網(wǎng)絡(luò)掠奪者是無情且無情的。一旦出現(xiàn)失誤，您的企業(yè)就可能陷入癱瘓。這就是為什么不僅要建立強大、有彈性的保障措施和實踐，而且要確保它們有效發(fā)揮作用。

在網(wǎng)絡(luò)安全方面，失敗絕對不是一個選擇。麻省理工學(xué)院斯隆管理學(xué)院網(wǎng)絡(luò)安全執(zhí)行主任 Keri Pearlson 認為，企業(yè)領(lǐng)導(dǎo)者必須將重點從保護轉(zhuǎn)向恢復(fù)能力。“我們需要假設(shè)壞人將進入我們的系統(tǒng)，找到新的方法來攻擊我們，并不斷創(chuàng)新以實現(xiàn)他們的目標，”她解釋道。

雖然強有力的保護仍然很重要，但領(lǐng)導(dǎo)者還需要考慮他們的組織如何吸收攻擊、恢復(fù)并繼續(xù)前進。皮爾森設(shè)想了一個未來的世界，在這個世界中，組織遭受攻擊時，其系統(tǒng)、聲譽、資產(chǎn)、組織和供應(yīng)鏈將受到零損害。“簡而言之，它們很有彈性。”

皮爾森建議組織建立安全技能、流程和程序，讓他們能夠注意到、阻止、響應(yīng)、恢復(fù)和改進。“具有彈性意味著采用動態(tài)的網(wǎng)絡(luò)安全方法，不斷適應(yīng)不斷變化的條件，這樣當攻擊發(fā)生時，組織的運營就不會受到影響，”她說。

協(xié)調(diào)漏洞

安全服務(wù)公司 HackerOne 的首席安全技術(shù)專家 Kayla Underkoffler 主張更多地使用協(xié)調(diào)漏洞披露——公開披露新發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞。她指出，雖然這個概念已經(jīng)成為公認的最佳實踐，但許多組織仍然不愿意向前邁進。“在披露已修補的漏洞時保持透明和協(xié)作不僅有利于披露的組織，而且有利于整個互聯(lián)網(wǎng)的安全，”Underkoffler 說。

只有承認并分享導(dǎo)致違規(guī)的漏洞和錯誤，才能提高所有組織的安全性。實現(xiàn)透明度的一種方法是采用漏洞披露計劃(VDP)，該計劃提供了如何報告漏洞的計劃。“其核心是‘看什么、說什么’的政策，”安德科夫勒說。“這有助于組織通過明確的指導(dǎo)方針與安全研究人員進行協(xié)調(diào)，并避免過早或意外發(fā)布仍可能對組織構(gòu)成風險的漏洞。”

運營與風險

Baker Donelson 律師事務(wù)所數(shù)據(jù)保護、隱私和網(wǎng)絡(luò)安全團隊主席 Alisa Chestler 敦促組織不要將安全規(guī)劃視為嚴格的網(wǎng)絡(luò)問題。她指出，保護企業(yè)資產(chǎn)實際上是一個運營和風險問題，需要整個管理團隊進行仔細、詳細的規(guī)劃。

Chestler 警告說，將安全規(guī)劃僅限于企業(yè)的 IT 團隊完全沒有抓住重點，并使企業(yè)面臨重大風險。她表示：“未能針對可能發(fā)生在組織身上的各種潛在行動和事件做好計劃，意味著企業(yè)對可能發(fā)生的一系列事件完全沒有準備。”

切斯特勒建議創(chuàng)建一個強有力的治理計劃，該計劃需要定期安排管理團隊會議，專門討論安全問題。她建議，該團隊的最初任務(wù)應(yīng)該是繪制風險圖，然后努力減少漏洞。她解釋說，一旦制定了適當?shù)闹卫碛媱潄砼c運營、IT、法律和財務(wù)同事一起審查和分析安全問題，企業(yè)就可以開始認真關(guān)注當前和潛在的未來威脅。

實施工作治理計劃的最大障礙之一是企業(yè)文化，特別是來自信息較少的管理團隊成員的抵制。Chestler 認為，通過持續(xù)的知識共享可以贏得管理層對強有力的安全治理的支持。她建議，繼續(xù)發(fā)布有關(guān)當前網(wǎng)絡(luò)安全事件的新聞是促使管理層了解他們的角色在持續(xù)努力降低組織風險(尤其是新威脅不斷演變的風險)方面的重要性的一種方式。

過度自信會致命

也許一個組織可能犯的最大的網(wǎng)絡(luò)安全錯誤是對其成功應(yīng)對當今復(fù)雜、廣泛的攻擊的能力過于自信。技術(shù)研究和咨詢公司 ISG 的總監(jiān) Phil Quitugua 解釋說：“威脅行為者不斷發(fā)展他們的策略和技術(shù)來規(guī)避防御。” 太警覺和準備是不可能的。

跟上威脅形勢并定期進行評估應(yīng)該成為企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵。Quitugua 表示：“持續(xù)改進網(wǎng)絡(luò)安全方法是避免過度自信的關(guān)鍵。”

此外，驗證安全控制是否按預(yù)期運行應(yīng)該是一個永無止境的過程。Quitugua 建議：“更進一步，企業(yè)應(yīng)該通過網(wǎng)絡(luò)范圍演習(xí)了解其整體彈性能力。”