记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华CISO常犯的五个风险管理错误
新冠疫情导致全球经济衰退,企业裁员、预算紧缩接踵而至,但网络攻击和数字风险也创下历史新高。新冠疫情期间,勒索软件、重大数据泄露和隐私?
高效CISO需要关注的七个安全指标
当企业安全预算的增长面临“不可持续”风险,CISO应该开始重视哪些安全指标?CISO最具挑战性的工作之一就是选择正确的指标来量化企业网络安全体系的能力和价值,这是企业网络安全策略和效率的基础。如果说KPI是一种病,那么,没有什么比选择错误的KPI指标更加可怕的事情了,尤其是企业安全预算开始吃紧的黑天鹅时期。网络安全预算“无厘头”增长已经不可持续零信任需要钱、威胁情报需要钱、漏洞管理需要钱、下一代防火墙需要钱、下一代SOC/SOAR/SIEM需要钱、数据防泄漏需要钱、勒索软件需要钱、等保合规需要钱、安全意识培训需要钱……这些还都是肉眼可见的、优先级很高的“烧钱项”。
网络安全二十年关键词统计,CISO的第二次角色转变
当我们谈论安全,我们在谈论什么?下一个十年,CISO的新角色和定位是什么?安全转型研究基金会(Security Transformation Research Foundation)近日发布的网络安全内容关键词分析突显了网络安全语境在过去20年中的发展轨迹和重大趋势。
由于压力和倦怠,CISO的平均任期仅为26个月
绝大多数受访的CISO高管(88%)表示压力很大,其中三分之一由于压力引发了身体健康问题,一半导致精神健康问题。
整个行业的首席信息安全官(CISO或CSO)都称压力很大。
许多人表示,压力问题已经引发了精神和身体健康问题、人际关系问题、甚至导致药物和酒精的滥用,而在某些情况下最终导致职业倦怠,平均在26个月的任期之后选择新工作。
这些来自Nominet报告中的数字显示了一个日益普遍的问题(压力和倦怠),但这个问题在整个信息安全行业中却一直被忽略,只是随着CISO角色在内部的重要性日益凸显,这个问题才开始被企业重视。
调查结果
现在,许多公司都在采用CISO角色。
网络安全可以从巴菲特身上学到什么?
安全最佳实践与金融最佳实践之间存在相通之处。事实上,安全主管们可以从股神巴菲特保护自身金融投资的方法上学到很多。历史经验告诉我们,人类从来不会汲取历史教训。——巴菲特2017年,公司企业在数据防护技术上的投资总额高达864亿美元,是5年前的2倍。同时,似乎每隔一周就会爆出一起重大安全事件。于是,安全主管们纷纷自问:我的安全投资真的有用吗?面对越来越危险的威胁态势,大多数安全团队在传统安全技术和管理两方面都加倍投入。但这一策略并没有什么效果。因为随着IT基础设施的发展,网络攻击也在不断演进,10年前效果很好的安全工具在今天这个分散而动态的世界里不再有效。
2018:首席安全官的新年规划
大多数人都会有几个新年计划,减肥、锻炼、多陪陪家人等等,从企业战略集团(ESG)的调查研究和网络安全从业者的反馈来看,安全主管必须更贴近公司业务,提升员工生产力,现代化安全技术基础设施。以下5点是企业CISO们的新年规划:1. 让网络安全成为企业文化的一部分ESG/ISSA(信息系统安全协会)研究表明,24%的企业,其业务经理依然不能正确认识/支持网络安全。2018年,CISO必须扭转对网络安全的这种无知和漠然。那么,该怎样扭转呢?齐心协力争取CEO的支持。与所有业务经理建立经常性联系。以业务经理能理解并据此行动的方式,更好地量化风险。在软件开发人员开始写代码之前,参与到业务过程计划中来。
能让CISO丢掉工作的5个“小问题”
