白城意外险交流群

【关注】2018年的网络安全规划(三)

上党全媒体 2020-03-20 12:15:37

 2018年网络安全愿望清单

 

希望董事会和CISO一起工作,沟通和了解业务的风险。共同合作,以合理的周期更新其技术、可视性、流程和防御能力,希望比前几年快得多。

希望意识到大多数GRC安全合规性是一个很好的开始,是启动风险管理计划的基础。然而,这不应该被视为最终的目标,而只是一个开始。如果不相信,你去问问一个好的红队,如果我们遵守了合规性,那么他们就无法完成网络渗透测试任务。答案显然是不太可能的。

希望笔记本电脑和台式机的补丁周期,需要缩短到几天,甚至几个小时,而不是几周或几个月。

希望所有参与网络弹性决策和规划的人,都不会低估他们的对手。

希望人工智能和机器学习将是网络防御所必需的,因为攻击者也会利用它。

希望物联网设备,特别是消费设备,将定期提供安全更新,最少是五年更新一次。更多的商业和工业设备合同,将有制造商支持安全补丁的明确要求。

希望物联网设备在销售给消费者或行业之前,将经过某种类型的安全认证程序。

希望网络安全合规,被视为风险管理计划的一部分,以避免罚款和其他法律处罚,但不应被视为整个风险管理计划。遵守这些法律法规应视为网络安全审计职能的一部分。

希望监管机构了解他们的网络安全标准遵守要求是否繁重,他们可能实际上将风险管理项目的预算和资源,从风险管理项目中分离出来,这些风险管理项目的风险甚至可能超过他们所实施的标准。

希望大家不要过度依赖IOC指标。网络犯罪分子可以改变恶意软件哈希值、域名和IP,这个速度比分析师验证它们的速度更快。

其中很大一部分,可能是后知后觉,你拿到的IoC可能只是历史指标而不是可以依赖的前瞻性指标。只有缓慢防御的对手才会依赖IoC。

需要更多地关注TTP(工具、技术和过程,也有称为战术、技术和过程),更少关注IOC(事件攻击指标)。



2018企业网络安全及行业网络安全

调查报告

 

最近一份来自ESG和信息系统安全协会ISSA的报告《网络安全专家的生活和时代》称,在过去数年中,各组织中的343名信息安全专业人士,曾被要求确定其组织中采取的网络安全行动。这份清单可以为企业及行业应对2018年的网络安全挑战或者制定网络安全规划提供参考。


在报告中,一些回答比例最高的条目如下:


52%的组织采用了部分或全部 NIST网络安全框架 (CSF)。如果您没有注意到这一点,您会惊讶地发现,NIST CSF已经成为许多行业的标准风险管理工具,并且已经发展为网络保险的制定提供了基准指标。1.1版草案最近出版了,承诺给网络供应链带来更加清晰、通用的语言和可扩展性。最后,CSF很可能会与主管机构委员会(COSO)风险管理框架(第二部分)相辅相成,后者更侧重于企业和企业风险。总的来说,在2018年可以看到更多的风险管理方面的推进,包括最近对高级防御技术的描述 。


50%的组织增加了安全和IT人员的网络安全培训。好的,这是个好消息。坏消息是接受调查的网络安全专业人员中,有62%认为他们从组织那里获得的培训水平仍然不足。网络安全培训将在2018年增加,但可能不会如此。


49%的组织提高了非技术员工的网络安全培训水平。这可能是一个很好的投资,但是太多的组织会通过网络安全培训的动作,将其视为复选项。令人遗憾的是,许多机构仍将继续增加培训预算,但在这一过程中投资回报率甚微。我看到领先的公司,正在通过以用户为中心的渗透测试,比如白帽子钓鱼攻击活动,使用KnowBe4、PhishMe和Wombat Security的工具,来加倍努力。 我也看到更好的交流,像解释为什么用户操作被阻止,而不是简单地屏蔽他们,并向他们传递加密信息。持续教育非常重要,所以我希望CISO和人力资源经理能够在这方面作出改进,而不是仅仅在2018年增加用户培训的量。


48%的组织增加了网络安全预算。ESG即将发布2018年IT支出意向研究,其中包括网络安全预算的重点。扰乱警报:大多数组织将在所有行业中增加2018年的网络安全预算。然而,即使有这种增长,安全团队也会发现,在网络安全的所有领域进行投资,非常具有挑战性。在2018年,首席信息安全官将制定一个投资组合管理的方法来投资,寻找方法来使用机器学习技术、安全运营自动化/业务流程工具、安全管理服务和软件定义安全选项,以满足需求,并作为对成本上升的对策。


48%准备遵守一项或几项新的监管要求。2017年,纽约州推出了金融服务公司的新规定,而许多全球公司开始了通用数据保护条例GDPR 准备。随着五月份截止日期临近,GDPR将继续成为2018年投资热点区域,但是我怀疑这是否会结束。我希望在2018年对物联网设备的安全性进行大量的审查,或许还有一些初步的规定。哦,一个大的数据泄露或服务中断肯定会在一夜之间改变立法的态度。作为一名美国公民,我希望华盛顿重视从Equifax数据泄露和GDPR等方面吸取的经验教训,开始在本地开展合理的数据隐私和 网络安全法规。


ESG / ISSA的数据表明,过去的网络安全是序幕。希望CISO不仅能获得更多的现金,而且还能通过各自对于2018年的规划。相反,我希望他们能够评估需求,流程和资源,并利用不断增加的预算,来提高基础网络安全。


来源:网络

Copyright © 白城意外险交流群@2017