg 是一个命令行音视频后期处理软件 1. 裁剪命令 参数说明 -i 文件,orgin.mp3 为待处理源文件-ss 裁剪时间,后跟裁剪开始时间,或者开始的秒数-t 裁剪时间output.mp3 为处理结果文件 ffmpeg -i organ.mp3 -ss 00:00:xx -t 120 o…