一、 CISO的困境
確切來說,除了踏實的專業基礎與實踐外,CISO的工作主要是與人打交道,向領導匯報工作、爭取預算與資源;向下屬下達意見、統籌指揮;應對威脅背后的攻擊者……這意味著,他們不僅技術能力要過關,還要會處理復雜的業務與人際關系??梢哉f,現代的CISO就像外交官一樣,他們的斡旋與決策決定著整個團隊或企業的安全防御水平。而隨著網絡威脅不斷增加、網絡安全問題真正影響到企業業務,CISO面臨的壓力也逐漸增大。
1. 入侵事件難以避免又無法預見,確保安全需要平衡多方資源
大部分CISO表示他們沒有足夠的資源來防范威脅、保護企業安全,其中最短缺的是人才。人手不足會導致安全效率降低。被調查者普遍反映網絡中存在約70%已經發現的惡意軟件,潛伏時間未知;有些惡意軟件存在的時間可能超過一年。
近些年,人們逐漸達成共識,認為隨著數字化進程加快,攻擊面逐漸增多,安全事件的確難以避免,安全團隊也無法將防護做到滴水不漏。哪怕一行代碼出了問題就會引發大災難。
超過60%的受訪CISO確認曾經在公司的網絡或設備中發現了潛伏的惡意軟件;三分之一左右的受訪者表示對公司的安全狀況有清晰把握,且確認沒有惡意軟件潛伏;有將近9%的受訪者對此表示不確定,這個結果不禁讓人擔憂。
在發現惡意軟件的案例中,花費的平均時間為14天。其中有一小部分案例發現的周期超過三個月,甚至六個月。還有一位匿名者表示其團隊發現威脅時,惡意軟件已經存在長達400天的時間,超過了一年。相比之下,調查結果顯示英國安全團隊應急響應的效率比美國安全團隊的效率低。他們發現威脅的平均周期大約是18天,比美國平均周期9.5天多出一倍。
這樣的結果背后有兩個主要誘因,首先就是網絡威脅無孔不入,整體防御方案無法盡善盡美。另一方面,CISO認為資源的短缺也是造成安全防護效率不高的原因。57%的受訪者表示所在企業的安全預算有限,63%的受訪者認為人員調配是一大難題。其中最重要的是,企業缺乏對安全團隊員工的有效管理。65%的受訪者都認為這一點至關重要也最為匱乏。
如果按照預算、人力、技術和高級管理這四個維度具體區分,CISO對企業技術配備情況滿意度較高,對于人力和高級管理的滿意度較低。
2. 董事會對于安全認知不清,高管團隊缺乏安全專家
調查顯示,僅有一小部分董事會成員對網絡有深入的了解。盡管CISO認為他們的工作很重要,但并沒有很多人認可CISO的戰略職能。 60%的CISO自信地認為董事會知曉入侵或泄露事件難以避免,但一旦此類事件發生,仍有三分之一的CISO會被解雇或受到處分。只有不到三分之一的人可以在CISO崗位上待滿三年。
大部分CISO都期待董事會中至少有一個懂安全技術的成員,這樣才能更好地開展業務。但是事實上,董事會中有安全專家的比例不到6%。還有30%的受訪CISO承認其團隊中連一個專家都沒有。導致CISO常常覺得自己的與其他組織或團隊脫節,也得不到合理的管理與指導。
52%的受訪者表示董事會認可安全團隊的價值,認為他們能保障利潤和品牌聲譽(美國的比例是44%;而英國的比例是60%)。
3. CISO很難讓生活與工作分開,且常年處于壓力之中
受訪的CISO都覺得自己壓力很大,91%的人表示他們承受著中等程度或嚴重壓力,60%的人表示很難抽離工作。受訪者中中有88%的CISO每周工作時間超過40小時。 四分之一的人認為這份工作對他們的身心健康以及個人和家庭關系產生了影響。 近17%的CISO正在用藥物或酒精來緩解工作壓力。
二、CISO的成就與挑戰
思科剛剛發布的《2019CISO基準研究報告》顯示,2018 — 2019年,CISO高度關注供應商之間的聯合、與網絡和安全團隊之間的合作以及能夠提升組織整體安全防護水平并減少風險的安全意識培訓。此外,面對愈發復雜的安全環境,很多CISO都認為企業上云有助于更好地保護資產安全。
