欢迎光临第五届中国汽车网络信息安全峰会2020!

2020年的网络安全:CISO的崛起

发布日期:2020-04-06


Forrester的Stephanie Balaouras说,数据泄露在2019年给公司带来了惨痛的教训。一个关键的收获是:他们需要**信息安全官。





随着新的一年(和新的十年)的到来,肯定会发生一件事:网络安全将继续对企业产生越来越大的影响,无论情况好坏。在这一集中,我们听到了网络安全专家斯蒂芬妮·巴拉奥拉斯(Stephanie Balaouras)的话,她在Forrester Research任职的15年中与数千名客户进行了交谈。她是安全和风险研究以及基础架构和运营研究的副总裁兼集团总监。


Balaouras认为,随着网络威胁的世界变得更加复杂和危险,所有企业都应该拥有**信息安全官或CISO。Balaouras说:“即使拥有CISO的公司也应该认真考虑他们所报告的组织水平。” “他们有合适的预算吗?他们有足够的员工吗?您是否赋予他们适当的控制范围?”


Balaouras还回顾了2019年一些最大的网络安全趋势,并对2020年做出了预测。


商业实验室由麻省理工学院技术评论的定制出版部门Insights的主管Laurel Ruma主持。该节目是《麻省理工学院技术评论》的产物,在Collective Next的生产帮助下。音乐来自流行病之声的Merlean。


网络安全不仅仅是阻止您看到的威胁。这是关于停止看不见的内容。因此,Microsoft Security雇用了3500多名网络犯罪专家,并使用AI帮助预测,识别和消除威胁。因此,您可以专注于发展业务,而Microsoft Security可以专注于保护业务。了解更多信息,请访问Microsoft.com/cybersecurity。


需要完整的云安全性




全脚本:


劳雷尔·鲁玛(Laurel Ruma):我来自《麻省理工学院技术评论》,我是劳雷尔·鲁玛,这是商业实验室,旨在帮助企业***理解从实验室进入市场的新技术。


安全威胁无处不在。这就是Microsoft Security拥有3500多名网络犯罪专家不断监控威胁以帮助保护您的业务的原因。有关更多信息,请访问microsoft.com/cybersecurity。


今天的主题是网络安全,更具体地说是**信息安全官CISO的角色。我们还将审阅2019年的网络安全新闻,并展望2020年的网络安全趋势。一个适合您的词:Deepfakes。我的客人是网络安全分析师斯蒂芬妮·巴拉奥拉斯(Stephanie Balaouras),她在Forrester研究工作近15年中与数千名客户进行了交谈。Stephanie是安全和风险研究以及基础架构和运营研究的副总裁兼集团总监。斯蒂芬妮,非常感谢您与我在Business Lab上交谈。


斯蒂芬妮·巴拉奥拉斯:谢谢。


劳雷尔:所以,从头开始,2017年,佛雷斯特(Forester)发布了团队成员杰夫·波拉德(Jeff Pollard)关于**信息安全官CISO的职业道路的报告。我特别喜欢谈论这个角色,因为它对于企业中的高级主管们来说太新了。如果花旗银行在1995年任命了首位CISO,那确实是最近的历史。但是,如果每个公司也是一个技术公司,为什么每个公司都没有CISO?


史蒂芬妮:如果您回顾其他角色的历史,就像我认为第一位**营销官,**营销官是在1950年代,那么20年,30年后,仍然有没有**营销官的公司。因此,当这些新兴角色首次出现时,要花一些时间才能成为常态。但是我要说的是,每个公司确实应该有一个CISO。上市公司必须拥有CISO。但是,我们经常会发现,根据公司的规模,有时他们会不理会CIO,也称其为CISO,或者称其他IT执行官为CISO。因此,这在较小的公司中很常见-它们会在没有独立角色的情况下逃脱。


但是,您还会发现,如果他们遇到违反或某种主要的网络安全问题,或者甚至是与数据安全相关的重大合规性违规,他们要做的第一件事就是指定专门的CISO。然后,即使是拥有专门的CISO的公司,在发生违规时,很多时候他们会意识到CISO在组织中的报告不够高,或者没有正确的职责范围或预算不足或足够的人。因此,他们将解决此问题。名称CISO应该是必需的,但我要说的是,即使拥有CISO的公司也应该认真考虑他们所报告的组织中的地位。他们有合适的预算吗?他们有足够的员工吗?您是否给了他们适当的控制范围?


劳雷尔:因为那是一个昂贵的修复程序,不是吗?


斯蒂芬妮:是的,完全正确。


劳雷尔:只有在遭受攻击之后,我们才可以以一种更负责任的态度来重新审视角色和责任?


斯蒂芬妮:是的。


劳雷尔:因此,如果理想的CISO既包括可以直接与**执行官交谈的商人,则可以解释安全性和降低风险的必要性,还可以与客户以及其他员工进行交谈,并讨论安全性以及如何做到这一点。角色对公司很重要。这些人从哪里来?他们从哪里得到所有这些教育?


史蒂芬妮(Stephanie):在研究CISO的职业道路时,我们确实发现其中大多数确实来自安全级别。因此,通常他们确实是从安全专业人员开始的。他们获得了数十年的工作经验。但是我们经常发现,他们中的大多数人通常会回去读研究生学位,而实际上他们会去攻读商业学位。他们通常会获得MBA学位,这是因为他们需要满足这两个要求,是的,我是一名技术主管,但与此同时,我还是一名技术主管,在一家大公司中向每季度一次董事会,或直接向CIO或直接向CEO报告。因此,这**是教育与经验的结合。


我想说大学在提供信息安全的本科和研究生学位方面做得更好。在某些方面,它们的弱点令人难以置信,例如在本科层次上对应用程序安全性的教导不够好。确实做得很差。我要在大学中选择的另一件事是,她们在招募女性进入本科和研究生课程方面做得不好。在安全方面存在巨大的技能缺口和人员配备问题,在Forrester,我们想说这很大程度上是自欺欺人的,因为我们没有从一半的人口中招募人员,也不是在招募具有不同背景的人员。我们招募了一个这样的个人模范,然后当我们找不到如此狭窄的技能组足够的人时,我们感到震惊,因此。


劳雷尔:是的,报告说,十分之九的CISO是男性。


斯蒂芬妮:完全正确。我们还没有看到2019年底,但是最近几年确实如此。而且,如果您还看一下员工,这比一般的安全行业还差。大约11%的安全人员是女性。比一般的IT还要糟糕。通用IT也有问题,但问题多在20%到30%之间,因此安全性甚至更差。


劳雷尔:因此,当我们谈到总体上缺乏安全性多样性时,公司将如何应对?您是否看到任何特定的公司展示了**做法?


