網絡安全：領導者需要知道的

已發表: 2022-04-28

近年來，對網絡安全的需求呈爆炸式增長，因為在家工作文化的突然廣泛採用使世界各地的公司都在審查其網絡安全系統、標準和未來戰略。

這就是為什麼 BrainStation 召集了金融服務巨頭萬事達卡、投資公司Blackstone 、專業網站LinkedIn和軟件開發商Citrix的四位行業領導網絡安全戰略專家，作為 BrainStation 的數字領導力活動系列的一部分，就領導者需要了解的網絡安全知識進行討論。

您可以在此處觀看完整的小組討論：

什麼是網絡安全？

在探索網絡安全格局正在發生變化的方式之前，我們的小組成員被詢問了他們對網絡安全的想法。

LinkedIn 信息安全團隊高級成員 Eugene Dvorochkin 將網絡安全總結為“使用技術、流程和控制來保護系統、網絡和數據。最終，一切都回到了數據上……我們要做的就是保護這些數據，保護其完整性，並確保 [沒有] 未經授權的使用。”

正如 Citrix 首席安全策略師 Kurt Roemer 所解釋的那樣，網絡安全對維護數據機密性、完整性和可用性的傳統關注應該擴大到包括第四個因素：安全性。 “隨著我們採用物聯網和其他人工智能以及[增強現實應用]，它正在以一種安全變得至關重要的方式與我們的物理世界相結合。”

Puneet Bhatnagar 是 Blackstone 的高級副總裁/IAM 負責人——網絡安全，他採取了一種更具哲學性的方法：“我問自己一個基本問題：‘我如何幫助在系統設計中建立信任？當我提供我的個人詳細信息時，我是否願意註冊申請？我相信我提供這些信息的品牌嗎？對於企業而言，將網絡安全視為在其應用程序和生態系統中建立信任所需的一切，這一點很重要。”

萬事達卡數字與安全解決方案副總裁 Sukhmani Dev 對此表示贊同。 “我們希望確保在每筆交易中都能體現出信任。”

實現這一最終目標與技術本身一樣是一個動態的過程。以下只是我們小組成員確定的一些更廣泛的趨勢。

網絡安全比以往任何時候都更加重要

COVID-19 和由此產生的在家工作文化的爆炸式增長將原本預計需要十年時間的演變壓縮為幾個月。這種加速意味著更多的在線活動、更多的新用戶以及這些用戶所依賴的單個系統的複雜性，所有這些都為不良行為者帶來了機會。結果是對更多數字安全性的突然而迫切的需求。

大部分需求歸結為簡單的音量。在封鎖期間，越來越多的人在家中使用設備工作和購物。 Dvorochkin 解釋說：“當您使用家庭網絡時，您可能會使用個人計算機或 iPhone 等個人設備來訪問公司環境和數據，並且您還更多地依賴於第三方系統，例如 Zoom 或其他溝通方式。你將進入更難保護的環境。”

對於許多大型國際公司而言，適應遠程工作相對簡單。但對於許多小型實體企業而言，這意味著首次涉足數字世界——這些企業尤其容易受到黑客攻擊。 “[這是一種誤解]，只有知名的大公司才是攻擊的目標，”Dvorochkin 繼續說道。 “黑客變得更加先進，但他們使用的工具和技術也基本上公開了。任何人都可以上網並開始入侵任何公司。被老練的黑客攻擊的不僅僅是大型知名公司——它實際上可以是任何一家夫妻店。”

Dev 將日益增長的系統複雜性視為另一個向量。 “一切都比以往任何時候都更加相互關聯，”她說。 “如果你考慮一家銀行，他們可能有自己的供應商，但他們的供應商也有供應商，這些都是龐大的供應鏈。在過去幾年中，連接點呈指數級增長。”

這意味著黑客可以利用更多的薄弱環節——黑客已經註意到了這一點。

從系統轉移到用戶

規模和復雜性的增長也意味著網絡安全團隊比以往任何時候都在更多的戰線上作戰。這反過來又導致網絡安全專家對其任務的構想方式發生變化。如果目標是保護數字堡壘內的數據，那麼網絡安全的工作就是保護邊界——但邊界和攻擊方式是不斷變化的。鎖定數據不是答案——如果沒有人可以訪問它，那麼擁有一個系統就沒有意義。相反，優先事項正在轉移到，首先，確認訪問它的人的身份，其次，只允許訪問他們需要的數據，而不是整個系統。

“以前，你可能擁有某些只有在四堵牆中才能被認為是安全的東西，”羅默說。 “如果你反過來說，‘當它在四堵牆之外，在雲端時，我們如何保護這些？’ 當您查看混合工作模式時，您可能會發現人們每週都在不同的情況下工作——在辦公室，在他們的家中，也許又在咖啡店，也許在外出旅行。你如何確保為這些人提供合適的安全環境？”

對 Bhatnagar 而言，這意味著“您擁有的唯一可以真正保護的真正邊界就是您的身份邊界。” 這通常需要多因素身份驗證，這有助於驗證人們的真實身份（“那裡有一些瘋狂的統計數據，”Bhatnagar 說，“比如，超過 90% 的違規行為源於某種電子郵件洩露” ）。

因此，“僅僅擁有一個良好的網絡邊界或一組良好的防火牆是不夠的。您必須將您的思維從以系統或網絡為中心轉變為以身份或用戶為中心。那時我們開始考慮這些新的零信任範式。隨著人們不斷訪問的大量信息，如果你只是試圖修補系統或保護網絡，你總是會追趕上來。”

