从网络攻击中恢复和防御同样重要。首席信息安全官需要全面的恢复计划,以确保弹性并获得高管的支持。
事实上,FTI咨询公司最近的一份报告显示,首席信息安全官与高管之间存在脱节。报告显示,82%的首席信息安全官认为有必要描绘一幅比现实更美好的安全图景。然而,30%的高管认为首席信息安全官不愿意谈论他们组织的漏洞。但一旦发生数据泄露,有一件事永远是明确的:首席信息安全官将承担100%的责任和指责。
即使有充足的资源和技术,黑客攻击还是会发生。为了弥合分歧并获得高管团队的更多支持,首席信息安全官需要关注有时被忽视的安全关键方面:弹性。
根据Veeam公司发布的《2024年数据保护趋势报告》,勒索软件是目前许多行业组织的祸害,在2023年影响了75%的组织。能够快速识别、响应并从攻击中恢复——简而言之,弹性——与保护同样重要。但从历史上看,首席信息安全官大部分时间都花在了预防和检测上。作为几家大公司的首席信息安全官,我很少关注经济复苏。我更专注于遵守法规,预防和检测异常情况。但是,弹性必须放在首位。
以下是首席信息安全官可以采取的五个步骤,以加强安全性并确保恢复,同时使组织和他们的角色都走上恢复的道路。
为恢复做好系统和人员准备
1.加固系统:这是显而易见的,适用于任何场景,无论目标是否具有弹性。最好在风险管理框架内工作,确定最需要保护的系统,因为它们是关键任务和/或最可能受到攻击的系统(这应该使您在当今环境中具有弹性)。在当前的环境下,确定关键系统并了解这些应用程序和基础设施在不可用的情况下如何影响公司是一个起点。一个很好的(但通常被忽视的)例子是公司的身份系统。大多数人关注的是准确的供应/取消供应,但是像Active Directory(AD)或EntraID这样的系统的安全性呢?
2.采取“假设违规”的心态:这对防御安全和恢复至关重要。假设系统已被破坏的心态有助于您从风险的角度关注最重要的系统。它还可以帮助直接投资于改进检测和响应,例如实现连续监视和异常检测。假设违约方法还可以说服组织优先考虑响应计划,因为您假设现在需要它们。此外,根据我的经验,不要犹豫改变你的想法。我发现许多首席信息安全官不愿意回去要求更改预算或预算将用于何处。事情和风险是变化的,为了公司的利益,我们必须有勇气去适应。
3.制定健全的恢复计划:从攻击中恢复的全面策略是必不可少的。从关注最关键的任务系统开始——你的组织离不开这些系统。这不仅包括关键的业务应用程序,还包括关键应用程序所依赖的基础设施软件。您需要知道通过详细的计划可以多快地恢复这些系统(包括基础设施)。同样重要的是,要有一个明确的治理计划,定义谁负责恢复期间的具体步骤。在任何可能的情况下,您还应该离线存储备份,以保护它们免受攻击。这可以帮助加速恢复或允许组织在攻击进行时维持运营。
4.用桌面练习测试进步:有效的桌面练习的关键是准备的程度和模拟的深度。当攻击发生时,重要的是要知道关键应用程序可以多快恢复。不要做假设。测试每一个场景。在我以前的生活中,我们假设某些基础设施部分是可用的,并主要关注关键应用程序。这在真正的中断中不起作用。原以为AD会像其他基础设施一样被恢复,结果却发现恢复需要许多步骤和大量时间。没有测试,很难知道。
5.教育员工:有了适当的恢复计划和桌面练习的结果,你需要在你的团队中增加关于弹性的教育。但不要止步于此——专注于教育整个公司。包括预防、检测、响应和恢复在内的安全文化必须涉及整个组织,从高层管理人员到普通员工。
更具弹性的未来
弹性取决于整个组织对安全性的理解,而这又取决于沟通。采取明确的步骤来确保有效的响应和恢复,同时教育员工,并用他们理解的业务术语向高管解释流程,这有助于为整个组织和首席信息安全官的工作提供弹性。