久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

隨著加密流量的監(jiān)控和SAP軟件及其他遺留應用程序的升級變得越來越復雜，技術盲點會給CISO及其團隊帶來極大的信息安全挑戰(zhàn)。但是，還有其他一些網絡安全盲點涉及一些形態(tài)多樣的非技術概念，如企業(yè)風險。幾位網絡安全專家和CISO有針對性地探討了一些他們所發(fā)現的隱藏風險和漏洞，以及一些針對于企業(yè)安全的持續(xù)且日益嚴峻的威脅。

網絡安全盲點：漏洞與風險

公司應該如何處理漏洞呢?根據醫(yī)療公司Baxter International的醫(yī)療設備網絡安全技術主管Pavel Slavin的觀點，具體情況取決于公司所在的特定垂直行業(yè)。他說：“我們不能只是在周二下載和安裝微軟補丁——醫(yī)療設備必須在驗證補丁真正有效之后才能安裝補丁，否則它有可能會傷害病人的生命。我們需要能夠調整我們響應可能造漏洞的方式，否則可能造成的危害大于好處。”

安全分析公司Niara的營銷副總裁John Dasher補充說：“檢測與保護技術往往作用范圍有限。我不建議中斷公司已經在使用的技術，但是要明確一點，在確認已知攻擊和理解攻擊方式之前，冒然引入其他技術很可能造成其中某個部分出現故障。新型未知攻擊通?？梢暂p松繞過保護技術。”

UC圣塔巴巴拉分校教授及Lastline CTO Giovanni Vigna在RSA Conference 2016召開后的一次訪問中警告說：“惡意軟件出現，然后偷偷傳播，讓CISO半夜不得安寧。惡意軟件是指：各種有惡意企圖的東西，而且并非所有方法可以解決所有類型的惡意軟件。而且，許多攻擊都帶有多種成分，以繞過檢測，如將RTF隱藏在DOC中。”

此外，還有一些網絡安全盲點隱藏在風險之中，因此要比一些技術漏洞更難量化和檢測。例如，第三方商業(yè)伙伴獲得了IT環(huán)境的哪些訪問權限?

在一次RSA小組會議上探討CISO及其所真實經驗教訓時，密歇根州Blue Cross Blue Shield的副總裁和CISO Tom Baltis建議說：“要引入基于風險的項目，同時還要小心對待使用自動化的方式。你需要工具來建立與第三方的互信關系——商業(yè)關系在發(fā)展進步，信任關系也要隨之進步。”

Virginia Tech的CISO Randy Marchany給出了一些關于如何辨別和處理新軟件潛在風險的建議。他說：“我們有一個采購調查表，如果一個部門想要采購軟件，那么供應商必須先填寫這個調查表。如果某一個軟件是業(yè)務過程負責人要求使用的，那么我不會對他們說不能使用這個軟件，但是我們需要引入額外的控制措施來堵住這個漏洞。”

此外，Marchany指出，CISO一定要關注于最重要的部分——數據。例如，Marchany向CIO報告，后者再向總裁報告，并且每年向董事會匯報3~4次整體狀態(tài);但是顯然這仍然不夠。他指出，無論推薦的頻率有多高，“董事會仍然希望了解我們成功阻擋了哪些攻擊和最近漏過哪些攻擊。我可能會告訴他們，確實有一些攻擊進來了，但是它們并沒有偷到仍然數據。在報告成功的同時也一定要報告問題。”

在RSA大會關于使用國家機構標準與技術(National Institute of Standards and Technology, NIST)的隱私風險管理框架(Privacy Risk Management Framework)的小組會議上，美國衛(wèi)生與人類服務部的隱私事件管理及響應主管Logan O'Shaughnessy指出，有些組織“提出這樣的問題……需要收集這些數據以滿足業(yè)務需求嗎?假設實際上并不需要存儲用戶信息。如果收集了這些數據，即使經過批準，只要你存儲了數據，就有隱私風險。”

O'Shaughnessy補充說：“我們的意外響應團隊目前使用一個集中庫來管理安全和隱私事件，以幫助處理這些事件。然而，處理完一個安全事件，并不意味著與之相關的隱私事件也處理完畢——它還可能要求額外向民事權利局(Office for Civil Rights)報告。NIST是促成兩個團隊展開討論的中間跳板，從而將安全和隱私流程連接在一起。”

Dasher指出，始終將隱私風險放在第一位，有利于幫助組織處理一個當今世界面臨的更大網絡安全盲點。Dasher說：“持續(xù)更新用戶、主機、IP、應用程序等相關風險配置，可以使安全團隊能夠對工作進行優(yōu)先級劃分，然后在問題完全暴發(fā)之前發(fā)現問題。最重要的是要有一些能夠可靠提供全面可見性的系統(tǒng)。”

Vigna指出，一些特殊部門和業(yè)務線特別容易出現數據漏洞，因此需要通過風險評估來發(fā)現和解決這些問題。

他說：“工資、稅務填報人和法律部門可能成為公司的薄弱環(huán)節(jié)。這些服務通常都是外包的，保護措施不強，而且有可能給攻擊者提供非常完整的個人信息。”

小結

對于現在想知道自己工作還缺少什么的CISO而言，專家建議要關注這樣一個現實：CEO和主管團隊希望了解公司當前狀態(tài)與主流標準(如NIST或ISO)的差距，以及公司的安全成熟度在什么水平上。此外，他們還希望知道CISO已經制定了應對任何未知安全問題的計劃。

當公司開始辨別和處理這個問題時，大多數時候他們都會發(fā)現除了核心安全日志，其他方面還缺少全面的可見性。Dasher說：“掌握覆蓋所有相關安全數據源的聯動狀態(tài)，再加上一層正確的行為分析技術，才能在危急關頭絕處逢生。”

由于現實環(huán)境就得越來越復雜、分散和移動化，因此CISO不可能只通過內部手段同來管理所有網絡安全問題。企業(yè)很可能需要將一部分工作外包給一個專業(yè)信息安全公司。

云安全供應商Sumo Logic的安全與規(guī)范產品管理主管George Gerchow說：“不要犧牲安全性來謀求方便性。”

相反，CISO及其信息安全團隊應該關于利用這些技巧和尋求外部支持手段來消除網絡安全盲點。