斯蒂芬妮:肯定有一些**实践。实际上,我已经看到很多供应商,例如大型技术供应商,它们实际上与大学合作,甚至在高中阶段也进行合作。例如,与“美国女童军”一起,实际培育一些计划,使女孩从很小的时候就对网络安全感到兴奋和感兴趣,然后希望继续在本科和研究生级别上继续学习。在许多大学中,都有相当积极的奖学金计划。


然后,在企业级别上也发生了很多自省,我们在这种情况下会研究安全团队的文化。我们考察了许多从中招募的传统路线,即男性主导的会议或再次以男性为主导的会议,我们以这些职务说明为例,这些职务强调了很多军事经验。因此,这就像扩大了将招募进入安全行业的人员的视野,愿意发展其技能并愿意做得更好以实际填充渠道,长期填充实际管道一样。


但就您的观点而言,多元化的团队会做出更好的决策,从长远来看,他们的绩效更高。然后,我要说的第二件事是,不仅在美国,而且在全球,都有如此多的安全工作空缺。这也是一个数学问题。如果我们不从一半的人口中招聘,我们将不会填补这些空缺职位。


劳雷尔:而且,似乎并没有从内部提升过很多安全人才。在Forrester的报告中,听起来好像您去其他公司获得晋升的可能性更大。公司现在正在重新检查自己的才能吗?


斯蒂芬妮:无论是个人层面还是CISO层面,这都是事实。因此,我们在《财富》 500强中发现,首次CISO很少见,而且不是从内部晋升的。因此,他们想从外部聘请CISO,并且他们希望有CISO先前经验的CISO。实际上,如果您是安全方面的专家,那么这意味着如果您想晋升为CISO,您**的机会实际上是在公司外部进行外部研究。而且,我们还发现,当公司从外部聘请CISO而不是从内部聘请CISO时,他们更有可能让他们在组织中上级。因此,是的,在CISO级别,公司可以做得更好,寻找内部人员,并为这些个人提供在组织中上级报告的正确机会。


但是,我们还发现,在经理级别和个人贡献者级别上情况再次相似,这是因为他们不是从公司内部招聘的,或者当他们确实雇用个人时,他们并没有给他们提供良好的职业道路和持续的技能发展。再说一次,如果这些人真的想进一步发展自己的事业,那么大多数人最终都会离开。这就是为什么我们说很多技能和人员配备挑战完全是自我造成的。


劳雷尔:所以这可能是每个人都可以做得更好的一个盲点,对吧?


斯蒂芬妮:是的。是的


劳雷尔:我正在阅读Ponemon Institute的这份报告,当我谈论CISO以及什么样的人将首先担任这种角色和他们的经验时,这个特殊的短语突然出现在我身上,而不仅仅是简历,这也是您的态度和能力,能够真正快速,明智地行动,并能很好地沟通。但是引言是,我在这里稍作解释:“技术已将互联网时代变成了安全专业人员的残酷奇迹时期。”我们所有残酷的奇迹是我们每个口袋都有设备。我们可以走到任何地方,我们可以随时与任何人交谈,我们可以像闪电般快速地做到这一点,但是同时,如果您是CISO,如何确保所有这些信息安全?


斯蒂芬妮:对。是的所有这些扩展公司四面墙的设备,基本上都在扩展组织的攻击面。因此,对于CISO而言,它与传统的基于边界的安全性方法大相径庭,实际上是采用了以数据为中心和以应用程序为中心的方式,我什至可以说以身份为中心的安全性。


并不是说网络并不重要,而是网络安全非常重要,但是,基于周界的安全方法却发生了巨大变化。再说一次,公司没有真正的四面墙。实际上,周长要小得多。因此,我们倾向于考虑安全的飞地。如何在我们最重要的资产周围建立一个微边界?


当我们谈论由您提到的各种设备组成的扩展网络或计算环境本身时,它可能是内部部署,云,托管私有云及其各种变体以及与之交互的任何类型的用户群体的组合公司系统和数据。那可能是您自己的员工,可能是消费者和客户,也可能是第三方合作伙伴。因此,当您考虑设备,用户数量和不同的计算模型时,没有边界。因此,重点将放在保护数据本身上,而不管其在何处以及托管模式或位置如何。真的,真的在认真研究身份。因此,限制并严格执行人类和非人类的访问。因此,它确实颠覆了传统的安全范式。您从以外围为中心转变为以数据和身份为中心。


这就是我们通常向CISO建议的内容。我们称之为安全的零信任模型,即您假设您已经存在违规行为,而您从未假设您对环境信任。您只是总是假设某处出了点问题,但这是可行的。也许这不是世界上最积极的转机,例如“哦,零信任”,但它确实有效。非常有效


我要说的另一件事是,我将真正鼓励所有这些设备,IoT传感器,IoT设备以及所有您能想到的东西的制造商,从一开始就真正做得更好,将安全性内置到设备本身中。这肯定会使CISO的工作容易得多。真令人沮丧。这在很大程度上也不受他们的控制。


劳雷尔:对吗?好吧,尤其是-


斯蒂芬妮:除了实际在产品公司工作的CISO之外。您应该参与产品开发。您应该为组织提供建议。


劳雷尔:这很有趣,因为安全性并不总是第一位的,不是吗?


斯蒂芬妮:不。


Laurel:尤其是在进行产品设计时。那么,您看到这种情况经常发生吗?**信息安全官实际上是否积极参与产品设计?