大型数据泄露事件,可导致CISO甚至是CEO失去工作。但千里之堤毁于蚁穴,一些不甚明显的纰漏,也能带来严重后果。以下5种情况,CISO需要关注并小心。1. 重点工作只放在防护上正如最近的Equifax和雅虎数据泄露呈现的,数据泄露可为公司企业带来严重的信誉伤害。在这种情况下,如果能证明CISO疏于安装最新补丁,或没在数据中心、远程办公室及网络边界上安装恰当的防火墙,没能更新企业的数据环境以应对最新威胁,那么,CISO被炒基本是注定的。遭遇历史性安全事件,导致重大经济损失和大量负面宣传,这时候炒掉CISO很大程度上是出于公关考虑,公司必须向公众表明他们在采取行动。
CISO应该进入董事会
不要等到发生安全事件的时候,再去邀请CISO加入董事会。最近在伦敦举行的IPSec大会上,F-Secure首席研究官米科·西博能称,公司企业应将首席信息安全官(CISO)与CIO一起,列入董事席位中。西博能提到了信用参考机构Equifax泄露1.45亿美国人记录的黑客事件,他指出,随着软件应用的盛行,CISO如今在几乎每家大型企业的管理和监督中都占据了关键地位。F-Secure首席研究官米科·西博能在董事会的讨论内容中,网络安全工作非常被动,公司董事会根本不考虑这个问题。他们不是计算机专家,也不是网络安全专家,对网络安全提不起兴趣。但每当大事件发生,网络安全就变成了董事会级的问题。
把这三个问题回答好才能算一个合格的CISO
IoT带来的风险,检测潜在恶意数据传输的困难,以及对用户和设备活动可见性的整体缺乏,这些问题,很大程度上是今天复杂庞大的网络基础设施所造成的结果。臃肿的网络基础设施,令监视用户和设备行为中微小恶意转变的工作,变得十分复杂。今天的网络延伸到了云端,有可能接入到工业控制系统中,还可能托管着大量的设备,而且往往遍布全球。高级网络攻击和内部人威胁注定隐身在繁杂噪音中。再加上IoT设备、虚拟机和智慧城市,简直不可能保持领先不断发展的威胁态势一步。因此,CISO及其安全团队面临一个根本性问题。他们有太多盲点,且缺乏区分威胁和合法活动的能力。
一位首席分析师对 Black Hat 2017 的吐槽
黑帽2017是场大秀,展现了健康的网络安全行业风貌。但炒作、误解和专有议程还是太多。作为全程参与了本次黑帽安全大会的分析师,有几条想法想跟大家分享一下:1. 这是第20届黑帽大会,人气爆棚是肯定的。听说参加人数比去年还多,而我知道2016的参会人数就已经破纪录了。不想显得粗俗,但会议间隙真的不得不花10分钟排队才轮得到上个厕所。2. Facebook首席安全官阿列克斯·斯塔莫斯的主题演讲很成功。他的主要观点是:广大网络安全社区(例如网络安全专业人士和网络安全技术产业),必须拓展其在多个领域的角色职能。首先,他谈到要对用户有更多的同理心。其次,要专注在伤害而非技术复杂性上。
赛门铁克发布新CISO调研报告 :云成为网络犯罪的下一个着手点
绝大数的中国CISO 认为,确保云应用符合合规要求是面临的最大工作压力之一 。近日,全球网络安全领导厂商赛门铁克公司发布一项针对企业数据安全现状的全新调研报告。该报告覆盖全球11个市场,共邀请1,100 名首席信息安全官参与调研。报告结果显示,云安全是中国首席信息安全官(CISO)最担忧的挑战。不仅如此,中国首席信息安全官更关注自身企业是否拥有快速应对网络攻击的能力。毫无疑问,云计算拥有诸多优势,吸引越来越多行业的关注,例如卓越的可扩展性、更短的上市时间、更低的成本费用,以及出色的工作效率。但这一领域同样吸引着网络罪犯的目光。这个全新的无边界基础架构在网络攻击者眼中成为一座潜在的金矿。
董事会应当如何加强与CISO的关系?
