网络安全需要对网络风险有独特的理解

迷失在翻译中:网络风险解释的脱节现实

在古印度的一个经典故事中,几个蒙住眼睛的人接近一头大象,每个人检查不同的部位。有人触摸树干,认为它像一条蛇。另一个摸到了一条腿,认为它是一棵树。还有一个拿着象牙的人,认为它是一支矛。尽管基于有限的互动,每个人的感知都是真实的,但没有人看到大象的完整图片。

这个故事与当今组织中网络安全团队面临的多方面挑战提供了富有启发性的相似之处。正如古老的故事一样,不同的利益相关者——无论是来自领导层(首席执行官、首席财务官、首席信息安全官)、漏洞管理 (VM) 还是治理、风险管理和合规性 (GRC)——通常对“网络风险”的构成持有不同的看法.'

这不仅仅是理论上的相似之处,正如一家大型保险公司的安全负责人最近与我们分享的那样:

“在我们拥有不同网络安全工具的基础设施中,我们看到了分散的风险认知。每个工具都在自己的孤岛中运行,引导不同的职能部门(董事会、SecOps 或 GRC)以独特的方式解释风险。这通常会导致战略不一致,并阻碍采取有凝聚力的方法。”

那么,是什么导致了对网络风险的这种碎片化理解呢?

深入探讨网络风险的支离破碎的观点

在下图中,我们重点关注构成企业网络安全的核心操作。该插图特别关注网络安全风险,展示了这些组件如何主动协同工作以减轻此类风险。

深入探讨网络风险的支离破碎的观点

网络安全功能如何紧密相连

  • IT/资产管理涉及资产库存、控制部署以及资产和产品生命周期管理。
  • VM团队带头进行漏洞识别和管理。
  • GRC负责监督控制/政策评估和政策管理。
  • CRQ(网络风险量化)要么是一个独立的部门,要么外包给咨询公司。

虽然每项行动都有其不可或缺的目的,但组织网络安全态势的强度和有效性取决于每个职能的共生关系。为了更好地理解这一点,让我们深入研究一些场景:

孤立运营:虽然“IT/资产管理”运营下的“资产库存”发挥着基础作用,但其有效性以及库存与实际资产之间的潜在差异直接影响虚拟机中的“漏洞识别”。如果资产盘点不正确,漏洞就可能被忽视。这是一个例子,说明一个孤岛中的流程如何影响另一个孤岛的效率。问责制的挑战又增加了一层复杂性。在这样一个孤立的环境中,确定谁负责降低风险成为一个紧迫的问题。

相互依存的动态:深入研究,GRC 中的“控制/政策评估”如果单独进行,似乎就足够了。但如果它不考虑实时漏洞(来自虚拟机)或最新的资产生命周期(来自 IT/资产管理),控制和策略可能不会像假设的那样强大。GRC、IT/资产管理和 VM 不仅仅是孤立的部门;它们也是独立的部门。他们是一台巨大机器上的齿轮,致力于确保组织安全。

统一愿景: CRQ 充当晴雨表,衡量所有其他流程的效率。然而,每个流程都需要通知 CRQ。例如,如果 IT/资产管理中“控制部署”的输出不准确,则可能会影响量化风险,从而可能低估威胁。此外,CRQ应该指导和通知其他操作;例如,GRC的政策是否足以让企业实现其风险管理目标取决于CRQ对剩余风险的评估,而不考虑现有政策的执行情况。

我们是怎么来到这里的?揭开网络安全观点碎片化的原因

工具划分:不同的团队使用针对其特定需求优化的不同工具。虽然这些工具各自的功能都很高效,但它们通常并不是为了与其他工具无缝共享数据或见解而设计的。

供应商依赖性和技术演进:组织通常严重依赖特定的供应商生态系统,因此很难集成第三方解决方案。随着技术进步的快速发展,现有的工具和策略很快就会过时。

组织层次结构:传统的公司结构中往往会出现筒仓,因为各个部门专注于自己的特定目标。在许多情况下,不同的部门有不同的目标、KPI、技能要求和运营边界。

缺乏统一的策略:安全领导者需要一个清晰、统一的策略,并且应该传达这一愿景,以便每个人都了解每个团队如何依赖其他团队。如果没有一个有针对性的计划来推动团队合作和整合,不同的运营很容易分崩离析。

掌握 IT/资产管理、VM、GRC 和 CRQ 等各个领域至关重要,但只有它们的集成功能才能确保强大的网络安全防御。

当每个人对网络风险的看法不同时:失败

1. 无效的风险优先级划分:由于风险理解不统一,关键威胁可能会得到错误的优先级划分。
示例:IT 团队将大部分预算分配给更新遗留系统,认为它们风险最高。与此同时,VM 团队对勒索软件攻击的增加感到震惊,认为立即投资高级威胁防护才是真正的优先事项。由于缺乏对网络风险的共同、量化的理解,两个部门都根据自己的风险评估行事,导致防御策略不协调

