毫无疑问,今天的CISOs正忙于为确保企业中最有价值的资产做出最知情、最有效和最经济的决策。在过去,做出这些决定要容易一些,因为投资于预防可以提供体面的保护。
现在不是这样了,这就是为什么Ira Winkler是Secure Mentem的总裁,也是《安全门》的作者先进的持久安全他说,试图防范每一种威胁是没有成本效益的。
在预防性保护的世界里,那些成年的捍卫者的心态的转变是缓慢的。结果,一些安全程序失败了,“不是因为坏人进来了,而是因为他们出去了,”温克勒说。
为了建立一个强大的安全程序,CISOs需要在预防、检测和响应方面进行适当的平衡,这意味着他们可能希望留下一些可以管理的漏洞,以便更专注于检测。
杰夫威廉斯,CTO和对比度安全联合创始人说,“温克勒正在努力使保护之间的区别,检测和反应。当然,一个负责任的安全战略有三个。”
接下来的问题是优先排序。威廉姆斯说,“优先检测和反应超过了保护,这是给那些被安全挑战压服的CISOs提供糖果。”
If one were to use the analogy of home security, not trying to prevent a vulnerability, said Williams, "Is like saying, don’t worry about locking your doors and windows. Just wait for the alarm to go off and the police will protect you."
还有的实际上不触发警报的攻击的可能性。“警察并不总是有效的回应,这些损害可能已经被警察赶到的时候了,”威廉姆斯说。
检测和反应都没有银弹,事实上,威廉姆斯说,“刚才看电影‘摘自’如果你认为检测和反应总是最好的策略。”
但温克勒是不是暗示人们留下打开前门。这等于是采取完全没有安全措施,这是任何一个想提醒。
现实情况是,即使每个人都锁和螺栓前门,有些人喜欢睡觉与他们的窗户打开。“难道说,我们把棒上的所有窗口?”温克勒说。
总有一些将是漏洞。这是几乎不可能防止对每一个威胁。
相反,Bay Dynamics的解决方案专家迈克•唐纳森表示:“不应该平等对待所有的脆弱性。未解锁的窗口是一个安全漏洞。但是,如果那扇窗户是在高层建筑的第50层,那么窃贼就不太可能爬上楼顶入室盗窃。”
他们需要根据风险的优先次序。出于同样的解锁窗口,唐纳森说,“如果你把希望钻石在那个房间里,风险升高,因为钻石的高值可能诱使窃贼企图的威胁,虽然是一个低概率的,但威胁仍然”。
安全团队需要权衡,以确定他们的漏洞应立即修复的风险和概率,但是企业必须了解自己的风险和预防,检测和响应的平衡建立自己的安全方案与那些风险对齐。
“他们需要做风险评估,查找存在的漏洞,然后就变成减轻该漏洞对从漏洞的潜在危害的问题,”温克勒说。
然而,Williams说,“漏洞和攻击遵循完全相同的流程,而检测攻击基本上遵循与检测漏洞本身相同的逻辑。”将这种活动留在软件开发生命周期中是处理安全性的最经济有效的方法。”
当安全团队专注于他们的威胁模型,并了解他们最关键的暴露,“他们可以确保他们有一个适当的强有力的防御,然后监控他们。”是的,确保你也监视攻击,只是为了确定。”威廉姆斯说道。
由于安全从业者每天都会受到成千上万个漏洞的轰炸,唐纳森说,在关注攻击时,“他们应该关注那些对组织构成最大风险的漏洞,那些一旦被利用就会对公司造成最大损害的漏洞。”
他们需要考虑到包含该漏洞的资产的价值,并确定是否有可能利用该漏洞的相关威胁,并了解对财务的影响该漏洞被利用的组织将面临唐纳森说。
在一天结束的时候,虽然,CISO有没有做出经济决策,说马特·罗杰斯,在E8保障安全策略的头,和新的首席信息安全官的职责是了解如何在人员,流程和技术进行投资。
罗杰斯说:“现在我们正进入一个CISO有不同于过去的选择的时代。”“过去,确保网络安全的最快方法是投资于网络保护。平衡投资是现在CISO的关键作用"
幸运的是,作为CISO的角色发生了变化,也出现了变化,技术,帮助您实现这一平衡的行为更易于管理。
Rodgers说,因为人才稀缺,而且“他们需要的技能非常先进,这种稀缺的问题使CISO处于困境。”向大数据技术的转变人工智能与机器学习意味着该CISO可以在技术精益解决人民的问题。
技术允许CISO,使他们在检测更好的资源很少,罗杰斯说,因为“人类不需要知道什么是正常的样子了。本机可以告诉他们。”
而不是花时间去了解他们的环境的样子,这些新技术让这个今天的CISO是“带有这一信息。他们没有花时间来建立的情况下,他们可以用智能来做出这样的决定他们是否对那些即将在事件作出反应,”罗杰斯说。
Winkler的“保护终将失败”的论断很难反驳。它不应该轻易失败,但当你的关键资产面临风险时,你不能因为不保护而获得通行证。”
坏人还会继续进来,Winkler说,“对大多数企业来说,问题是一旦他们进入公司,他们就会觉得很舒服,因为统计数据显示,滞后时间超过100天。”
检测工具不仅减少滞后时间,但他们也告知正确的响应。“每个组织都应该有明确的事件响应计划。它不应该仅仅是因为他们认为这可能是在这个时候做正确的事情,”温克勒说。
工具,如多因素认证,周界防御,反恶意软件,和安全意识,是Winkler所说的一个好的保护程序的基本要素。“他们需要在侦查方面保持平衡。我宁愿检测和反应到位,而不是在这些主食之外进行预防。”
这个故事,“预防还是检测?”《如何应对漏洞》最初由方案 。