將焦點轉移到用戶的身份有助於消除外部黑客的訪問，但它也有助於通過限制合法用戶對他們所需數據的訪問來控制來自內部的風險。當然，這取決於您解析數據的能力。 Dvorochkin 解釋說：“在過去，公司過度賦予人們特權，他們能夠全權訪問所有內容，這顯然會導致更大的風險。 [您需要]非常具體地了解您擁有的所有數據。你不知道你不知道什麼，所以良好的識別標籤非常重要——準確地知道你的數據在哪裡，有多少，以及你與之進行的交易，尤其是與第三方供應商的交易. 因為，再一次，我們越來越依賴第三方應用程序，而他們顯然與我們內部員工的信任程度不同。這一切都歸結為識別，擁有良好的資產清單，並能夠限制它。”

文化和教育是關鍵

除非您的隊友參與進來，否則您無法實施任何類型的網絡安全策略。人類始終是網絡安全鏈中最薄弱的環節——大多數黑客攻擊不是通過編寫代碼，而是通過冒充權威並誘騙某人放棄密碼來完成。這裡的解決方案既是技術性的，也是社會性的。

“網絡安全不是一個人或一個團隊的責任，”Bhatnagar 說。 “每個人都需要捲起袖子，擁有它。我們非常重視最終用戶意識培訓，幫助他們識別網絡釣魚電子郵件，進行網絡釣魚模擬，並逐步提高這些模擬的複雜性，這樣我們就可以不斷地教育我們的員工。”

這可以直接減少個別數據洩露事件，但也有助於培養重視網絡安全的公司文化。 “一旦你把它放在那裡，它就是一種每個人都能理解的語言——不僅僅是你的網絡安全專業人員需要超級技術，而且還有其他商業領袖可以理解的通用框架。您可以使用它來提高認識並獲得預算、資金和資源，以繼續進行戰略改進。”

開發秒殺企業文化的重要性。 “除了文化，”她說，“我還會說培訓……與遺留系統相比，這是一種非常不同的思維和操作方式。如果你對文化的態度正確，其餘的技術、設計等都會到位。”

對於羅默來說，這從頂部開始。 “安全是一項共同的責任，我們都需要成為安全從業者。領導層需要去人力資源部，讓他們知道整個組織都需要安全能力，並討論他們如何為那些認為安全是一個引人注目的職業的人提供重新培訓和晉升的機會，並能夠吸引這些人——而不僅僅是來自 IT 組織，但來自整個組織，因為這是有道理的——因此，請與組織的其他成員聯繫 [並傳達] 我們迫切需要更多的安全專業人員，我們都需要被視為從業者。”

從戰術轉向平台

有點自相矛盾的是，鑑於關注點從整體系統安全轉移到用戶身份邊界，我們也看到了從策略轉向平台的轉變——也就是說，將網絡安全工作組織成一個整體戰略，而不是一系列個人補丁。

Roemer 解釋說：“原因是管理 [一系列] 點產品變得非常困難。它們沒有很好地整合，我們也沒有資源來利用它們來發揮作用。因此，我們越能構建和整合到一個平台中，就越能增強安全能力。”

Dvorochkin 補充說，這意味著不僅要協調戰術，還要協調整個團隊。 “通常，技術領域或功能是孤立的。顯然，我們都在努力實現同一個目標，那就是讓公司取得成功。”

對於 Bhatnagar 來說，更具戰略性的方法包括擁有一個人員充足且資金充足的安全運營中心。雖然積極主動總是好的，但這並不意味著最終不會發生違規行為，當它發生時，組織必須準備好採取行動。 “總有一些事情會出現，因為黑客繼續變得更加先進，他們的技術繼續變得更加持久。”

網絡安全始終是動態的

Dvorochkin 與 Bhatnagar 的觀點相呼應——響應能力至關重要。網絡安全戰略需要是動態的，以便主動和被動地應對攻擊。在被動方面，他說，“這不是是否的問題，而是你何時會被破壞的問題；幾乎不可能在持續的基礎上得到充分保護。最終會有一些事情發生。保護外圍很重要，擁有良好的偵查控制很重要——但您還需要有良好的反應、良好的評估並能夠測試自己。”

在主動方面，這意味著不斷評估您的策略；你不能只是設置它而忘記它。 “[有一個] 誤解認為，‘好吧，好吧，我們投資了技術，我們做了這個一次性設置，我們有一個網絡安全計劃，我們很高興，”Dvorochkin 繼續說道。 “實施某些工具的一次性設置——它不會保護你。由於技術與網絡之間的協同關係，技術幾乎每天都在變化，網絡安全也在快速變化。所以你必須充滿活力，你必須始終保持最新狀態，而且你必須從公司獲得良好的投資——因為網絡安全並不便宜。”

“考慮一下您的信息技術組合是一組投資，”Roemer 補充道。 “就像你的個人投資一樣，不時地重新評估哪些工作做得好，哪些做得不好，以及你需要在哪裡甩掉狗，繼續做能給你帶來更好回報的事情。安全性非常相似。我們需要敏捷性，如果您不將您的信息技術組合視為一組沉沒的決策，而是將其視為一組不斷評估的投資，您就可以幫助推進並滿足當今和未來的安全需求。”

（本文最後更新於 2022 年 1 月。 ）