安全領(lǐng)導(dǎo)者應(yīng)采用以威脅為導(dǎo)向的方法來(lái)填補(bǔ)安全漏洞，并賦予董事會(huì)做出明智的、以數(shù)據(jù)為依據(jù)的決策的權(quán)力。

圖源：Pattara via Alamy Stock Photo

我記得自己剛擔(dān)任首席信息安全官時(shí)的早期經(jīng)歷。我們常常被安排在信息技術(shù)部門的一個(gè)昏暗角落，說(shuō)著其他高管們只是出于禮貌才勉強(qiáng)忍受的端口、補(bǔ)丁和協(xié)議等術(shù)語(yǔ)。

直到我學(xué)會(huì)了將安全漏洞轉(zhuǎn)化為業(yè)務(wù)風(fēng)險(xiǎn)，對(duì)話內(nèi)容以及我的職業(yè)生涯才發(fā)生了根本性的變化。如今，作為首席執(zhí)行官，我從另一個(gè)角度看待這個(gè)問(wèn)題：安全不僅僅是一種防御機(jī)制，它還可以作為一種資源管理的戰(zhàn)略項(xiàng)目。

現(xiàn)代首席信息安全官面臨著一個(gè)根本性的困境：工具箱里堆滿了各種工具，預(yù)算卻有限，而董事會(huì)卻要求證明“我們受到保護(hù)”。傳統(tǒng)的做法，比如購(gòu)買工具以滿足合規(guī)性要求，或者對(duì)最新供應(yīng)商的炒作做出反應(yīng)，都已經(jīng)失敗了。這使得安全工作陷入了一種混亂的猜測(cè)狀態(tài)，其中的重復(fù)冗余往往掩蓋了巨大的漏洞。

最有效的解決方案是采用以威脅為導(dǎo)向的防御戰(zhàn)略。這種方法要求將每一筆安全資金、每一個(gè)控制措施和每一種工具都精心地與最有可能給組織帶來(lái)經(jīng)濟(jì)損失的具體現(xiàn)實(shí)攻擊行為相對(duì)應(yīng)。它還重新定義了首席信息安全官的角色，從技術(shù)守護(hù)者轉(zhuǎn)變?yōu)閼?zhàn)略風(fēng)險(xiǎn)管理合作伙伴。讓我們先來(lái)看看為什么以合規(guī)為基礎(chǔ)的技術(shù)守護(hù)者——首席信息安全官的方法會(huì)不足。

一、優(yōu)先考慮正確的威脅：從對(duì)手的視角來(lái)看

以合規(guī)為基礎(chǔ)的模式的第一個(gè)失敗之處在于其無(wú)法進(jìn)行優(yōu)先級(jí)排序，并非所有漏洞都是平等的，也并非所有威脅都與企業(yè)相關(guān)。對(duì)于一家公司來(lái)說(shuō)，至關(guān)重要的是要評(píng)估并證明其在緩解最嚴(yán)重的威脅上花費(fèi)資金，而不是在那些微不足道的風(fēng)險(xiǎn)上。這種做法被稱為風(fēng)險(xiǎn)優(yōu)先級(jí)排序，確保首先解決最具影響力的威脅，以保護(hù)財(cái)務(wù)績(jī)效、聲譽(yù)和長(zhǎng)期可行性。將有限的資源浪費(fèi)在微不足道的風(fēng)險(xiǎn)上，會(huì)使組織面臨災(zāi)難性的、但可預(yù)防的損害。

以威脅為導(dǎo)向的策略通過(guò)迫使組織采取以下步驟來(lái)糾正這一點(diǎn)：

1.識(shí)別對(duì)手。利用威脅情報(bào)來(lái)識(shí)別針對(duì)你的行業(yè)、地理位置和技術(shù)堆棧的具體威脅行為者。

2.將戰(zhàn)術(shù)映射到資產(chǎn)。利用像MITRE ATT&CK這樣的框架，將對(duì)手團(tuán)體已知的戰(zhàn)術(shù)、TTP（技術(shù)與程序）直接映射到你的組織的“核心資產(chǎn)”。

3.量化影響。根據(jù)潛在損失預(yù)期對(duì)TTP（技術(shù)與程序）的技術(shù)嚴(yán)重性評(píng)分進(jìn)行排名。

將安全工具與風(fēng)險(xiǎn)相映射是一個(gè)戰(zhàn)略過(guò)程，它將每一個(gè)安全控制措施（無(wú)論是工具還是能力）與它旨在緩解的具體業(yè)務(wù)風(fēng)險(xiǎn)相匹配。它將安全團(tuán)隊(duì)的注意力從跟蹤工具部署（一個(gè)技術(shù)指標(biāo)）轉(zhuǎn)移到衡量財(cái)務(wù)或運(yùn)營(yíng)風(fēng)險(xiǎn)的降低（一個(gè)業(yè)務(wù)指標(biāo)）上。

