6月5日,2023年度Gartner安全与风险管理峰会在美国马里兰州正式开幕。在峰会开幕演讲中,Gartner副总裁、高级分析师Leigh McMullen表示:如今许多企业组织的CISO和安全团队感到精疲力竭,他们已经为企业安全建设工作付出了最大的努力,却没有获得符合预期的回报,其原因在于有四个常见的错误认知阻碍了企业充分发挥网络安全的价值,并影响了安全计划的实施与运营效果。企业组织应恪守“最低有效”(Minimum Effective)的建设理念,才能让网络安全建设与投入为企业带来更积极的影响。

误区1越多的数据意味着更好的保护

在大数据广泛应用的时代,利用大数据分析技术是快速提升网络安全防护能力的一种有效途径。比如说,在分析高级持续性威胁(APT)时,通过大数据分析可以大幅提升APT威胁的发现能力,快速有效发现安全异常情况,已经成为一项不可或缺的手段。

然而不幸的是,数据越多,其中的垃圾数据也越多,如果不能有效地清理和编译数据,对大数据的使用将会失去意义。Gartner的研究发现,只有三分之一的企业组织表示,他们成功地通过量化分析网络风险推动了网络安全的决策和行动能力。

McMullen认为,明智的CISO不应该一味追求更多的数据和有效性未知的安全分析报告,而是要恪守最低有效洞察力(Minimum Effective Insight)原则,根据企业实际拥有的资源和能力,合理决策对数据的采集和使用。在开展安全数据分析时,CISO应该使用以结果为导向的度量指标(ODM)方法,将安全和风险操作度量指标与企业最关键的安全防护工作目标联系起来。

误区2越多的技术工具意味着更好的保护

根据Gartner的研究预测,2023年全球企业组织在网络安全技术、产品及服务方面的支出将超过1900亿美元,同比增长12.7%。然而,即使企业在网络安全工具和技术上持续加大投入,各种网络安全事件仍然层出不穷,安全威胁发展态势仍然严峻。

McMullen表示,企业的网络安全部门往往会陷入一味购买设备的窘境,以为更先进的技术产品就能够为自己带来更好的安全性,结果不仅增加了企业安全运营工作的压力,甚至还带来了更大的威胁暴露面。为了真正提升网络安全运营效率,企业组织应倡导最低有效工具集(Minimum Effective Toolset),即只应用实现安全观察、防御和响应所必需的最少技术。这将使网络安全部门能够真正掌控自己的网络安全能力体系,降低安全运营的复杂性,避免不用安全工具间的缺乏互操作性。

对于现代企业组织而言,需要从运营成本的视角,评估网络专业人员管理维护网络安全工具的成本与回报,舍弃那些回报率低下的落后安全工具。与此同时,企业还应该从整体网络安全架构的视角,考量各种安全工具是否具有提升企业安全防护水平的能力,以及是否具备应用的简单性、可组合性和互操作性。

误区3越完善的安全控制意味着更好的保护

实施完善的网络安全控制措施是全球网络安全领域重要的应用实践标准之一,旨在通过制度化的方式降低企业网络安全风险,确保企业数据和关键业务系统免受黑客、网络攻击和其他在线威胁的侵害。然而,如果这些控制措施不能被组织的员工广泛认同和严格遵守,一味添加更多的安全控制措施只会适得其反。

Gartner最近的一项调查发现,69%的受访者在过去12个月里有违反过企业的网络安全制度;74%的受访者表示,一些安全控制措施降低了其日常工作效率,规避这些网络安全制度有助于他们或团队更好完成业务发展目标。

McMullen认为,企业的安全管理者要尽量减小安全运营工作的阻力,充分了解员工存在不安全行为的原因,并致力于提高安全管控措施的实际利用率。在很多时候,被员工们故意规避的控制措施会比没有控制措施更糟糕。采用最低有效摩擦(Minimum Effective Friction)可以让网络安全部门准确评估安全控制措施的应用效果,要优先考虑用户体验,而不仅仅是技术的功能。据McMullen预测,50%的大型企业组织会在2027年前开始采用以人为本的安全控制实践,尽量减少网络安全建设带来的业务影响和摩擦,并尽量提高控制措施的采用率。

误区4越多的专业安全人员意味着更好的保护

网络安全已经成为困扰企业数字化转型的最大瓶颈之一,很多企业将这一情况归咎于只有网络安全专业人员才能从事专业网络工作,而目前人才市场上的网络安全专业人员供不应求,因此企业难以构建满足发展需求的安全运营团队。

McMullen认为,只有向公司所有员工普及网络安全专业知识,而不是试图通过招聘填补专业人才缺口,这才是解决以上发展问题的根本之道。随着企业数字化转型的深入发展,组织CISO的角色定位已经转变成应对数字化发展风险的决策参与者和推动者。因此,CISO不能只从技术和自动化的角度思考问题,而应与各部门员工广泛接触交流,以影响决策制定,并确保每个员工都能够掌握适当的信息,在保障安全的前提下开展数字化工作,从而减轻安全团队的工作负担。