“如果你想拥有一个良好的文化,你首先要从你的安全团队开始,他们需要有一个良好的文化,所以投资于他们,留住他们,进行内部培训、外部培训、职业规划,所有这些都很重要。”
1. 在企业中建立安全文化有哪些重要因素?
Rick Holland:一切都关乎人。在RSA或者拉斯维加斯的黑帽大会上,人们往往倾向于购买最新的技术或最炫酷的产品。但是,如果你想要建立一个良好的企业文化,首先必须从安全团队开始,并且他们需要有一个良好的文化氛围。因此,在投资、留住员工、内部培训、外部培训和职业规划等方面进行投入非常重要。因为我认为,如果你没有一个良好的安全文化,在整个公司范围内也难以建立起来,因为如果你的安全团队不支持这种文化,则其他人也不会支持它。所以我认为这是非常关键的组成部分。
当我还是一名孤军奋战的安全专家时,可能学到了错误方法——我曾经自豪地成为“无门派”的代表——我的CIO(首席信息官),也就是当时我的老板给了我一些非常好的反馈意见:谈论如何使人们能够完成他们自己本应该做得工作而不仅仅只是防范风险问题;他们并不像你那样拥有专业级别高超水平的安全技能。我认为这仍然是非常关键的,如何才能建立一个积极向上、注重安全的企业文化?如果你对客户、合作伙伴和同事持有超级消极态度,那么你又怎么可能拥有这样一种文化呢?同时,拥有透明度高的技术,并理解管理密码对人们来说是很麻烦的问题,具备同情心并保护我们试图保护的人们也是构建强大安全文化所必须具备的关键要素。
2. 当你考虑构建一个有效的网络安全项目时,有哪些关键步骤是最重要的?
Rick Holland:是的,我认为第一个是将项目与业务本身保持一致。我们不是为了安全而做安全,而是为了我们的业务、非营利组织或者我们试图保护的任何类型的组织来做安全。了解公司或组织的目标和目的是非常非常关键的,然后将其转化为安全项目。我给你一个具体的例子;我多年来一直在谈论的一个问题,它更适用于上市公司,但对于私人公司也适用,那就是上市公司有他们的SEC文件,其中一个SEC文件是10-K表格。而这个10-K表格有一个风险因素部分,通常有大约8到20个,10到15个之间的公司整体业务的风险。这些风险可能包括供应链,例如某些地方可能会受到野火、飓风等的影响,但能够进行业务讨论,了解业务风险,并尝试从网络安全或实体安全的角度来降低这些风险。如果你看零售业 - 以黑色星期五为例 - 如果你看一个公共零售商的10-K表格,他们可能会在其中提到他们的员工、奖励计划以及如何保持客户忠诚度和粘性。所以,如果你进入一个新项目,查看10-K表格或者年度报告;了解业务关注的重点,业务将如何增长,然后将其映射到人员、流程和技术,以及如何提供风险可见性,如何降低风险,这几乎是项目的蓝图,是自上而下的项目蓝图。但它也让你能够从“业务关心”的角度进行批判性地谈论。我看到很多预测和建议,现在都是关于2023年的计划。但大多数都集中在投资API安全或云安全上。实际上,我们需要投入时间了解2023年的业务目标。然后弄清楚需要哪些人员、流程和技术来提供风险可见性,然后降低风险。业务是否正在扩展到世界的新地区?那里的威胁是什么?如何在那里保护员工?业务是否正在推出一款新软件,预计将为当年创造20%的净新增收入?如何确保其安全?所以我认为10-K表格,如果我是一家上市公司,我会每个季度都听CEO的季度电话。现在,如果你不是一家上市公司,你仍然有一个风险委员会之类的东西。所以与风险委员会保持联系,了解风险,但这是另一个你可以去的地方,如果你无法获得公开文件。所以这是我喜欢从这里开始的地方,让我们确保我了解业务目标,我如何做到这一点。另一方面,对我来说,再次回到人员问题,我认为这是人员、流程和技术中最重要的部分。你如何招聘人员?不要总是试图招聘独角兽,这是一个高度竞争的市场,不要有那些荒谬的工作描述,它们看起来像是针对没有经验的人,但实际上,你需要10年的经验才能胜任这个角色。拥有一些经验丰富的人和一些非常初级的人,你可以培训他们,然后做一些有创意的事情,远程工作,灵活工作,我每年都会给你一个SANS课程,或者其他情况,有一个实际的课程来尝试保留这些人。我认为在一个项目中最痛苦的事情就是你投入时间的人过早离开;我们知道每个人都会在某个时候离开。但是,如果你投资并在一年到一年半的时间里失去某个人,那么,也许你本可以再从他们身上获得一年的时间。而且,这可能相当重要,对吧?如果你必须重新开始,重新了解组织,学习工具等等。所以我真的认为,整体公司战略是什么?如何将其映射并能够从业务关注的角度进行谈论?然后你将如何安排所需的人员来兑现你对业务的承诺,帮助确保安全并降低风险?