“安全和风险管理必须成为企业决策的一部分,首席信息安全官(CISO)是倡导这些问题的最佳人选。”———Fast Company报道
过去几年中,有关CISO与董事会之间关系的话题讨论,越来越广泛的进入到大众的视野。在美国企业董事联合会(National Association of Corporate Directors,NACD)出版的2017年网络风险监督手册里,罗列了有关“CISO与董事会”关系的见解,并且为董事会管理层人员提供了最新的网络风险监管建议。
CISO如何回答CEO提出的高难度问题?
CEO完全信任首席安全官(CSO),将保护公司安全,不让公司登上媒体头条出丑的重责大任交托到CISO身上。但随着互联网攻击数量的急速上升,该信任已逐渐被稀释,至少,是越来越受到质疑了。
CEO讨厌被打个措手不及,所以他们总会问些尖锐的问题,来确保自己知晓采取了哪些安全预警措施。
下面就是假想中的CEO或董事会成员与CISO的问答。卢卡斯·穆迪,Palo Alto Networks 副总裁兼CISO,多蒂·辛德林格,Diligent监管技术推动者,给出了有关这些互动的见解。
一名心理学与哲学专业毕业生的首席信息安全官之路
首席信息安全官(CISO)通常具备技术性信息安全或IT风险背景。但条条道路通罗马,想成为CISO也未必一定要是谢耳朵那样的纯技术宅,兴趣、恒心、冲劲、终身学习等等素养也可助推非技术出身的人才成为优秀的CISO。不信可以看看心理学与哲学专业出身的杰夫·福尔兹是如何实现华丽转身的。
杰夫·福尔兹一开始并没有想要从事信息安全职业。他通过抓住一系列机会不断充实自己的技术集,终是走到了现下富达国民金融公司CISO的职位上。他的心理学与哲学学位也比人们想象中对其CISO工作的助力要大。
一名优秀的安全主管需要“见人说人话,见鬼说鬼话”
想要沟通,就需要用听众听得懂的语言说话。
关于CISO角色,如何清晰地向上沟通(对高管和董事会),向下交流(公司安全部门人员),平级互通(其他主要利益相关者),是其长期职业生涯中的一个重要工作。
经常旅游的人就知道,总会有那么一些场景需要用当地语言交流。如果学过多国语言,那在很多国家都可以在较高层次上跟上对话。若丝毫不通当地语言,即便对话题知之甚深,在交流中也只能干瞪眼。
作为安全主管,从上述旅游经验中就可学到重要一课:要用交流对象的语言来说话。风险、报告、度量,是信息安全领域3大主要话题,对不同受众具有完全不同的意义。我们可以从不同受众围绕各个话题所用的语言,来阐述这一点。
F-Secure:终端安全才是新性感
现代公司必须尽快在其终端上挡住多种威胁
——F-Secure首席执行官萨姆·康提能
F-Secure CEO 萨姆·康提能
2017年终将上升的数据泄露和网络攻击,注定要给安全人员带来更多的不眠之夜。面对公司的IT基础设施现状,CSO们在网络与终端这两个安全领域的空白填补上大多十分困惑。萨姆·康提能,F-Secure总裁兼CEO,近期接受媒体采访,回答了关于威胁态势、竞争厂商,以及网络安全的未来等问题:
问题1. 作为F-Secure的首席执行官,什么是您在这个职位上最关注的事?
