导语:在当今的云计算世界中,容器化的工作负载,远程的劳动力以及令人眼花的不安全的IoT设备已经让网络安全发生了质变,再加上网络攻击和网络攻击者的呈指数级增长和复杂性,需要高管们付的安全责任就越来越多了。
一些网络攻击,尤其是诸如目前似乎永无止境的勒索软件事件之类的攻击,对组织造成了一些非常严重的后果,比如面向客户的服务会突然中断、失去生产力、收入和声誉下降,更不用说补救的成本,比如支付赎金,以及可能的数据泄漏甚至是监管罚款。但是,此类网络事件不仅会造成对组织的损害,而且还会造成受害组织的人员变动。从著名的“塔吉特黑客事件”开始,到家得宝、索尼、Equifax和Imperva的黑客事件,几位首席执行官已经被追究责任,并在严重的网络事件后被迫辞职。
丢钱又丢人:塔吉特(Target)安全事件损失惨重
2013年年底,美国零售巨头塔吉特(Target)宣布公司被黑客入侵,7000万的用户个人信息和4000万的信用卡数据被盗,涉及用户名、电话号码、电子邮箱和信息卡信息等隐私数据。据估计塔吉特的损失可能达到10亿美元,同时塔吉特还将向个人受害者支付最高10000美元的的损害赔偿,并将增加数据安全保护措施。对公司内部而言,因此安全事件,塔吉特辞退了时任CEO并重新任命一位首席信息安全官。
人们可能会认为CISO(首席信息安全官)会成为这类攻击的主要受害者,但行业分析机构Gartner表示,到2024年,未来的网络攻击可能会导致75%的CEO承担“个人责任”。简而言之,整个高管层需要为一次成功的网络攻击的后果做好背锅准备,因为网络攻击可能会损害那些负责确保组织安全的人的业务和职业生涯。
直到最近,企业还可以将网络事件和数据泄漏事件隐藏起来,远离公众的视线。然而,监管的进步、公众情绪和网络攻击的性质改变了这一切。
HIPAA,GDPR,CCPA,NYC DFS和许多其他数据泄漏通知和隐私法规使公司无法合法地掩盖遭受重大网络事件的事实。试图轻描淡写的公司和个人可能会受到追究和处罚,就像Uber的前CISO一样,他现在被指控妨碍司法公正。据称,他试图掩盖2016年的一次黑客攻击。Uber 2016年发生了一起重大数据泄漏事件,该事件中黑客攻击并窃取了5700万名Uber客户和司机的个人数据,而Uber并没有将此事告知监管机构,而选择与黑客和解,支付10万美金让黑客保持沉默。
攻击的性质也发生了变化,最近几年的勒索软件攻击除了加密数据外还会向全世界宣布其窃取的大量数据。如果他们的赎金要求得不到满足,攻击者就扬言要发布或出售被盗数据。在许多情况下,这意味着公众几乎肯定会意识到该事件,这时,如果受害者继续否认该事件甚至拒绝对此发表评论,则只会进一步损害受害者的声誉。此外,随着公众越来越了解关于其中保存的数据量及其敏感程度,越来越多的公司和组织被指责缺乏安全实践。现在,许多消费者表示应该对组织的安全疏忽负责,最近的一项调查发现,英国35%的消费者将CEO视为发生网络事件时的首要责任人。201年奥地利飞机零部件制造商FACC公司宣布将解雇其CEO沃尔特·史蒂芬(Walter Stephan),史蒂芬由于误信诈骗邮件而令该公司损失4700万美元(约合人民币3.09亿元)。 监管理事会做出这个决定是由于沃尔特·史蒂芬严重失职,特别是涉及到“假总裁事件”。虽然该公司并未透露关于这场骗局的更多细节,但“假总裁事件”却是企业电子邮件攻击的标志性事件,“假总裁事件”指的是已在全世界蔓延的“CEO邮件骗局”,又称为CEO欺诈或者钓鲸。手法是犯罪分子伪装成公司首席执行官或者其他高管,通过电子邮件下达虚假电汇指令。犯罪分子有时候声称这笔资金将用于收购对手,要求进行保密。
在其他情况下,高管也会被追究责任,因为网络安全现在被认为是一项基本的业务运营要求。例如,2018年新加坡最大的医疗保健集团SingHealth遭受了大规模的数据泄露,暴露了150万患者记录。被盗记录包括患者的姓名,地址,性别,种族,日期出生和国民登记身份证(NRIC)号码。包括其首席执行官Bruce Liang在内的五名高级管理人员因对SingHealth安全漏洞的“集体领导责任”而被罚款。