“我们不是为了安全而做安全,我们是为了我们的业务而做安全。”
3. 组织如何找准现有安全项目中的漏洞?
Rick Holland:首先是自上而下的方法。如果我是一位新任CISO,在最初的100天里,我会说,我们要暂停支出。然后我们将评估我们技术堆栈中的所有技术。当我在Forrester时,我提出的一句话是,我没有称之为深度防御,而是称之为深度支出,意味着人们只是购买更多的垃圾,通常是技术;而不是投资于人员,他们购买的是RSA、黑帽等最新的东西。我们应该做的是查看我们整个技术堆栈,了解业务希望我们实现什么,威胁格局是什么样的,然后实际衡量我们在环境中拥有的控制措施。首先,这些控制措施实施得有多好?如果它们已经实施了,它们是否能达到我们的预期?因此,在我们现有技术上进行健康和福利检查,寻找重叠,这与深度支出有关。你有一个解决方案,也许可以满足你40%的需求,然后你又购买了另一个解决方案,可以满足你60%的需求,然后你就有了这个重叠。所以,了解重叠在哪里,你不需要重叠,这是非常非常关键的。此外,平台化发挥作用 - 我们已经谈论了单一视窗大约20年了 - 但我认为,对于大多数组织来说,我宁愿有一个B级平台,我可以在整个环境中实施,它降低了复杂性,使人们能够更有效地工作,我有可以直接获得丰富信息的工具,等等 - 而不是购买一堆最佳实践的点解决方案。因为我可能有一个A+级的解决方案。但如果它没有集成到我的技术堆栈中,它将如何帮助我?我认为对于大多数公司来说,一个有效的平台是更好的选择第三个问题是 - 我们经常看到这种情况,因为我们在Digital Shadows追踪网络犯罪分子,追踪勒索软件行为者,追踪初始访问代理商 - 但他们是通过未修补的公共面向事物进入的。我们可以在修补漏洞的过程中度过我们余生。但是,有些事情我们确实需要修补,外部的东西必须修补。本地部署的Microsoft Exchange就是一个很好的例子,对手自去年第一季度以来一直在滥用它。因此,修补外部服务,不要让像RDP这样的东西面向公众,将其置于VPN后面,因为对手正在寻找容易得手的目标。如果您有一个未修补的Citrix服务器、Juniper SSL VPN或Microsoft Exchange服务器,人们会去攻击它。如果您有RDP或任何暴露在互联网上的登录门户,对手购买您环境的凭据就变得微不足道,然后他们可以开始运行所有这些凭据,看看哪些能让他们获得初始访问。所以这是两方面的问题。首先是同理心,然后是基础设施,但要知道这是一个漫长的旅程,我们不应该放弃。具体来说,就是尽量减少您的攻击面,让对手更难进入。
4. 让您夜不能寐的最大安全威胁是什么?
Rick Holland:我认为,机会主义勒索软件可能应该是大多数公司威胁模型的首要问题。所以这绝对是一个;如果您处于不同的行业,您将面临不同的行为者,但这个问题肯定很大。然后,我认为攻击面的复杂性也是一个问题。我们有很多东西需要防御。如果我们能够采取我之前提到的类似于皇冠宝石分析(the crown jewels analysis)的方法,或者像零售商想要保护他们的奖励计划那样,了解对您的业务最重要的系统,并专注于保护它们,因为我们无法保护所有的东西,但如果我们能保护环境中最重要的20%,即使需要牺牲其余的部分,至少我们仍然保护了那20%的皇冠宝石。首席信息安全官问答。
翻译自https://duo.com/decipher/q-and-a-rick-holland 如有侵权,请联系删除