答:F-Secure不是初创公司,但与赛门铁克这样的行业巨头相比,我们还很弱小。
【RSA 2017专题】成为高水平CISO的5大秘密,将在RSA揭晓
高水平的CISO具备什么样的能力?他们的能力如何评估?IANS Research开发的CISO影响力(CISO Impact)模型,也许可以揭示成功的CISO背后的秘密。
CISO影响力模型简介
CISO影响力模型,是IANS在2014年开发的一个研究框架,用以调查研究高效的信息安全团队。IANS基于CISO影响力模型的上万个数据点,在2015年推出了CISO影响力模型2.0。
这个模型聚焦CISO的两大基本能力:技术能力和组织参与度。
十大特征定义2017年的信息安全行业什么样
安全专家认为,小型IT公司将会外包部分安全业务。
很多报告跟风追捧网络安全技术岗位没有足够适格员工的论调。佛瑞斯特研究公司建议,找寻外部专家和利用自动化来填充1/4的网络安全岗位。然而,企业面对的这一复杂度曲线尚未达到其顶点。安全部门穷于利用手头有限的资源来解决容量和能力问题,安全资源已被太多技术、太多警报和太多待做事项压得毫无喘息之力。总的安全开销将包括安全外包、托管安全服务、安全顾问和调查员,以及安全自动化技术。
明年,厂商和专家们眼中的信息安全职业是什么样的呢?看下去就知道了。
机构或企业中谁是网络安全最有力的推动者?
这取决于公司规模,在驱动安全发展上最具影响力的人可能是高管,也可能是董事会成员,但非高管级管理人员,有时甚至是直接负责IT/安全的人,也会成为强劲的推动力。
无论是谁,每家公司都需要那么一个人,让安全不仅仅是预算清单上一个条目,还是公司整体文化中的一个部分。然而,更多的情况是,公司因两种原因之一而将安全摆上重要位置。重视安全的公司,要么有着相信安全非常重要的进取型领导团队,要么就是经历过重大事件的公司。”
这也正是为什么很多情况下人员没有事件有影响力的原因。虽然大多数管理人员都希望潮流能改变一下,但现状更能说明问题。
CIO与CISO的角色演变
CISO(首席信息安全官)一般是向CIO(首席信息官)述职,但是随着安全变得越来越重要,这种情况正在悄然改变。那么,这将如何改变两者之间的关系?两者如何更好地合作?
多年以来,安全人员一直是由CIO直接管理的。而今,随着众多企业越发重视安全,CISO的地位变得更加重要。因为这种变化,两者的工作关系发生了转变。CIO负责领导、洞察及实现IT项目,以推动业务发展;而CISO则负责提供见解与指导意见,以确保策略安全。
CenturyLink副总裁兼首席安全官David Mahon表示:
“在CIO与CISO的关系当中,后者的角色变得愈发重要。现在,安全是确保公司策略成功执行的基本要求。
进化中的首席安全官:了解业务比精通IT更重要
几年前,在一家跨国消费品企业总部的新任首席技术官(CTO)与IT部门人员的见面会上。这位CTO向那些技术人员坦白:尽管现在负责整个公司的IT平台——从财务到人力资源系统,从产品线硬件到社交媒体工具用到的数字艺术软件,他对技术几乎没有兴趣。事实上,他甚至没有智能手机。
在IT员工们惊讶的吸气声和诧异表情平息下来后,这位新任CTO说了一些令人深刻的话:“我不需要懂技术,那是你们的任务。我的工作就是让董事会支持IT部门,只要你们能向我这个守旧分子解释清楚你们的项目如何有助于公司最终盈利,我就能让董事会拍板支持。”
这还真是一条技术创新的路线。
因为你没加密 所以网络保险不给你理赔
安全专家表示,安全事件频频登上报端引发了网络保险业的蓬勃发展,但这一市场目前十分复杂。首席信息官(CIO)和首席信息安全官(CISO)面对的最悲苦的事,恐怕就是在重大网络安全事件后进行损害评估了。责难成山,却少有人能公平看待。而到向网络保险索赔的时候,概念混淆的存在,还会使这个责任推卸游戏变得更加复杂。典型的企业网络保险争论通常是这样的:CEO或董事长把CISO叫到办公室,告诉他保险公司只愿意支付38%的索赔,因为“你没对受影响的应用实现加密”。CISO说:“首先,我不知道我们有网络保险。其次,受影响的应用是在我们的ATM机上运行的,如果我们对其进行加密,您早就因为客户无法访问而解雇我了。
