面对紧张的预算和资源,可供企业组织使用的安全措施有限。因此,企业组织需要根据战略目标对安全措施进行优先级排序。但现实中,由于诸多原因,企业组织的总体安全目标并不明确,在这种情况下,企业组织可以尝试“日拱一卒”,制定阶段性的局部目标。
2021年CISO(首席信息安全官)应该重点关注的五个工作目标:
创建网络钓鱼防范计划
无线通信公司Verizon在其DBIR 2021数据泄露报告中指出,网络钓鱼仍然是网络攻击最常用的手段,在2020年甚至更为流行,占攻击事件的36%。远高于一年前的25%,这一增长反映了2020年上半年与新冠肺炎疫情相关网络钓鱼诱饵的涌入。面对网络钓鱼攻击的日益增长,CISO和其他安全专业人员需要优先创建反网络钓鱼程序。
网络钓鱼攻击会针对业务人员发送以假乱真的信息,并使用心理战术营造紧迫感,促使收件人点击。因此,企业组织需要对员工进行网络钓鱼方面的教育,确保企业组织内从人力资源、法律到研发部门的每个人都了解要查找的危险信号、如何报告可疑消息以及避免单击链接或打开网络钓鱼电子邮件中包含的文件。
重新审视漏洞管理
Verizon在其DBIR 2021中发现,与利用较新漏洞相比,涉及较旧漏洞的攻击更为常见。产生这种趋势的部分原因是企业组织并不总是将修补作为优先事项,如果不能及时修补漏洞,攻击者就可以连续数年利用相同的漏洞进行攻击和破坏。
企业组织可以通过漏洞管理(VM)、漏洞扫描(通常指CVE漏洞列表或“常见漏洞和暴露”扫描)来应对这一趋势,再根据风险对这些漏洞进行严重性和修复优先级排序。
企业组织实施VM程序的一个难点是了解哪些漏洞是首先要缓解的。当漏洞堆积时,企业组织判断哪些漏洞最严重且具有潜在破坏性可能是一项挑战。企业组织可以选择使用高级VM解决方案,提供灵活、精细的评分系统,对已知缺陷进行优先排序。
加强云上资产保护
2021年,外部云资产的安全事件比内部资产更常见。这意味着企业组织需要了解他们的云安全责任。虽然云安全提供商将保护企业组织正在使用的云基础设施,但企业组织仍然有责任确保添加到云中的所有数据和流程安全。
高级云帐户监控网络安全工具可以扫描企业组织云帐户中的错误配置,因为这些错误配置可能会成为攻击者的窗口。云监控工具可以按照风险级别对云帐户错误配置进行优先级排序,以便安全团队可以解决最关键的问题。
优先考虑工业网络安全
根据Verizon的年度安全报告,工业环境,尤其是制造业环境,已经成为攻击者的热门目标。事实上,研究人员发现勒索软件对制造企业漏洞的恶意利用比前几年增加了61.2%。报告还发现,个人数据是这些攻击行为中受损最严重的数据类型。
企业组织可以通过优先考虑工业网络安全来做出响应。例如,安全团可以重点考虑实施工业可见性解决方案来保护运营(OT)环境 。可见性始于整体资产清单,安全团队可以使用一种工具,通过完整的硬件和软件资产清单,准确地显示网络上的各种资产。
企业组织需要知道这些设备正在与谁通信,设备配置是否在变化,以及存在哪些漏洞,并了解日志中隐藏的问题。一旦企业组织实现了工业网络安全的实时可见性,就可以实施保护性安全控制,并持续监控企业组织的网络环境。
使用CIS控件
Verizon在其报告中曾表示,“‘夯实基础’将有助于解决最有可能影响企业组织的绝大多数安全问题。” 而这个“基础”的重要组成部分之一就是CIS(全称Clever Internet Suite)控件,CIS控件是一套提供给软件开发者,进行Internet网络开发的控件。由互联网安全中心维护的CIS最佳实践优先列表是一个免费的、备受推崇的框架,企业组织可以使用它来确保拥有最重要的安全控制。
CIS安全控制将企业组织的数字环境视为一所房子,如果没有基本的安全措施,任何人都可以进入。企业组织遵守基本的安全控制,尤其是在CIS Controls v8 实施组1中列出的那些,可以帮助其关闭窗户,锁上门,并安装一个标准的安全系统。虽然没有可以完全消除攻击者闯入的可能性,但实施CIS控制有助于降低攻击的可能性和影响。