Identifying Hazards to Better Prepare for Cyberattacks

识别风险,为网络攻击做好充分准备

作者 Bob Violino

首席信息官即使未采用也应努力探寻用途广泛的防御策略,专注于可能导致代价高昂的安全漏洞的内部风险的更高效安全方法。

代价有多大?卡巴斯基实验室 2017 年的一份报告显示分布式拒绝服务 (DDoS) 事件会使金融机构产生平均 1200 万美元的修复费用,而其他领域的公司在这方面的成本为 952,000 美元。

Identifying Hazards to Better
用途广泛的方法可通过迫使企业考虑和分析现有危险来防御出乎意料的威胁。

如全球云交付平台提供商 Akamai Technologies 等一些公司已将用途广泛的防御作为其网络安全计划中的关键组成部分。

传统上,网络防御基于法规合规性或行业标准规定的要求。因此,防御可能与公司的实际安全威胁和漏洞没有太大关系。

“通过这种方法,您不会预见和预测安全形势的变化,”Akamai 首席安全官 Andy Ellis 解释道。

重要的是,传统策略可能无法抵御最新的恶意软件或 DDoS 威胁。如果未做好防御准备,则可能会使企业陷入瘫痪。

扩大防御

用途广泛的方法可通过迫使企业考虑和分析现有危险来防御出乎意料的威胁。这些危险通常基于各种因素,包括业务类型、在线运营方式、所处位置、向员工、业务合作伙伴和客户提供的访问权限。

凭借用途广泛的防御,在网络上推出新应用程序之前,公司能够提前识别潜在危险。

“一个危险例子是在线应用程序数据库,”Ellis 说道。“您必须退后一步,怀有疑问,‘这样做会给我们造成哪些不可接受的损失?’”

例如,如果应用程序存在泄露包含客户个人信息的数据库的风险,则被视为不可接受的损失,项目无法向前推进,除非先缓解风险。

以这种方式处理安全问题还可以使安全高管们更易于让企业负责人相信安全性为何如此重要。例如,首席信息安全官应该详细说明泄露造成的后果,而不是告诉业务线高管们一套全新的防御措施。

“在 Web 应用程序防火墙上销售业务是件很难的事情,但让他们相信保护他们不想泄露的数据至关重要这一事实比较容易,”Ellis 说道。“这种方法可让您将想获得的工具与您试图缓解的危险紧密相关。关键是专注于危险。”

安全高管们和 CIO 的职责是确保涵盖所有主要危险。

制作完整清单,“您就很可能能够抵御未知的敌手威胁,”Ellis 说道。

资源的性质及其所处位置使组织不易受攻击,无论是何种威胁,无论是 SQL 注入还是其他未知攻击类型。

建立关系

用途广泛的防御策略有助于获得用于安全计划的资金。但资金问题并不是挑战。

“获得业务合作伙伴的认可才是面临的难题,”Ellis 说道。

需要对业务线合作伙伴就业务风险方面开展教育。“需要您与业务合作伙伴建立关系,这是个难题,”他说道。

要由 CIO 和安全高管们通过就什么是不可接受的损失对其他人进行培训来引领实现用途广泛的防御。

虽然金融服务业已采纳用途广泛的防御策略一段时间,很多公司对这一理念仍然比较陌生,Ellis 说道。

这一概念适用于任何规模的企业,尽管内部资源缺乏的小型公司可能需要帮助才能入门。管理型安全服务提供商提供此帮助。

Ellis 说通过采用此方法,企业可以基于实际风险制定安全计划,并能够更密切地关注需要保护的内容。

Bob Violino 是一位业务和技术由撰稿人,他的专业领域包括云计算、网络安全和大数据。

Related CIO Content