《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 2021年CISO應(yīng)關(guān)注的五個工作目標

2021年CISO應(yīng)關(guān)注的五個工作目標

2021-11-01
來源:安全牛
關(guān)鍵詞: Ciso

  面對緊張的預算和資源,可供企業(yè)組織使用的安全措施有限。因此,企業(yè)組織需要根據(jù)戰(zhàn)略目標對安全措施進行優(yōu)先級排序。但現(xiàn)實中,由于諸多原因,企業(yè)組織的總體安全目標并不明確,在這種情況下,企業(yè)組織可以嘗試“日拱一卒”,制定階段性的局部目標。

  2021年CISO(首席信息安全官)應(yīng)該重點關(guān)注的五個工作目標:

  創(chuàng)建網(wǎng)絡(luò)釣魚防范計劃

  無線通信公司Verizon在其DBIR 2021數(shù)據(jù)泄露報告中指出,網(wǎng)絡(luò)釣魚仍然是網(wǎng)絡(luò)攻擊最常用的手段,在2020年甚至更為流行,占攻擊事件的36%。遠高于一年前的25%,這一增長反映了2020年上半年與新冠肺炎疫情相關(guān)網(wǎng)絡(luò)釣魚誘餌的涌入。面對網(wǎng)絡(luò)釣魚攻擊的日益增長,CISO和其他安全專業(yè)人員需要優(yōu)先創(chuàng)建反網(wǎng)絡(luò)釣魚程序。

  網(wǎng)絡(luò)釣魚攻擊會針對業(yè)務(wù)人員發(fā)送以假亂真的信息,并使用心理戰(zhàn)術(shù)營造緊迫感,促使收件人點擊。因此,企業(yè)組織需要對員工進行網(wǎng)絡(luò)釣魚方面的教育,確保企業(yè)組織內(nèi)從人力資源、法律到研發(fā)部門的每個人都了解要查找的危險信號、如何報告可疑消息以及避免單擊鏈接或打開網(wǎng)絡(luò)釣魚電子郵件中包含的文件。

  重新審視漏洞管理

  Verizon在其DBIR 2021中發(fā)現(xiàn),與利用較新漏洞相比,涉及較舊漏洞的攻擊更為常見。產(chǎn)生這種趨勢的部分原因是企業(yè)組織并不總是將修補作為優(yōu)先事項,如果不能及時修補漏洞,攻擊者就可以連續(xù)數(shù)年利用相同的漏洞進行攻擊和破壞。

  企業(yè)組織可以通過漏洞管理(VM)、漏洞掃描(通常指CVE漏洞列表或“常見漏洞和暴露”掃描)來應(yīng)對這一趨勢,再根據(jù)風險對這些漏洞進行嚴重性和修復優(yōu)先級排序。

  企業(yè)組織實施VM程序的一個難點是了解哪些漏洞是首先要緩解的。當漏洞堆積時,企業(yè)組織判斷哪些漏洞最嚴重且具有潛在破壞性可能是一項挑戰(zhàn)。企業(yè)組織可以選擇使用高級VM解決方案,提供靈活、精細的評分系統(tǒng),對已知缺陷進行優(yōu)先排序。

  加強云上資產(chǎn)保護

  2021年,外部云資產(chǎn)的安全事件比內(nèi)部資產(chǎn)更常見。這意味著企業(yè)組織需要了解他們的云安全責任。雖然云安全提供商將保護企業(yè)組織正在使用的云基礎(chǔ)設(shè)施,但企業(yè)組織仍然有責任確保添加到云中的所有數(shù)據(jù)和流程安全。

  高級云帳戶監(jiān)控網(wǎng)絡(luò)安全工具可以掃描企業(yè)組織云帳戶中的錯誤配置,因為這些錯誤配置可能會成為攻擊者的窗口。云監(jiān)控工具可以按照風險級別對云帳戶錯誤配置進行優(yōu)先級排序,以便安全團隊可以解決最關(guān)鍵的問題。

  優(yōu)先考慮工業(yè)網(wǎng)絡(luò)安全

  根據(jù)Verizon的年度安全報告,工業(yè)環(huán)境,尤其是制造業(yè)環(huán)境,已經(jīng)成為攻擊者的熱門目標。事實上,研究人員發(fā)現(xiàn)勒索軟件對制造企業(yè)漏洞的惡意利用比前幾年增加了61.2%。報告還發(fā)現(xiàn),個人數(shù)據(jù)是這些攻擊行為中受損最嚴重的數(shù)據(jù)類型。

  企業(yè)組織可以通過優(yōu)先考慮工業(yè)網(wǎng)絡(luò)安全來做出響應(yīng)。例如,安全團可以重點考慮實施工業(yè)可見性解決方案來保護運營(OT)環(huán)境 。可見性始于整體資產(chǎn)清單,安全團隊可以使用一種工具,通過完整的硬件和軟件資產(chǎn)清單,準確地顯示網(wǎng)絡(luò)上的各種資產(chǎn)。

  企業(yè)組織需要知道這些設(shè)備正在與誰通信,設(shè)備配置是否在變化,以及存在哪些漏洞,并了解日志中隱藏的問題。一旦企業(yè)組織實現(xiàn)了工業(yè)網(wǎng)絡(luò)安全的實時可見性,就可以實施保護性安全控制,并持續(xù)監(jiān)控企業(yè)組織的網(wǎng)絡(luò)環(huán)境。

  使用CIS控件

  Verizon在其報告中曾表示,“‘夯實基礎(chǔ)’將有助于解決最有可能影響企業(yè)組織的絕大多數(shù)安全問題?!?而這個“基礎(chǔ)”的重要組成部分之一就是CIS(全稱Clever Internet Suite)控件,CIS控件是一套提供給軟件開發(fā)者,進行Internet網(wǎng)絡(luò)開發(fā)的控件。由互聯(lián)網(wǎng)安全中心維護的CIS最佳實踐優(yōu)先列表是一個免費的、備受推崇的框架,企業(yè)組織可以使用它來確保擁有最重要的安全控制。

  CIS安全控制將企業(yè)組織的數(shù)字環(huán)境視為一所房子,如果沒有基本的安全措施,任何人都可以進入。企業(yè)組織遵守基本的安全控制,尤其是在CIS Controls v8 實施組1中列出的那些,可以幫助其關(guān)閉窗戶,鎖上門,并安裝一個標準的安全系統(tǒng)。雖然沒有可以完全消除攻擊者闖入的可能性,但實施CIS控制有助于降低攻擊的可能性和影響。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。