2. 资源和预算浪费:对跨部门风险的误解可能导致资金分配不当,导致效率低下。
示例:一项重大 IT 升级计划占用了大量预算,导致 VM 没有预算来更新其工具堆栈。这两个领域都很重要,但不匹配的分配阻碍了全面的网络安全工作,可能使组织容易受到网络威胁。

3. 事件响应延迟:对风险的零碎认知可能会导致重大事件发生时反应速度变慢,从而导致损害升级。
示例:在高场景风险中,例如,在野外积极利用零日漏洞,VM 团队通常了解立即采取行动的迫切需要。然而,IT 团队通常受到变更管理协议的限制,需要在部署补丁之前延迟兼容性测试。

4. 监管和法律影响:错误判断风险可能导致不遵守行业法规,引发法律纠纷和处罚。
示例:根据 SEC 对网络安全事件重要性的新裁决,一家公司将数据泄露视为非重大事件。后来,它因不披露而面临严厉的监管反弹。

5. 领导层信心受到削弱:如果风险被误解或忽视,可能会导致重大违规行为,从而削弱领导层和董事会的信心。
示例:根据报告的频繁但影响较小的安全事件,领导层认为组织的网络安全态势良好。然而,后来出现了一个未被发现的重大漏洞,动摇了董事会对安全团队领导层能力的信任。

网络安全世界需要一种新的网络风险理解范式:

我们目前对网络风险理解的缺陷不仅源于部门之间的差距,而且还源于部门之间的差距。它们的产生是由于缺乏将一切联系在一起的统一风险框架。

为了解决这个问题,请考虑采用具有以下原则的方法:

实用:
应该高度数据驱动,使用近乎实时的输入进行风险计算。它必须考虑每项资产的 IT、网络安全和业务环境,以确保准确且相对地表示风险。

自动化:
应消除手动数据处理和一次性分析。它必须是自动化的,使用最新的资产级数据计算风险,包括漏洞、威胁、暴露、适用的安全控制和业务关键性。

可检查:
应提供其计算的透明度,提供有关推动更高可能性和影响的因素的见解。

可操作:
应提供可操作的见解并自动化工作流程以降低风险。采取补救措施后,风险计算应立即更新模型。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/635170.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

云平台性能测试之存储性能测试

一、认识存储磁盘IO 磁盘IO测试是指在性能测试过程中,对系统的磁盘读写操作进行测试和评估的过程。磁盘是计算机系统中重要的存储介质,对于许多应用程序来说,磁盘IO的性能影响着系统的整体性能。 在性能测试中,磁盘IO测试通常有…

高级编程,JavaScript笔记-字符串的常用方法

一、操作方法 我们也可将字符串常用的操作方法归纳为增、删、改、查,需要知道字符串的特点是一旦创建了,就不可变 增 这里增的意思并不是说直接增添内容,而是创建字符串的一个副本,再进行操作 除了常用以及${}进行字符串拼接之…

Java中打印图案最常用的25个图案程序

Java是公认的最流行的编程语言,因为它的简单性和多功能性。还可以使用它开发各种应用程序,包括Web、移动和桌面应用程序。此外,Java为开发人员提供了强大的工具来轻松高效地创建复杂的程序。Java最有前途的特性之一是它能够创建可以以特定格式…

《向量数据库指南》——为什么说向量数据库是更适合AI体质的“硬盘”

其“AI原生”的体质,具体表现在几个方面: 1.更高的效率。 AI算法,要从图像、音频和文本等海量的非结构化数据中学习,提取出以向量为表示形式的“特征”,以便模型能够理解和处理。因此,向量数据库比传统基于索引的数据库有明显优势。 2.更低的成本。 大模型要从一种新…

美易平台:美国阿特拉斯航空公司波音747 8型货机因发动机故障安全降落

正文: 据路透社报道,美国阿特拉斯航空公司的一架波音747 8型货机在从迈阿密国际机场起飞后不久,发动机出现故障,但幸运的是飞机成功安全降落。这一事件引起了人们对航空安全的关注。 根据航空信息网站Flightaware的数据显示&…

【stm32】hal库学习笔记-GPIO按键控制LED和蜂鸣器(超详细!)