斯蒂芬妮:不幸的是,到目前为止,但这是我们建议的做法。我想说,有些CISO不一定将其视为传统角色,就像传统角色是保护记录和基础架构以及公司数据的后端系统一样,不一定参与开发,但是我们实际上是在积极地进行鼓励CISO参与产品设计和产品开发,以真正帮助组织保护您的销售。因此,无论您出售的是什么产品,无论您是向消费者,患者,公民,另一家公司提供的服务是什么,如果您是B2B组织,都将积极参与确保销售产品的安全。


劳雷尔:那当然是竞争优势,不是吗?


斯蒂芬妮:是的,**。**。我们发现安全性和私密性不是同义的,但有时它们并存,确实为公司带来了竞争优势。


月桂树:是的。这是一个重要的差异因素,并且会发出所有噪音。因此,如果您可以营销一些非常具体的东西,那将是一个很好的选择。但是,我们也谈论的是CISO在所有事情中都发挥着积极作用。因此,您必须成为这个多才多艺的人,既可以交谈和理解产品,又可以在社区中出没,对吗?所有人都同时共享(但不共享)公司机密以及如何保护数据,因为有这种想法,尤其是在技术社区中,您可以共享**实践和经验教训。我只是想知道一点,CISO如何真正共享但不共享所有东西?


斯蒂芬妮:是的,那是挑战。许多CISO非常讨厌谈论有关其部署的细节,我不一定很快就会看到这种变化。但是,有时在较小的群体中,有很多社区支持CISO。实际上,在Forester,我们有大约100个CISO的对等网络组。在像CISO这样的特定行业中,有各种各样的ISAC和情报共享社区。因此,在紧密联系的社区中,通常人们都了解NDA之下的一切,坦诚的人际关系,个人关系,CISO会分享更多的信息。但是我发现CISO愿意谈论整体战略。当我提到从基于外围的方法转向以数据和身份为中心的方法时。谈论文化。实际上,文化非常重要,不仅对于CISO而言,对于其他安全组织而言也是如此。


因为您需要一个拥有适当人员的组织,可以与开发人员实际交谈并成为安全应用程序开发的一部分,所以该组织可以与基础架构和运营团队合作以保护云部署。这实际上可以与营销团队合作,以帮助他们了解隐私对他们可能如何个性化向消费者提供的服务,数据和广告的隐含含义。因此,您还需要安全团队本身,而不仅仅是CISO,安全团队本身也要直率,坦率,协作并愿意将自己融入整个组织的核心业务和IT流程中。因此,他们将谈论文化,谈论人员配备,也将谈论所需的技能。我们肯定在那里看到了一些变化。


劳雷尔:此外,企业还必须愿意让安全性在这个想法上全面发展,而不仅仅是产品,其他所有人也可以。因此,营销再三考虑,安全第一还是安全。您如何进行对话,以便每个人都受过良好的教育?如果您从事市场营销,则不必成为安全专家,但是您必须愿意倾听。


斯蒂芬妮:很多时候,**信息安全官会讲这些故事,而一切都是厄运和沮丧。我认为应该采取一种基于风险的方法,在这种方法中,您可以帮助企业了解未来的风险,并帮助他们仅了解概率和影响,并建议他们做出正确的决策,例如从不负责任的部门转到更多的咨询部门。我认为角色很有帮助。您越是成为咨询主题专家的人就越多,我认为您可以带动组织的其他成员。我认为这是很大的帮助,并且根据CISO技能水平的不同,他们在此方面的表现如何。我认为您也可以随时以积极的商业态度对待事情,这会有所帮助。


我的团队中有一位分析师撰写了此报告,该报告被称为“以利润担保”,在报告中,他概述了以何种方式担保可能成为公司的收入来源。同样,它可能是人们愿意支付更多的增值功能,或者可能成为您提供的产品或服务的竞争优势。因此,它实际上可能有助于提高收入。然后,他还概述了在避免违规和避免合规罚款方面实际上可以为公司节省资金的所有方法。


如果您采取正确的安全措施,则有各种各样的方法实际上可以极大地改善员工体验并降低公司的运营成本。当您考虑入职员工时,身份是最大的例子之一,并且具有使您能够以所有方式自动授予员工访问所需系统的能力。重置密码。我的意思是,有很多只是悬而未决的成果,可以使员工的生活更轻松,但是实际上,您实际上是在减少辛苦的成本。


月桂树:是的。这当然是您没有想到的事情,但是当您必须重做密码并永久使用密码和/或必须使用其他系统等等时,您肯定会感到沮丧。但是,这种精简不仅是从安全角度出发,而且正如您所说,从每个人的角度来看,只是简化生活,这是每个员工最终想要的。


斯蒂芬妮:是的。


劳雷尔:那么,**信息安全官如何才能紧贴**趋势?我的意思是,会议,他们与之交谈的那些小组?


斯蒂芬妮:是的,我想他们自己做研究,不管是像您这样的出版物,还是像Forrester这样的公司,还是其他大型战略咨询公司。他们自己做研究。他们通常会派员工参加很多会议。然后,我确实认为那些对等网络小组也提供了极大帮助。但是很难掌握所有可能的趋势。因此,我确实认为也有某种外部建议总是有帮助的,以使您对全球范围内正在出现的新出现的威胁,新出现的风险,新出现的合规性和法规有所了解。


劳雷尔:是的,然后就像您说的那样,让同龄人小组建立信任并通过分享**实践来保持某种透明度,并且只是听各种故事(即使是我听过的朋友的故事)也能得到这些警告分发给各种组织和人员。说到这一点,除了在这些同龄人群体中,政府与企业之间是否还有很多合作?您是否会看到更多的东西,还是因为与企业和政府之间还有其他冲突需要担心,人们是否会留在自己的车道上?