安全架构是化解CISO五大困扰的关键
在工作过程中,我经常能和来自全球各地的首席信息安全官(chief information security officers ,CISO)交流,他们所在的企业面对着不同的信息安全环境,关心的安全问题也不尽相同。但总体上来说,他们在信息安全防护上的困扰集中在以下四个问题:1. 云应用安全 如今,越来越多的企业都开始将企业应用迁移到云端,并更多的使用包括公共邮箱服务、公有云盘、公共社交软件在内的公有云应用来处理工作。这些云应用往往不在企业安全防护系统的覆盖范围之内,随时都可能因为网络攻击导致机密数据泄露。如何管理这些应用并降低风险已经成为CISO最为关注的问题之一。
CISO小心!汇报不好 可能被炒
董事会成员对通过报告获得的网络安全风险信息更加关注。Bay Dynamics近期发布的一项报告中提到,有说法称,如果网络安全高管无法提供有用、可行的信息,将会丢掉工作。研究指出,89%的董事会受访者表示,他们非常关注网络安全决策;74%的受访者表示,他们每周都会收到网络威胁信息汇报。不过他们同样表示,IT与安全高管应当上交有质量的报告,59%的受访者表示,如果无法提供有用、可行的信息,安全高管将会丢掉他们的工作。调查同样发现,70%的董事会成员表示,他们理解IT和安全高管在演示中展示给他们的信息,但超过半数的受访者认为,展示的数据过于技术化。
戴尔报告揭地下黑客市场:入侵Gmail账户收费130美元
戴尔旗下的网络安全公司SecureWorks发布了年度《地下黑客市场》(Underground Hacker Markets)报告,披露了黑客市场上各种服务和产品的最新价格。
戴尔称,这些信息来自于该公司CISO INTEL团队的两名情报分析师,他们在全球各地散布的诸多地下黑客论坛和市场上跟踪了黑客业务的发展情况。
这份报告主要关注俄罗斯和英语国家的地下黑客市场,覆盖时间从2015年第三季度到2016年第一季度。
这份报告显示,目前黑客对入侵美国各大电子邮件账户的收费标准是129美元,这些电子邮件账户包括Gmail、Hotmail和雅虎等。
5年后的首席信息安全官是什么样子?
自90年代末出现伊始,首席信息安全官(CISO)就是个充满技术性的工作。CISO可能位于首席信息官(CIO)之下,得向CIO报告;可能拥有多种多样的背景,比如系统或网络管理员,甚至安全运营中心(SOC)安全分析员。几乎所有CISO都是男性,要么有计算机科学从业经验,要么是军方高级管理人员。但是,最近几年,随着劳动力多元化和商业利益与安全愈趋紧密的联系,这一关于CISO的传统看法也发生了改变。于是,今时今日,来自各种背景的男女CISO们在CISO的舞台上各展神通,贡献着各自的技术与经验。他们可能不全是注册信息系统安全师(CISSP),但他们知道怎样沟通,怎样管理,怎样为信息安全构建业务用例。
CISO角色和组织准备的发展
如果看看最近业界数据泄露的消息,我们可以得出结论,CISO(首席信息安全官)对组织的成功和维持起着至关重要的作用,在这样的情况下,我们也可以说信息安全组织及其汇报途径同样重要。这可能是为什么最近一谈到CISO,就会讨论CISO和信息安全规程在组织中的位置。然而目前面临的挑战是,关于CISO和他的部门应该向谁报告的问题,一般以“视情况而定”结束。要从讨论上升到实际执行,问题也许并不在CISO应该向谁报告,而在于为什么汇报途径这么重要。 坦率的说,这当中涉及的原因很多,不仅仅是CISO(或信息安全主管)和他们所代表的公司共同承担数据泄露的后果。
公告
❤人人都能成为掌握黑客技术的英雄⛄️