【stm32】hal库学习笔记-GPIO按键控制LED和蜂鸣器 注:本学习笔记基于stm32f4系列 使用的开发板为正点原子stmf407ZGT6探索者开发板 GPIO引脚使用时,可输入或输出数字信号 例如: 检测按键输入信号(Read_Pin)输出信号(W…

敏捷开发之开发流程

敏捷开发流程 一、迭代周期 我们团队的迭代周期一般是2周,如果研发评估时间过长的话也会将周期延长至一个月,但是大多数我们是2周的迭代周期。 这里说的2周是研发开始coding、提测、测试、上线,也就是说2周以后要上线相应的能力。并不包括…

flink operator 拉取阿里云私有镜像(其他私有类似)

创建 k8s secret kubectl --namespace flink create secret docker-registry aliyun-docker-registry --docker-serverregistry.cn-shenzhen.aliyuncs.com --docker-usernameops_acr1060896234 --docker-passwordpasswd --docker-emailDOCKER_EMAIL注意命名空间指定你使用的 我…

从0开始python学习-50.pytest之多接口用例封装

1. yaml用例设计--一个yaml中多个用例,且互相存在关联关系 - # 第一个用例request:method: posturl: http://192.168.0.1:8010/apijson:accounts: adminpwd: 123type: usernameheaders:Content-Type: application/json- # 第二个用例request:method: posturl: http:…

Linux:多线程

目录 1.线程的概念 1.1线程的理解 1.2进程的理解 1.3线程如何看待进程内部的资源? 1.4进程 VS 线程 2.线程的控制 2.1线程的创建 2.2线程的等待 2.3线程的终止 2.4线程ID 2.5线程的分离 3.线程的互斥与同步 3.1相关概念 3.2互斥锁 3.2.1概念理解 3.2.2操作理解…

分类预测 | Matlab实现WOA(海象)-XGboost分类【24年新算法】基于海象优化算法(WOA)优化XGBoost的数据分类预测

分类预测 | Matlab实现WOA(海象)-XGboost分类【24年新算法】基于海象优化算法(WOA)优化XGBoost的数据分类预测 目录 分类预测 | Matlab实现WOA(海象)-XGboost分类【24年新算法】基于海象优化算法(WOA)优化XGBoost的数据分类预测分类效果基本描述程序设计参考资料 分类效果 基本…

js控制浏览器前进、后退、页面跳转

在JavaScript中,你可以使用 window 对象的 history 对象来控制浏览器的历史记录。以下是一些常用的方法: 前进和后退: window.history.forward(): 前进到历史记录中的下一个页面。window.history.back(): 返回历史记录中的上一个页面。window…

模型的召回率(Recall)

召回率(Recall),也称为灵敏度(Sensitivity)或真正例率(True Positive Rate),是用于评估二分类模型性能的指标之一。召回率衡量了模型正确识别正例的能力,即在所有实际正例…

ctfshow php特性(web89-web101)

目录 web89 web90 web91 web92 web93 web94 web95 web96 web97 web98 web99 web100 web101 php特性(php基础知识) web89 <?php include("flag.php"); highlight_file(_FILE_);if(isset($_GET[num])){$num$_GET[num];if(preg_match("/[0-9]/&…

Debezium发布历史77

原文地址&#xff1a; https://debezium.io/blog/2019/12/13/externalized-secrets/ 欢迎关注留言&#xff0c;我是收集整理小能手&#xff0c;工具翻译&#xff0c;仅供参考&#xff0c;笔芯笔芯. 使用 Debezium 连接器实现秘密外部化 十二月 13, 2019 作者&#xff1a; Jir…

Docker项目部署()

1.创建文件夹tools mkdir tools 配置阿里云 Docker Yum 源 : yum install - y yum - utils device - mapper - persistent - data lvm2 yum - config - manager -- add - repo http://mirrors.aliyun.com/docker- ce/linux/centos/docker - ce.repo 更新 yum 缓存 yum makec…

【机器学习理论】2023 Spring Homework 1

Please login to Gradescope via your CUHK account and use the entry code: 6ZWGYD Problem 1 (Gaussian Distribution as an Exponential Family): We showed Gaussian distribution N ( μ , σ 2 ) \mathcal{N}\left(\mu, \sigma^{2}\right) N

军事课堂MR情景仿真实训教学

一、课堂应用场景 1、战术模拟&#xff1a;MR系统可以模拟各种战场环境&#xff0c;让学生在实际操作中了解和掌握各种战术技巧。通过模拟实战场景&#xff0c;学生可以在短时间内获得丰富的实战经验&#xff0c;提高他们的应变能力和团队协作能力。 2、武器操作训练&#xf…

Kafka-消费者-KafkaConsumer分析-PartitionAssignor

Leader消费者在收到JoinGroupResponse后&#xff0c;会按照其中指定的分区分配策略进行分区分配&#xff0c;每个分区分配策略就是一个PartitionAssignor接口的实现。图是PartitionAssignor的继承结构及其中的组件。 PartitionAssignor接口中定义了Assignment和Subscription两个…

三国游戏(寒假每日一题+贪心、枚举)

题目 小蓝正在玩一款游戏。 游戏中魏蜀吴三个国家各自拥有一定数量的士兵 X,Y,Z&#xff08;一开始可以认为都为 0&#xff09;。 游戏有 n 个可能会发生的事件&#xff0c;每个事件之间相互独立且最多只会发生一次&#xff0c;当第 i个事件发生时会分别让 X,Y,Z 增加 Ai,Bi…