斯蒂芬妮:是的。在美国以及实际上像英国这样的其他国家,如果您被认为是至关重要的基础设施行业,则需要与联邦政府官员保持密切关系。如果您使用的是关键基础设施,我的意思是,如果您身处能源之中,那么必须遵循特定于行业的网络安全法规。我的意思是,即使金融服务也被视为关键基础设施。因此,作为示例,您将必须遵循NIST准则。与联邦政府有业务往来的任何人都必须遵守NIST。


您不想等待与联邦政府或联邦调查局等特定机构建立关系。您不想等到怀疑或有违规行为。或者在很多情况下,情况恰恰相反,就是他们已经检测到某些东西,正在向您发出警报。有时,他们无法提供您的详细信息,因为他们的双手被绑在一起,这是大型调查的一部分。因此,您实际上可以提前与许多美国联邦政府机构建立关系,从而可以共享威胁情报。再说一遍,如果确实确实发生了某些事情,那么您已经拥有了这些预先存在的关系。


劳雷尔:是的,谈到已经发生的事情和准备计划,您是否看到更多公司再次制定这些准备计划,不是,如果不是,而是当它们被黑客入侵或发生网络攻击并需要公开时?


斯蒂芬妮(Stephanie):因此,对于事件响应,有一些内部事件响应,这是您需要检测,修复,然后响应的所有流程的一种。而且,很多回应更像是我们所说的法医级别的回应:准确地确定发生了什么,进行补救,如果您确定自己实际上将要采取法律行动(取决于事后是谁),则有可能收集法医证据。。然后是外部响应,您确实需要两者。您确实需要在公司内部由专门的专家来进行复杂的事件响应,流程和计划,特别是如果您是大型企业。


但是我认为公司通常真正失败的地方在于外部违规响应。同样,法规要求,如果它是与消费者相关的,如果它是受影响的个人,则您必须在特定日期内通知他们。在许多情况下,是30天。在欧洲的GDPR下,时间不超过72小时。而且,我们已经看到公司在**外部破坏响应,这意味着它们对向消费者提供信息持谨慎态度。


我不想选择公司,因为受害人经常责备并没有多大帮助,但我已经看到公司在某种程度上责怪消费者,说:“哦,如果密码卫生更好,正更加密切地监视自己的帐户,这不会带来太大的影响。”不。您需要对客户表示同情。把它们放在第一位。尽一切可能保护他们。不要因为CYA的种种顾虑而谨慎分享信息。在某些情况下,如果您做得正确,这是一个不失去他们的信任的机会,但如果您将他们放在第一位,甚至有可能加强和建立信任。但是您真的可以破坏它,并使违反行为变得比需要的情况严重得多。


劳雷尔:那只会使公司付出更多的钱。


斯蒂芬妮:是的。


劳雷尔:当您回顾2019年时,关于网络安全明智的话题很多,如果我们看一下三个特定领域,首先是网络攻击,但特别是城市和市政当局。因此,截止到年底,新奥尔良是我们所知道的**站点,但紧随路易斯安那州遭受网络安全攻击之后。我们知道全国各地都在发生这种情况。因此,提出一个非常棘手的问题,为什么城市和市政当局不一定是资金最充裕的装备,但它们却成为网络攻击的目标呢?


斯蒂芬妮:是的。这就是为什么,因为它们是简单的目标。因此,如果他们多年来一直在为安全工作投入资金不足,那么他们很容易被渗透,然后索要赎金,即使赎金很小也是如此。


劳雷尔:总比没有好。


斯蒂芬妮:总比没有好。实际上,这是许多团队的共识,许多这样的地方,城市,州政府和市镇都是这么容易实现的目标,因为多年来它们的资金不足且人手不足。在大多数情况下,有财务动机,但还有其他类型的动机。它可以是政治的,社会的。如果您进入更大的州或联邦机构,甚至可能会进入地缘政治领域,甚至在某些方面甚至进入军事领域。


实际上,在新奥尔良市,有趣的是攻击者没有要求赎金。因此,他们使用勒索软件将其禁用。一切都被加密并强制执行。我认为他们正在取代大量的计算机基础架构。从备份中恢复确实很困难。我们这么轻率地说,就像“哦,从备份中恢复”。大多数备份都有错误,而从大规模备份中恢复的能力实际上非常非常困难。谁知道真正开始引入勒索软件的时间?因此,您只需要重新安装勒索软件即可。


劳雷尔:有趣。


斯蒂芬妮:但是,是的。据我了解,他们实际上并没有索要赎金。因此,他们的动机并不经济。所以可能是...


月桂树:只是破坏。


斯蒂芬妮:...只是为了它而破坏。


月桂树:看他们是否能做到,是的。


斯蒂芬妮:或者有趣的是,我读了这篇文章,迫使这座城市更换大量的计算机基础设施,笔记本电脑,台式机和服务器基础设施。因此,我当中有一部分人想知道:“哦,可能是城市雇员。我知道如何升级城市。”


劳雷尔:对,对。强迫他们。


斯蒂芬妮:强迫他们。


月桂树:毁了一切。


斯蒂芬妮:是的。因此,当涉及到关键基础设施以及城市,州和地方政府时,我认为它们很容易成为攻击目标,攻击动机也多种多样。


劳雷尔:不一定要索要赎金时,您才可以找出他们来自哪里或来自谁,或者他们是否是外国国家行为者。


斯蒂芬妮:是的,你不一定知道。


劳雷尔:你永远不会知道。只是个猜测而已。


斯蒂芬妮:是的。实际上,我们今年发布了一份有争议的报告,其中说,在某些情况下,组织可能希望考虑支付赎金。老实说,我认为对于城市,州和地方政府,他们可能被禁止支付赎金。我不知道。我必须调查一下,但是私营公司,即使我确定FBI和其他执法机构宁愿不要这样做,在某些情况下,这实际上还是有道理的。网络保险公司甚至会说在某些情况下这可能是有道理的。实际上,有些公司专门帮助公司支付赎金。有时,您实际上可以协商较低的赎金。就像以物易物。它们将充当公司中各个角色之间的过渡。显然,您是以加密货币付款的。您不只是转移现金。


劳雷尔:当然。


斯蒂芬妮:因此,他们也可以促进这一点。我的意思是,如果您查看巴尔的摩市,他们最终从勒索软件攻击中恢复的支出可能是实际勒索的一百倍。我忘记了这些数字,但两者之间的差异是荒谬的。