高管们如何确保组织安全的七个步骤
有责任的组织可以遵循明确定义的企业安全路径,限制安全破坏的风险和后果。步骤如下:
1.评估你的安全状况,第一步是评估组织的安全状况。最高管理者(CIO,CSO,CISO)需要对组织的安全机制有清晰和最新的了解,包括人员配备水平、培训、系统和程序、事件响应和业务连续性。你是否仍在依赖传统的防病毒解决方案,而这些解决方案容易被当今的攻击者所绕过?谁负责威胁搜寻,每隔多长时间搜寻一次?事件反应程序是怎样的?在我们现在面临的高度安全环境中,当从脚本小子到APT的攻击者能够访问和使用复杂的恶意软件时,必须清楚地了解你当前的安全状况。
2.进行网络风险评估,CEO和C级管理人员需要了解组织面临的网络威胁的性质,目前有许多可用于风险评估的工具,包括使用行业基准、政府和执法机构的建议以及威胁情报反馈。风险评估还应包括监管和商业风险,例如由于网络攻击而导致的声誉损失。
3.制定企业范围的安全计划:清楚地了解组织所面临的威胁和当前的安全状况,就有可能评估组织在哪些方面表现良好,哪些方面还有改进的空间。根据组织的风险偏好制定计划来解决这些差距是至关重要的。该计划应包括一个现代EDR平台、事故响应和缓解能力、备份系统和业务连续性程序。
4.分配足够的资源:在制定和批准安全计划后,必须分配适当的人员、组织和财务资源。这很关键。一项计划如果没有人力资源和财务资源的支持,则这不是真正的计划,而是一厢情愿的想法。如果一个计划因为需要组织不愿意做出的结构性改变而无法实施,那它只是一个浪费时间的想法。缺乏充分制定和批准预算的计划则表明这是没有真正的意愿或意图推动变革。
5.持续进行监督:就算有实施周密、资源充足的计划时,也必须进行监督并向高级管理层报告。如果一个应急计划只是部分执行,没有按照预期执行,或者在实践中不像预期那样,则可能比没有计划更糟糕。安全主管还应监控业务运营的发展以及运营变更如何影响安全计划。例如,突然转移到在家工作的计划明显改变了组织所面临的风险,但是有多少企业已经更新了他们的安全计划和解决方案来考虑到这一点呢?
6.进行外部审核:建议进行外部审核,以验证CISO的计划及其执行。这样做的好处包括无党派,客观地了解你的准备情况和实施情况,这不仅可以让内部相信你正在做正确的事情,而且还可以作为安全漏洞发生后迅速重建外部信任的重要组成部分。
7.计划是否持续:在一个完整阶段的安全计划结束时,必须评估计划的成功与否以及决定是否继续执行或进行更改。许多组织认为他们已经有了一个很好的计划,却发现在实践中一个行动者已经连续数月不断地突破了他们的防御。
发生网络攻击时高管们如何应对?
但衡量高管的标准不仅仅是他们的计划和具体执行情况,衡量它们的标准还包括它们对危机的反应,当危机来临时,最好是按照预先设定的计划行事。如果没有的话,尽快引进事件反应和危机管理方面的专家。
高管们必须与董事会、员工、客户和媒体及时公开地沟通情况,迅速、诚实和透明地做出反应的组织通常会得到以上所有人的支持。
例如,2018年美版“知乎”Quora遭黑客入侵,1亿用户受影响。首席执行官迅速做出反应,发布了一个非常透明的博客文章,并通过电子邮件通知了所有用户,并建立了专门的问答站点,并将最新情况通报给用户。
总结
保护你的组织免受当今的网络威胁是企业高管们的当务之急,如今,那个只需要雇用IT管理员来安装现成的防病毒软件,并在网络外围建立防火墙就完事大吉的日子已经一去不复返了。在当今的云计算世界中,容器化的工作负载,远程的劳动力以及令人眼花的不安全的IoT设备已经让网络安全发生了质变,再加上网络攻击和网络攻击者的呈指数级增长和复杂性,需要高管们付的安全责任就越来越多了。
本文翻译自:https://www.sentinelone.com/blog/the-c-suite-guide-to-cyber-safety-7-steps-to-securing-your-organization/如若转载,请注明原文地址: