根据IT治理协会ISACA在2021年的一项研究,只有32%的企业对网络攻击做好了充分的准备。然而,这种准备会带来回报。行业专家指出,在网络攻击事件发生前采取更严格措施的首席信息安全官不仅能够更好地防御和响应攻击,而且还能最大限度地降低相关成本。
以下是首席信息安全官可以帮助降低数据泄露带来的损失而采取的10个措施:
1.了解运营环境的复杂性,并知道是什么让企业获利
资深首席信息安全官Andreas Wuchner指出,IT系统的复杂性使企业能够极大地扩展他们开展业务的方式和地点,但它也使防御网络攻击以及在受到网络攻击之后进行恢复变得更具挑战性,因此企业需要提前做好准备。Wuchner现在是一家全球金融机构的高级安全负责人,也是咨询服务机构Cybovate公司的联合创始人。
Wuchner说:“越了解运营环境以及是什么业务为企业创造了更多的收入,那么就可以越快地恢复运行,并最大限度地减少业务影响,企业这样可以及时止损。”
最近发生的美国Colonial输油管道遭遇网络攻击导致关闭的事件说明了这一点。虽然早期的猜测集中在该公司的运营技术(OT)系统是否遭到破坏,但根据新闻媒体CNN的报道,“该公司因为其计费系统受到攻击而停止运营......他们担心无法弄清楚向客户收取多少燃油费用。”
2.了解合作伙伴
企业的安全团队处理网络攻击和数据泄露行为需要来自许多不同领域的专业人员的帮助。首席信息安全官应该在受到网络攻击之前就知道需要与谁合作一起应对,并达成一致意见,以便每个人在发生这样的事情时都做好准备。Wuchner表示,这可确保企业快速响应以减少声誉损失以及相关成本。它还确保合作的专家可以按合同收取费用,而不是按紧急处理事项来收费。
它有助于确保所有关键技能都包含在应对措施中。Hold Security公司的首席信息安全官兼ISACA新兴趋势工作组成员Alex Holden表示,一些勒索软件的受害者同意网络攻击者的要求而支付赎金,因为他们没有擅长与网络攻击进行谈判的合作伙伴——这一失误使数据泄露事件的成本增加了数百万美元。
3.明确谁做什么
同样,首席信息安全官应该事先了解其技能和权限的限制,并详细记录发生数据泄露时每个步骤或行动的负责人。
塔塔咨询服务公司风险和网络战略全球管理合伙人Siobhan MacDermott说,“每个人都必须有明确的角色;现在不是争论谁来负主要责任的时候。”
4.实践违规事件的响应
企业需要对响应网络攻击事件进行练习,可以在发生网络攻击事件时减少恐惧和恐慌。Holden说,“我们有充分的理由进行练习,但在网络安全方面没有进行足够的练习,而且当我们进行练习时,大部分时间都做得不好。”
定期进行练习的企业会培养快速处理真实交易和战略性响应所需的肌肉记忆,避免可能造成更多业务损失、更大声誉损害和更高成本的延迟和失误。
5.聘请曾处理过数据漏洞的安全专家
在一些数据泄露事件发生后,一些安全专业人士认为那些被黑客攻击企业的IT安全人员的职业生涯可能终结。事实并非如此,这些工作人员在处理数据泄露方面有着宝贵的经验。
首席信息安全官应该考虑雇佣一些这样的专业人士来帮助他们更好地做好准备。
6.概述和准备监管要求
越来越多的国家和地区实施了规定企业应该如何处理数据泄露行为的法规,包括企业必须以多快的速度通知用户他们的信息已被泄露,如果需要为这些用户提供任何服务,以及什么情况下需要采取这些行动。
例如,欧盟发布的通用数据保护条例(GDPR)包括企业及时报告数据泄露的要求,并规定违反这些法律的企业可能会被处以最高为其年收入4%的罚款。
MacDermott表示,首席信息安全官应该与企业其他高管合作,提前了解哪些法律适用于他们,在什么情况下适用,然后准备在多种情况下都适用的模板语言。
她解释说,“我们将每个数据泄露行为视为一个单独的事件,其中80%的语言可以反复使用,只有20%需要针对特定事件进行修改。”
7.关注供应链的安全
VMware公司网络安全战略负责人兼威尔逊中心网络政策全球研究员Tom Kellermann表示,黑客越来越多地利用被入侵和攻击的企业来攻击其他受害者,因此要为这种情况做好准备。Solarwinds供应链攻击事件就是最近发生的这样的事件之一。
Kellermann表示,很多用户开始起诉那些被用作黑客基站的企业。他预测,今年将会看到股东诉讼和监管处罚这样的事件。
为了避免代价高昂的法律诉讼,企业首席信息安全官需要确保他们不会陷入这种困境,而如果遇到这样的情况,可以尽快采取行动。此外,首席信息安全官需要更加小心地留意网络攻击者利用企业作为跳板的攻击,即使这些企业并不是供应商或合作伙伴。
8.加强检测和隐身模式的能力
应对导致高昂损失的黑客攻击的最有效方法之一是对网络攻击者的行为进行检测。Kellermann表示,首席信息安全官可以通过投资集成网络和端点检测、实时遥测和分析功能以及威胁检测和其他领先的安全最佳实践来做到这一点。
及早发现网络攻击者的行为有助于消除网络攻击活动。这当然很重要,但在不让网络攻击者知道他们已被识别的情况下这样做变得越来越重要。
他说,“我们需要在如何进行事件响应和威胁追踪方面更加隐秘。”
9.培养更多的政治头脑
想要对数据泄露做出快速反应的首席信息安全官还应该加强他们对地缘政治的理解。正如专家指出的那样,许多网络攻击者得到一些国家的支持并按照他们的想法行事,不仅利用企业内部存在的技术弱点,这些企业并不总是能够认识到会受到国际紧张局势的影响。
MacDermott说:“当我们谈论防御网络时,了解地缘政治格局很重要。需要了解世界各地正在发生的事情,并了解一些国家的政治立场。这通常是首席风险官要考虑的问题,但首席信息安全官也必须考虑这一点。如果知道企业将成为地缘政治棋局中的棋子,或许能够更快地做出反应,并让合作伙伴为此做好准备。”
10.尽早让高管做好减少数据泄露损失的准备
SANS公司首席信息安全官Rob T.Lee表示,首席信息安全官在遭受网络攻击之前应该提前做好准备。他问道,“那么将如何限制网络攻击和损害,使其不会成为损害企业的运营?”他补充说,在检测到违规行为之后,企业没有时间进行指责和猜测,必须快速应对和处理。他说,“在遭遇数据泄露之后,需要快速应对和处理,因为在几天之内可能会对企业造成无法弥补的伤害。”