劳雷尔:因此,对城市和市政当局的一些建议是实际查看您的系统,并尝试以某种方式使它们更新和受到保护。


斯蒂芬妮:是的。当然使用勒索软件,请确保所有系统都是**的,已修补的。如果您查看最成功的攻击,外部攻击,则它们利用了漏洞和其他类型的软件利用。没什么好看的。每个人总是喜欢使用高级攻击或国家资助的攻击。现实情况是,大多数此类攻击的预算都相当低,但仍然有效。


另一件事是仔细查看您的备份。我不能足够强调。人们总是忽略他们的备份。变成这种死板的IT流程,任何人都不会看过两次,或者人们会贬低它并称其不重要。如果您不想支付赎金,今天可能更加重要。


****


劳雷尔:网络安全不仅在于阻止您所看到的威胁。这是关于停止看不见的东西。因此,Microsoft Security雇用了3500多名网络犯罪专家,并使用AI帮助预测,识别和消除威胁,因此您可以专注于发展业务,而Microsoft Security可以专注于保护业务。了解更多信息,请访问microsoft.com/cybersecurity。


****


劳雷尔:所以2019年出现的另一个有趣的话题就是常规数据泄露。因此,在2019年,确实似乎每隔一天,某家公司或某人就宣布发生数据泄露事件。然后,根据基于风险的安全性,2019年看到了超过70亿条记录。因此,当我们回到CISO时,如果2019年是一年中我们(已经看到这么多)违规事件的一年,那么CISO和公司高管对此有何真正的回应?


斯蒂芬妮:是的。我确实认为2019年终于是违反疲劳的一年。我的意思是,对于我们来说,要跟上新闻发布的每一个漏洞,甚至都非常困难。我确实认为有帮助。并非所有这些违规行为都是攻击。其中许多实际上是意外暴露的结果。因此,例如,如果您错误地配置了云存储,即使没有任何证据表明任何种类的第三方或外部攻击者或组织实际上滥用或滥用了数据,这实际上也被视为违规。事实是,内部人员或通常是安全研究员实际上发现所有信息的暴露程度较低。这被认为是违反。


但是,是的。如果您自己查看违规行为,那么在过去一年中,有51%的公司至少有一项违规行为。这个数字可能更高,因为许多组织并不立即知道它。但是,其中有很大一部分(实际上是大多数)是内部的,是内部事件,第三方事件或只是设备丢失或被盗的结果。而且,如果您的确是真正的外部违规,那是由外部方来攻击您并获得您的敏感数据的访问权,并且又回到了很多低预算的情况,那么前三大攻击源是对应用程序的直接攻击,利用软件漏洞或受损的用户凭据。


还有这三个,如果您看的话...我不敢轻描淡写地说它很容易解决,但是不一定要采用**进的软件技术来解决,但这是安全的应用程序开发。回到我们整个产品的开发和设计,这只是确保您开发的面向客户的应用程序在设计上是安全的-从一开始就在其中构建安全性。这将减少对应用程序的大量直接攻击。然后,一旦将应用程序部署到生产环境中,就可以再次对其进行保护,从Web应用程序防火墙到其他类型的安全措施(包括对应用程序和保护进行包装的所有措施)进行保护。


另一件事是软件漏洞。如此众多的攻击者只是在利用尚未解决的漏洞。因此,拥有一个非常强大的漏洞管理程序(不是漏洞管理这个世界上最性感的话题),但是公司实际上并没有很好的方法来对漏洞进行优先级排序然后加以解决。


月桂树:那是低挂的水果。


斯蒂芬妮:这种低挂的水果。然后用户凭据受损,进行多因素身份验证。


劳雷尔:是的。转到手机。输入密码。不过,我们已经习惯了。


斯蒂芬妮:对。这些重大违规行为发生了很多次……我们过去常常写这份年度经验教训报告,而且几乎变得乏味,因为我只是一遍又一遍地不断给出相同的建议,例如安全应用程序开发,漏洞管理,加密最多您拥有的敏感数据,然后进行两因素身份验证,然后具有可靠的检测和事件响应程序。因此,那里仍然有低挂的水果。我的意思是,我们谈论了很多有关高级攻击和不断增加的攻击面的问题,这是事实,但同样,我们仍然没有涉及很多基础知识。


劳雷尔:这些基础知识,就像你说的那样,你已经写了很多年了。您是否认为其中一些更显着的攻击增添色彩,并可能以人们愿意将一部分IT预算专门用于漏洞的方式引起人们的关注?


斯蒂芬妮:他们有。就您关于多因素身份验证的观点而言,我认为这已经成为已成定局并已接受的**实践-您必须将其部署到位。花了一段时间。它必须一次又一次地违反。业界必须说两因素,两因素,两因素。甚至消费类技术公司也对客户说:“打开两个因素,打开两个因素”。因此,我认为我们越重复这些**实践中的一些,它们最终就会根深蒂固。我希望安全的应用程序开发会发生同样的事情。


再有,漏洞管理再次具有一种对需要解决的漏洞进行优先级排序的方法,这一点非常重要。每年都有数千个漏洞被添加到国家漏洞数据库中,其中30%被认为是关键的。因此,这无济于事。在内部,您需要一个过程,根据您自己的业务环境,IT环境和您自己的威胁环境进一步确定漏洞的优先级,以帮助您修补系统。


劳雷尔:因为否则,那只是...


斯蒂芬妮:那将是压倒性的。


劳雷尔:压倒性的。


斯蒂芬妮:是的。


劳雷尔:我认为银行和银行业是强制进行双重身份验证的行业之一。您是否看到任何特定行业通过保护应用程序或构建安全应用程序来做到这一点?


斯蒂芬妮:构建安全的应用程序,我认为谁可能是**者?这是一个好问题。我不知道是否有其他行业真正脱颖而出。我们最近完成了这份应用程序状态安全报告,这令人震惊,也令人沮丧。这不是一个很好的报告。然后,我们确实做了一个特定于行业的版本,其中我们过滤了政府拥有的数据。而且联邦政府比私营部门还要糟糕,所以这很令人担忧。我认为可能最令我关注的行业是医疗保健和政府。


劳雷尔:这是大多数人最经常使用的两个东西,几乎是其他东西。


斯蒂芬妮:对。


月桂树:是的。卫生保健根本不是一个小问题。医院数据,个人数据以及PII(可识别个人身份的信息)的想法,只是进入系统和机器的想法。一切都令人担忧吗?当您担心所有事情时,如果您是一家医疗机构,您实际上如何优先考虑呢?