二、識(shí)別覆蓋漏洞和工具冗余

一旦組織的首要威脅按照其財(cái)務(wù)風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序，以威脅為導(dǎo)向的防御戰(zhàn)略就提供了一種數(shù)據(jù)驅(qū)動(dòng)的方法來(lái)評(píng)估防御覆蓋范圍并揭露過(guò)度支出。這種方法使組織能夠超越簡(jiǎn)單地聚合安全警報(bào)，系統(tǒng)地評(píng)估現(xiàn)有工具和配置在抵御最有可能針對(duì)組織的特定威脅方面的有效性。

覆蓋漏洞是指組織當(dāng)前的防御措施不足以緩解或檢測(cè)到優(yōu)先級(jí)最高的對(duì)手活動(dòng)的領(lǐng)域。持續(xù)驗(yàn)證——通過(guò)反復(fù)測(cè)試安全控制措施（通常通過(guò)自動(dòng)化模擬或評(píng)估）來(lái)持續(xù)驗(yàn)證它們是否按預(yù)期工作——是保持領(lǐng)先于不斷變化的威脅和防御格局的必要條件。評(píng)估覆蓋漏洞使組織能夠用可量化的數(shù)據(jù)取代對(duì)工具有效性的假設(shè)，然后可以利用這些數(shù)據(jù)來(lái)優(yōu)化和加強(qiáng)薄弱領(lǐng)域的防御。

三、指導(dǎo)更好的業(yè)務(wù)決策制定

最成功的安全領(lǐng)導(dǎo)者不僅僅填補(bǔ)漏洞，他們通過(guò)精心將每一個(gè)安全優(yōu)先事項(xiàng)、每一筆支出和每一個(gè)購(gòu)買的工具與組織最大的財(cái)務(wù)和運(yùn)營(yíng)風(fēng)險(xiǎn)相匹配來(lái)指導(dǎo)業(yè)務(wù)決策。以威脅為導(dǎo)向的防御戰(zhàn)略最終使安全領(lǐng)導(dǎo)者能夠?qū)⒓夹g(shù)成果轉(zhuǎn)化為與董事會(huì)和高層領(lǐng)導(dǎo)產(chǎn)生共鳴的業(yè)務(wù)行動(dòng)——換句話說(shuō)，就是將安全從一個(gè)技術(shù)問(wèn)題重新定義為一個(gè)戰(zhàn)略業(yè)務(wù)推動(dòng)器。關(guān)注財(cái)務(wù)影響、運(yùn)營(yíng)韌性以及競(jìng)爭(zhēng)優(yōu)勢(shì)，而不是技術(shù)術(shù)語(yǔ)，有助于高管們?cè)跇I(yè)務(wù)背景下理解安全問(wèn)題。這使他們能夠做出明智的決策，并將網(wǎng)絡(luò)安全與更廣泛的公司目標(biāo)對(duì)齊。

組織外的人員很少需要知道你是如何進(jìn)行安全工作的，但他們確實(shí)需要了解風(fēng)險(xiǎn)的狀況以及管理風(fēng)險(xiǎn)所需的資源。首席信息安全官不應(yīng)報(bào)告技術(shù)指標(biāo)，例如他們的團(tuán)隊(duì)收到的警報(bào)平均數(shù)量或補(bǔ)丁更新頻率，而應(yīng)通過(guò)量化業(yè)務(wù)關(guān)鍵故障場(chǎng)景的可能性來(lái)呈現(xiàn)風(fēng)險(xiǎn)差距。例如，確定由于特定活動(dòng)或漏洞導(dǎo)致收入中斷的可能性為40%，然后為緩解該風(fēng)險(xiǎn)的戰(zhàn)略投資進(jìn)行論證。

這種從安全資金到韌性資金的轉(zhuǎn)變使董事會(huì)能夠就風(fēng)險(xiǎn)承受能力和戰(zhàn)略投資做出明智的、數(shù)據(jù)驅(qū)動(dòng)的決策。

作者：Tony Velleca（托尼·維勒卡）

譯者：木青

睿觀：

傳統(tǒng)的、以合規(guī)為基礎(chǔ)的安全模式因無(wú)法有效排序風(fēng)險(xiǎn)而失效。成功的CISO（首席信息安全官）必須轉(zhuǎn)向“以威脅為導(dǎo)向的防御戰(zhàn)略”，其核心是：識(shí)別真實(shí)對(duì)手，利用MITRE ATT&CK框架將其戰(zhàn)術(shù)映射到核心資產(chǎn)，并量化其潛在業(yè)務(wù)影響。通過(guò)這種方式，CISO能將對(duì)話從技術(shù)指標(biāo)，轉(zhuǎn)變?yōu)槎聲?huì)能理解的、以數(shù)據(jù)驅(qū)動(dòng)的業(yè)務(wù)風(fēng)險(xiǎn)，從而將自己從“技術(shù)守護(hù)者”重塑為“戰(zhàn)略風(fēng)險(xiǎn)伙伴”。

金句

卓越的CISO（首席信息安全官）從不向董事會(huì)匯報(bào)“我們部署了多少防火墻”，而是匯報(bào)“我們花了多少錢，消除了多大概率的、價(jià)值千萬(wàn)的業(yè)務(wù)中斷風(fēng)險(xiǎn)”。