【翻译】Depicher对话 JupiterOne CSO: Sounil Yu

1. 到目前为止，在安全领域的经历中，您学到了哪些最重要的经验教训？ 

Sounil Yu：拥有冒名顶替者综合症是正常的。事实上，如果你没有，那你可能是在欺骗自己。我们的数字环境非常复杂，没有任何一个人可以完全理解。我们应该预料到，我们每个人只能深入了解其中的一小部分。尽管如此，我们仍应努力了解环境中相互依赖部分的更大画面，因为正是在这些交叉点上，我们最常看到安全问题。 

2. 在企业中培养“安全文化”有哪些重要因素？从哪里开始，需要哪些人参与？ 

Sounil Yu：首先，重要的是要提倡心理安全，以加强安全文化。我们希望邀请人们指出缺陷，找出我们环境中的漏洞。我们不应该回避这一点，因为如果我们这样做，我们就会关闭他人提出看似微不足道的未报告漏洞和意料之外的威胁的意愿。我们希望与业务进行公开对话，确保我们充分了解潜在的安全风险，并对它们给予适当的关注。 其次，我们希望在网络安全和网络安全之间进行区分。为了简化安全与安全之间的区别，可以在这些词前加上另一个描述符。例如，食品安全实践包括卫生、第三方检查和清单。食品安全引发了关于婴儿配方奶粉短缺、食品供应中毒和饥荒的担忧。食品安全和食品安全并不相同。 个人选择对我们的安全产生直接影响。例如，我们大多数人都知道如何改善个人卫生，并对他人忽视或忽略这些简单措施感到震惊。另一方面，安全通常被视为别人的责任，个人通常仅限于被动的“看到什么，说什么”的角色。 安全需要每个人的积极参与，大多数人将安全措施视为个人责任。个人可以看到他们如何直接为安全的改善（或恶化）做出贡献。我们可以通过在所有组织利益相关者中灌输更强烈的个人责任感和问责意识，通过适当地重新定义我们要求他人执行的许多常见网络活动（例如，打补丁），来促进“网络安全”文化，以维护适当的网络卫生。

“仍有许多CISO处于漏洞为中心的角色。”

3. 组织建立有效网络安全计划的最关键步骤是什么？您推荐的第一步是什么？

Sounil Yu：了解企业的运营方式以及其认为最关键的功能至关重要。在不考虑业务的情况下实施安全控制措施，就像在驾驶汽车时给汽车上方向盘锁一样。

4. 组织如何找出现有安全计划中的漏洞？

Sounil Yu：我创建了网络防御矩阵，以全面了解现有的安全计划并找出其中的漏洞。这是一个简单的心智模型，用于描述应用于我们资产的安全功能的广泛范围，帮助我们在战略层面快速发现漏洞。

5. 您对组织有什么顶级安全建议？

Sounil Yu：减少对宠物护理的关注，更多地关注宠物控制。我们的安全挑战是由企业内不受控制的宠物收养所加剧的。作为网络兽医，我们因企业无意中收养的新宠物而疲于应付。这些宠物最终成为需要大量关爱和关注的遗留系统。其他宠物被忽视，当被盗或感染时产生责任。花更多时间进行宠物控制（例如，数据最小化，个人身份信息保险库，短暂系统）有助于企业避免这些意外后果。

6. 在评估IT环境时，现在让您夜不能寐的顶级安全威胁是什么？

Sounil Yu：企业数据通过SaaS应用程序及其相关插件和集成的广泛传播。虽然这些集成具有巨大的价值，但在SaaS生态系统中包含这些企业数据非常困难。这导致攻击面迅速扩大，其中一个SaaS应用程序的妥协可能导致攻击路径，导致企业数据的暴露远远超出仅包含在该SaaS应用程序中的数据。

7. 随着时间的推移，CISO的工作如何演变，无论是CISO职责本身还是CISO在组织中其他人的认知？

Sounil Yu：CISO的角色已从严格关注漏洞发展为关注威胁为中心，最近又发展为风险管理角色。仍有许多CISO处于漏洞为中心的角色。CISO需要能够用与业务相关的术语进行交流，以便他们的安全活动和计划在适当的背景下得到理解和赞赏。CISO倾向于过分关注所有未解决的漏洞，这通常会导致他们变得边缘化或无效。