指导风险评估的背景和指标不断变化,我们对安全团队进展的理解也在不断变化。测量一切是不可能的。你可以测量它并不意味着它很重要。这很容易让我们迷失在细节中而错过大局:我们是否有方向性的改进?
问题的很大一部分在于标准的安全策略,它追求完美,却忽视了可实现的目标。在我们的行业中,我们有政策规定,例如“所有高风险漏洞必须在 10 天内得到解决”,或者“所有用户访问必须每季度进行一次审查”。我们的假设是,您将争取 100% 的努力,而不会讨论这是否可以实现以及需要哪些资源来实现该目标。
通常,安全团队在 70% 的情况下会实现该目标,这被认为是失败的。团队经常花费大量资源试图缩小差距,例如,通过解决 70% 的关键漏洞和 100% 的策略目标。当这些资源本可以更好地用在其他地方时,他们最终却可能会耗尽资源来追求完美。
作为一个行业,我们需要退后一步,重新评估指导我们计划的政策和指标,决定它们是否现实,以及它们是否是正确的衡量标准。为实现这一目标,需要采取以下三个步骤。
确定您的风险偏好
在所有风险领域都达到完美是不可能的。安全团队最终可能会玩打地鼠游戏,而失去对更微妙风险的关注。需要进行业务级别的对话来定义组织最大的安全风险在哪里、在哪里投入资源,以及高管可以承受一定风险的领域。例如,像 MOVEit 这样的关键漏洞,可能在某个业务领域代表可接受的风险,但在另一个拥有核心系统的业务领域则不然,该业务领域可能对机密性、完整性和可用性CIA三元组的潜在损失承受能力为零或极低。看看你所在行业中最大的漏洞在哪里,以及通常针对你所在领域的企业进行风险评估的攻击类型。
设定灵活、可实现的目标
下一步是根据风险评估制定可实现的安全策略,重点关注渐进式进展。您不可能一夜之间从修补 50% 的漏洞跃升至 95%。重要的是要了解实现您的目标所需的资源。如果你的目标是完全修补而不是 85% ,您会失去关注更重要事项的机会。纠结于修复那最后几个漏洞可能并不值得。
不要设定静态目标并力求完美,而是专注于相对于之前的情况改进计划。您应该问的问题是:我们正在朝着正确的方向前进吗?程序有改进吗?我们是否总体上降低了风险?
定期重新评估
由于漏洞和攻击方法总是在变化,安全领导者应定期与更广泛的企业进行讨论,以重新评估风险偏好和安全策略。至少应每年进行一次。重新评估目标是否与已知风险和风险承受能力相一致,并做出有意识的权衡决策。
例如,您可能确定可以在 10 天内解决 85% 的关键漏洞。为了达到 90%,需要X数量的资源,以货币投资、时间或人员等形式表示。与这些额外资源进行权衡后,您可能会发现 85% 的风险水平是可接受的。
追求进步,而不是完美
有关风险的决策不应在真空中做出。这就是为什么安全领导者必须与其他业务领导者和董事会进行这些对话的原因。底线:在这个行业中,完美是很难实现的,追求完美可能弊大于利。相反,专注于取得进步。设定现实的目标,采取小步骤来实现目标,并不断提高标准,直到达到风险缓解的最佳水平。
—【 THE END 】—
热门跟贴