斯蒂芬妮:是的。我认为在很长一段时间内,在医疗保健方面,很多重点都放在遵守HIPAA上。谈论美国特定。在美国,对遵守HIPAA的重视程度如此之高,甚至CISO都将重点放在了HIPAA而非真正的网络安全上。因此,从历史上看,我们经常发现,不幸的是,医疗保健在安全方面的花费少于其他行业。再说一次,如果他们有CISO,我们经常会发现他(她)在组织中的报告不够高,或者控制范围不正确。那正在改变。我认为,即使医疗保健部门正在解决他们所遇到的一些历史预算问题,但医疗保健部门仍在苦苦挣扎,这是一个在成本上挣扎的行业。如果您有1美元可以用于临床系统而不是网络安全,这是一个非常艰难的选择,尤其是在美国,我们在医疗保健上花了很多钱,但在所有发达国家的医疗保健效果仍然最差。那才是真正的斗争,因为安全确实需要相当数量的预算才能做好。


是的因此,医疗保健,令我感到担忧的是,它们在整体成熟度方面落后于其他行业,但我认为这正在发生变化。我认为医疗保健中可能与我有关的下一个领域是医疗设备安全性和应用程序安全性。


劳雷尔:是的,这是一个完全不同的可怕主题,对吗?好吧,最后,我从2019年开始考虑的话题是,这个话题既广泛又庞大,但对于大多数实际生产实物或将物品从一个地方运送到另一个地方的公司来说,这也很重要,这就是供应链安全攻击。如果公司的供应链非常漫长而复杂,那么我们不仅在谈论保护您的物理场所或云。这也是产品。它的发运地,去向以及供应商。


斯蒂芬妮:组件。


Laurel:与您合作的组件和供应商。


斯蒂芬妮:是的。我认为其中很多将始于总体第三方风险。第三方风险和供应链风险,我的意思是,供应链是整体第三方风险的一部分。总的来说,我想说第三方风险一直是我们许多CISO客户面临的五大挑战之一,在过去的几年中,他们一直在与我们讨论。同样,如果您查看违规数据,则几乎是25%到30%的数据,在此范围内的某处是第三方造成的。当您不仅添加供应商,而且考虑IT服务提供商,云提供商时,一个典型的大型企业可能会拥有多达300个第三方关系。我曾经做过业务影响分析,当时我在盘点一个真正的中型组织(一千名员工)的所有第三方关系。我发现IT部门对30种第三方关系一无所知。


月桂树:哦,哇。


斯蒂芬妮:所以现在您将其带到一家大型企业。因此,我认为,如果您可以从核心的第三方风险计划入手,那么很多事情都会恢复。一,你有吗?安全性是否嵌入第三方风险中?他们对第三方关系是否拥有否决权?这不仅是对第三方安全状况的一次性评估。这也是一种持续的关系,您需要定期重新评估它们。围绕与第三方的安全性定义服务级别协议有很多要求。因此,这一切都始于基本的第三方风险管理。然后我认为它也会扩展到供应链风险中。


劳雷尔:您可能会发现,就像在人员或公司中一样,它们实际上只是展示**实践。他们将其推向所有供应商的下游。因此,如果您希望与我们合作,则必须遵循以下步骤。


斯蒂芬妮:是的。


劳雷尔:好的。


斯蒂芬妮:是的。是的我想写这份报告有一段时间了,这对于长期的业务成功来说,就像一家破坏公司。在经历了大约五年的损失之后,实际上已经发生过大规模违规并幸存下来的公司实际上仍然取得了通常会超过标准普尔500指数的业绩。如果回头再看,他们会发现很多这样做会迫使他们做出艰难的业务以及IT和安全决策。因此,从业务角度来看,这将迫使他们喜欢重新安排其许多战略计划的优先级,因为违规最终使他们损失了3亿,5亿甚至10亿美元。因此,这迫使他们更加努力地研究整体业务战略和业务运营,因为他们只是没有钱花在所有事情上。或在某些情况下,他们不得不摆脱自己的错误决定,而这些错误决定就像是在倾注**一样。


从IT角度来看,我们将看到他们实现他们应该一直做的事情。第三方风险。我有一家发生违规行为的公司说,违规行为发生后,如果没有……,您将无法购买铅笔。


月桂树:批准。


斯蒂芬妮:批准。您不一定要走到极端,但很明显,他们事先没有第三方风险。或者他们将雇用CSO,或者他们将更改CSO报告的位置,开始为事件响应和违规响应计划提供资金。因此,这种违反实际上迫使他们成为一家更成熟,更好的公司。不幸的是,他们不得不经历漏洞才能到达目的地。


劳雷尔:到达那里。我猜想这可能是每个公司在某个时候都应该看的样子,我们实际上是在做应该以正确方式做的所有事情吗?事务状态,公司状态是什么?并认真看一下。但是我敢肯定,如果这只是一种锻炼,那也不会使您大受欢迎。


斯蒂芬妮:是的。


劳雷尔:如果您经历了可怕的安全漏洞,那您一定会找借口。因此,当某种可怕的事情发生时,我们有点回到整件事,现在您有了借口……


斯蒂芬妮:我确实认为成熟度评估会有所帮助。我的意思是,有很多针对网络安全的针对特定行业的成熟度评估。在Forrester,我们有自己的成熟度评估。因此,我们经常会发现客户会以此为基准,然后他们可以去董事会,拜访他们的业务和IT主管,然后说:“看,反对行业**实践,这就是我们成熟的地方,这确实是我们薄弱的地方。”然后,这还可以帮助他们开始制定路线图,然后为特定计划提供资金,因为您可以说这将使我们的成熟度从1.5提高到3。这实际上对于我们的行业而言,我们至少需要这个区域为3。


因此,我确实想您的意思,将基准与行业**实践进行对比,并选择成熟度评估,您知道-Forrester和其他一些咨询公司。但是,请以安全状态为基础,与企业进行沟通,与企业合作,为企业和行业设定切合实际的目标。然后,这确实会推动您的路线图和大量资金。因此,它为您提供了一个真正的北方。


劳雷尔:它确实使您走上了与众不同的安全之路。


斯蒂芬妮:是的。


月桂树:是的。因此,到2020年,我们可能会看到更多。但是还有更多令人担忧的补充。我们仅简要介绍了地缘政治。到今年年底,特别是与伊朗的道路有些曲折。因此,您认为普通公司对地缘政治有多少关注,还是仅仅是任何坏人来他们需要加强安全性的方式?


史蒂芬妮:实际上,我们早在2016年就已经写了这份报告,最初是针对CISO的。它的标题是“无视地缘政治风险”。正是这个想法,CISO确实确实需要唤醒地缘政治风险对网络安全的影响。是的,今天是伊朗。将来可能是另一个国家。即使您认为,哦,我不在政府之中,也不在关键基础设施中,但始终将私营部门组织作为目标。同样,在某些情况下,因为它们很容易成为目标,因为您与联邦政府有业务往来。


因此,您确实必须担心地缘政治风险。同样,对于您所在的许多大型企业来说,您必须考虑它如何影响您的员工,办公室以及与您开展业务的第三方。好像公民社会组织没有足够的工作要做,他们确实必须考虑到地缘政治风险。它如何增加风险?它使他们更成为目标吗?实际上,很有趣的是,如果您查看某些违规行为,您就会以万豪为例。国歌,我忘了那是否大约是三年前。他们不会以为自己是民族国家的目标,但是他们想要的是他们的数据。


劳雷尔:当然。那些选框名称是否更容易受到威胁,或者仅仅是,是的,您拥有一些出色的数据?


斯蒂芬妮:我认为这不是名字,而是关于它们拥有的数据的特定情况。您知道,就万豪而言,他们掌握了有关政府雇员和高级官员出行习惯的极其详尽的信息。我认为在某些情况下,他们甚至还拥有护照号码的副本,作为受到破坏的敏感数据的一部分。


对于Anthem,您具有有关个人的敏感医学信息。您必须考虑地缘政治风险以及一个民族国家可能如何使用您的数据。


劳雷尔:肯定有很多。但是对于国内政治和风险呢?2020年是选举年。但是,除了投票箱的安全性外,还有哪些其他类型的特殊兴趣小组和竞选活动正在收集可以作为目标的数据?


斯蒂芬妮:是的,我的意思是那很有趣。同样,针对选民的能力非常强大。再说一次,如果您是一个拥有非常详细的个人信息(例如偏好,喜好,习惯)的消费者组织。可能不一定用于诸如身份盗窃之类的邪恶目的。但是同样,它可以被想要成为目标并影响这些人的人使用。因此,我可以肯定地再次看到,如果您是一家拥有令人难以置信的关于偏好,购买行为,态度的详细数据的消费类公司,那么所有这些对于定位无疑是非常成熟的。


劳雷尔:像深造一样的攻击,对吗?


斯蒂芬妮:是的。


劳雷尔:那么您会说深层仿冒就像新的网络钓鱼一样,还是只是一种网络钓鱼?


斯蒂芬妮:味道。这是社会工程学的下一步发展。好像社会工程学还不足以解决,现在我们也必须应对深造。而且我感觉像是深造,它们的成熟速度比业界预期的要快得多。我的意思是,我记得阅读和收听过类似的播客和专家这样说:“哦,您知道,距离真正欺骗专家的假冒伪劣产品还差很多年。”我觉得那条时间表已经过去了。


月桂树:方式加快了。


斯蒂芬妮:方法加快了。


劳雷尔:因此,佛雷斯特(Forrester)的这份伟大的报告叫做《 2020年预测》,预测是,假货明年将使企业损失超过10亿美元的四分之一。因此,技术正在加速发展,但其影响和危害也在不断增加。


斯蒂芬妮:是的,正确。而且我认为,就像典型的违规行为一样,还有直接的成本。因此,如果您考虑典型的社会工程攻击。就在最近,这是一家德国公司,实际上有人确实能够说服**执行官的声音,他们说服公司内的另一位高管向他们汇报了25万美元。因此,有一个示例说明您的业务妥协和社会工程攻击的下一个演变。因此,您可以想象,它变得更加复杂,规模更大,但同时也正在解决它的影响。证明这是一个深深的假,处理违规响应以及如何处理它。我们**认为它的总成本可能是巨大的。


劳雷尔:保险公司是否准备好处理或可以处理?


斯蒂芬妮:有趣的是,我刚才举的那个例子,真是太假了,一切都发生在计算基础架构上。与外部攻击相反,这被认为是欺诈。因此,我不确定您的网络保险是否真的会承保。


月桂树:哇。


斯蒂芬妮:我知道很多公司都将其作为回应的一部分。有一个假设将覆盖其中的很大一部分。对于大型企业来说,拥有一亿美元的网络保险单并不罕见。因此,如果您打算使用这1亿美元,则取决于实际发生的情况。如果将其归类为欺诈,则他们可能不会涵盖。


劳雷尔:高管可以做什么?返回到秘密密码和握手或...


斯蒂芬妮:是的,开个玩笑。如果在那些电汇实例或涉及敏感数据的任何其他事情中,具有第二个因素(身份验证),我认为实际上非常重要。


劳雷尔:有趣。显然,假冒伪劣产品,许多快速发展的技术,一切都在变化,并且变得越来越复杂。因此,我们不只是在谈论拥有所有技术的好人。坏家伙也一样。那么,我们在Forrester的另一项有关武器化人工智能和机器学习的预测中正在看什么?这是一个很大的话题,但是随着技术的飞速发展,每个人都可以使用相同的工具,一场军备竞赛是否在进行,还是我们所有人都必须互相注意并完成?


