激增的网络攻击面,庞大的漏洞量,复杂的威胁场景以及新的业务需求等诸多因素,都在呼吁新的网络风险管理模型的出现和运用。
当前所使用的网络风险管理模式显然已经无法适应时代的发展需求。虽然网络风险管理对于企业高管而言比以往任何时候都更为重要,但是鉴于不断激增的攻击面,庞大的漏洞量以及复杂的威胁场景等因素,对于CISO和网络安全团队而言,想要有效地实现网络风险管理却变得更为困难。
即将发布的ESG最新研究表明,过去发挥过作用的网络风险管理模型如今已经不再是一种合适的选择,以下是部分调查结果提要:
企业管理者的参与程度远远超过以往。几年前,企业高管的目标并不是获取真正强大的安全性,他们想要的只是足够好的安全性就够了。当时的安全专业人士对这些并未付诸全力的网络安全工作感到遗憾和失落,他们迫切渴望拥有具备网络安全专业知识的首席执行官,能够真正投资于强大的网络安全控制和监督工作。ESG数据表明,如今企业高管和董事会的参与度和网络安全需求都要远胜以往。这迫使CISO和信息安全团队收集和分析更多的网络风险数据,并以业务友好型方式将其呈现给用户。数据表明,这已经推动了一种新的、更全面的网络风险管理模式的出现。
网络安全支出持续增加,但也出现越来越多的限制。网络安全预算每年都在增长,并且这种趋势还会持续下去。事实上,企业高管们确实愿意增加支出以保护他们的组织,但同时他们也希望更好地了解他们的钱究竟花到了什么地方?获得了哪些投资回报?
例如,如果预算增加,也就是CISO明年要求120万美元网络安全支出而不是原计划的100万美元,那么首席财务官(CFO)就会希望了解这笔钱用到了哪些地方?企业为此获得了哪些额外保护?企业高管、GRC经理和网络安全专业人员正试图通过使用模糊指标分析不完整数据来弄清楚如何衡量网络安全支出的投资回报率。这里迫切需要改进。
所有网络风险管理投入都在快速增长,基本的网络风险管理公式如下所示:
所以,这就是问题所在——所有的一切都在迅速增长。整体攻击面(即设备、数据、基于云的工作负载、应用程序等)正在增长,从而导致更多的安全漏洞。例如,ESG研究中的一大亮点就是,各组织业务合作伙伴对第三方风险管理的需求日益增长,以防止发生类似OPM和Target的间接攻击事件。
与此同时,威胁也正变得更具针对性和复杂性。就其产生的后果而言,企业将需要处理更多的风险类型,包括财务风险、操作风险以及声誉风险等等。将所有这些变化叠加在一起,网络风险管理工作量就会不断增加并且变得更为专业化,而不良的网络风险管理实践所造成的后果必然是高风险、高成本的。
根本不存在网络风险管理基准这样的事情。风险管理任务——例如漏洞扫描、第三方风险审计以及渗透测试等——始终都是以定期(每月一次、每季度一次、每年多次等)和独立的方式进行。通常而言,这些活动是由审计师、法律法规甚至业务合作伙伴进行指导,而不是任何具有凝聚力和整体性风险管理策略进行指导。
这就是该方法的问题所在——一切都在不断变化,网络风险管理的每个方面都是相互关联的。因此,当一件事发生变化时,它就会影响其他一切。您如何做到在任何时间点对网络风险管理进行基准测试?答案是您不能!这也就意味着,我们必须接受这种认识,并努力进行持续的风险管理测量。
该研究为我们描绘了一幅清晰的图景:网络风险管理对于管理人员来说变得越来越重要,但对于CISO和网络安全团队来说则更为困难。
显然,当前的网络风险管理模式已被打破,必须做出改变,而这种变化很快就会出现在我们面前。