斯蒂芬妮:我认为两者都是。我的意思是安全是常年的军备竞赛。我会说,我认为安全团队确实需要非常快地接受机器学习和其他类型的人工智能。和坏人一样快。我的意思是说,在安全性方面,有很多机会可以自动化许多核心流程。从检测到修复到实际响应的所有内容。


使用机器学习获得更好的检测功能。因此,想象一下,如果我们能够更快地检测到某些东西,然后我们的更多响应是自动化的。目前,我们所做的很多工作都是非常手动的。检测手册,实际上就像安全团队一样,就像您查看典型的SOC一样,我的意思是它们充满了成千上万的警报。试图弄清哪些警报比其他警报更重要。再说一遍,这是一种优先级。像立即了解哪些是真正的邪恶和危险一样至关重要。您可以雇用任意数量的人员。您将永远无法跟上它。


劳雷尔:对。


斯蒂芬妮:所以您实际上确实需要技术来为您做到这一点。但是,一旦您知道某件事确实是恶意的,那么现在,这是一个手动过程,该过程已经启动,也就是说,您将需要手动重置用户密码。您将需要手动将设备与网络隔离。一切都是手动完成的,在某些情况下,我们还有很多步骤需要批准。将来,所有这些都会自动发生。您将需要业务部门与您一起说:“好的,如果满足一定的阈值,从现在开始,如果我们百分之九十确信这是恶意的,那么安全团队将自动执行所有流程。”我刚才描述的所有事情,例如重置密码,隔离设备,所有这些都可以自动发生。您无需等待任何人的批准。


劳雷尔:时间至关重要吗?


斯蒂芬妮:是的,所以我们必须谈论需要进行数字化转型以满足新客户期望和不断变化的业务需求的业务。我认为安全团队需要进行自己的数字化转型,因为我们今天所做的一切都是手工操作,非常耗时。而且,如果我们要跟上利用这些技术的网络罪犯的步伐,我们需要尽早而不是迟些。


这家公司使用机器学习算法来针对具有更复杂的社会工程信息的个人,不仅能够增加他们能够进行社交工程的人数,而且通过计算机学习和自动化技术。是的,我们必须跟上。


劳雷尔:您是否会说2020年还有其他特殊趋势,还是人们应该注意的事情?


斯蒂芬妮:实际上,我确实认为第三方风险和供应链将继续是一个重大问题。由于问题的严重性,实际上这是另一个领域。当我谈论一个具有300个第三方关系的企业时,这只是一个平均值。大型公司的数量甚至更多,而且评估状态,协商SLA,继续对其进行评估,密切关注它们,从中获取日志以使您了解数据的位置非常耗时。因此,仅第三方风险挑战就需要一套自己的自动化工具和供应链规则。我确实认为,SOC的转型将在2019年继续成为一个问题。


劳雷尔:安全运营中心?


斯蒂芬妮:安全运营中心。好像我们没有技能和人员短缺。即使您可以雇用所有想要的人,也无法跟上问题的规模和挑战。因此,您还必须在其中采用自动化。


劳雷尔:您是否看到公司可能首先在安全方面采用自动化,而在业务其他方面却犹豫不决?


斯蒂芬妮:是的。长期以来,人们一直不愿采用自动化,因为有人担心我会阻止合法的商业交易。而且您知道,从历史上看,安全团队一直很难被视为业务合作伙伴。他们是没有的部门。因此,人们担心会阻止任何形式的合法业务交易。我认为,鉴于我们的所有违规行为,现在这种恐惧已经消失。生意就像是:“不,您知道有恶意的东西,就将其阻止。”


劳雷尔:对。


斯蒂芬妮:“或者在一定的信心范围内,您认为它是恶意的,您可以阻止它。”因此,**有自动化的开放性。我会说,有这样的短语,例如“不要自动化愚蠢”。如果您的SOC缺乏基本流程,则不能仅仅投资自动化技术。因此,您必须使SOC操作成熟并具有成熟的流程,然后才能使它们自动化。否则,您只会使愚蠢的人自动化。而且在某些情况下,这就是为什么许多公司都转向托管服务的原因。


实际上,现在绝大多数安全预算都花在了服务上。无论是咨询服务,专业托管服务,还是实际上从云作为服务交付的安全性。它已从本地产品转向服务。我认为这部分反映了安全团队的需求,他们需要外部帮助。他们有一系列问题,也有专业知识问题,因此他们越来越多地转向服务。然后,随着业务变得越来越基于云,您的安全技术也需要变得基于云。


月桂树:很快。


斯蒂芬妮:是的。


月桂树:是的。那肯定会回到整个圈子,不要孤单。您无法在旷野独自完成这一切。


斯蒂芬妮:**不是。


劳雷尔:嗯,非常感谢你,斯蒂芬妮。很高兴您今天能参加商务实验室。


斯蒂芬妮:谢谢有我。很高兴来到这里。


劳雷尔:那是Forrester Research安全与风险研究以及基础设施和运营研究的副总裁兼集团总监Stephanie Balaouras,我从麻省理工学院和MIT Technology Review的所在地马萨诸塞州剑桥市与我交谈,俯瞰查尔斯河。另外,感谢我们的合作伙伴Microsoft Security。


这就是商业实验室的这一集。我是你的主人,月桂树Ruma。我是《麻省理工学院技术评论》定制出版部门Insights的主管。我们于1899年在麻省理工学院成立,您也可以在网上每年数十次的现场活动中找到我们的印刷版。有关我们和展会的更多信息,请访问我们的网站TechnologyReview.com。无论您何时获得播客,都可以观看此节目。如果您喜欢此剧集,我们希望您花一点时间对我们进行评分和评论。商业实验室是《 MIT技术评论》的产物。此集由Collective Next制作。谢谢收听。


安全威胁无处不在。这就是Microsoft Security拥有3500多名网络犯罪专家不断监控威胁以帮助保护您的业务的原因。有关更多信息,请访问Microsoft.com/cybersecurity。


这个故事要么由专门的赞助内容团队MIT Technology Review Insights制作,要么由赞助商提供。它不是由我们的编辑人员撰写的(请参阅我们的社论和广告指南)。要了解有关赞助内容机会的更多信息,请发送电子邮件至sights@technologyreview.com。





END





点击上方蓝字关注我们


  • 电话咨询
  • 15021948198
  • 021-22306692
None