65%的受訪者認為檢測入侵、阻止入侵且緩解修復并非易事,用戶、數據、設備、APP等帶來的威脅無一不令人擔憂。為了應對這些威脅,44%的受訪者會加大投資安全防護技術;39%的受訪者會針對原進行安全意識培訓;39%的受訪者則青睞風險緩解技術。調查結果顯示,超過一半的受訪者則通過各種手段成功將損失降低到50萬美元以下。當然,需要注意的是,還有8%的受訪者表示他們曾經歷的安全風險造成過超過500萬美元的損失。
這一年,CISO通過不斷的整合與培訓以及技術投入,成功降低了安全風險:
A. 從選擇單個安全產品轉向整合解決方案:2017年,使用10個或以下廠商安全產品的受訪者有54%,而本次的比例則達到了63%;當下環境中很多廠商的解決方案并未整合,在威脅預警等方面無法體現時效性。因此,哪怕只使用了較少的單個安全產品,也可以通過企業整體安全架構進行合理的部署與整合,進而更好地管理安全預警與威脅情報;
B. 推進團隊間緊密合作,減少損失:95%的受訪者認為所在組織的安全團隊與技術團隊能高度且緊密地合作;這95%的受訪者中,又有59%的人表示其所在團隊因安全問題遭遇的損失在10萬美元以下,與他人相比損失最小。
C. 關注基于云的安全解決方案,云安全未來可期:93%的受訪者認為業務上云能提升效率;認為保護云設施存在困難的受訪者比例從55%降低到52%;
D. 購買網絡保險并推動風險評估與風險量表的普及,有助于選擇合適的技術,并協助CISO專注于安全運營實踐:40%的受訪者全面或部分采用了網絡保險,爭取合理預算;
E. “網絡信息疲勞”癥從46%下降到30%
但同時,他們仍舊面臨著大量挑戰。
A. 盡管合理地使用AI和機器學習技術有助于威脅預警。但實際落地過程依舊曲折。機器學習的使用率從77%降低到了67%;AI的使用率從74%降低到了66%;自動化技術的使用率從83%降低到了75%。這意味著,新技術在安全領域的實際應用需要不斷的磨合并經歷爭議。具體成效,有待檢驗;
B. 雇員/用戶已經成為最大的安全挑戰,安全意識培訓必不可少。僅51%的受訪者表示在員工入職、轉崗或離職過程中有合理且完善的安全管理流程;
C. 郵件依舊是最大的攻擊向量,郵件安全不容忽視。釣魚與高風險用戶行為是CISO最擔憂的安全問題,連續三年所占比例都在56%—57%之間;
D. 告警管理與處置對于很多企業而言依舊是挑戰。數據顯示,對于告警的有效處理從50.5%下降到42.7%。花費大量時間監測用于評估安全效率的受訪者比例從61%降低到51%。而補救時間作為另一種評估標準,從30%上升到48%。
三、 CISO將如何自我突破
策略選擇
基于網絡保險和風險評估、結合實用策略,衡量安全需求,并以此為參考,預估安全預算并指導采購、戰略和管理決策;
參考并采用經過驗證技術或方法,降低被入侵的風險。定期進行安全演練并提前部署一些安全產品,掌握有效的應急響應方法;
如果公司部門較多,推進IT部門、安全和風險/合規小組等多部門之間的溝通協作,才能更好地理解業務的基本安全需求,制定更合適的安全策略;
將威脅檢測與訪問保護相結合,以應對內部威脅,踐行零信任原則;
通過網絡釣魚培訓、多因素身份驗證、垃圾郵件過濾機制和DMARC等方式防范電子郵件泄露,解決頭號威脅。
緩解壓力
心理專家認為,CISO這群人壓力大的原因在于他們不僅要處理各種各樣的安全威脅、保護公司安全,還在于安全本身與業務、技術之間存在沖突進而帶來大量需要溝通、協調的問題。有時候,后者甚至比前者更讓人心累。不被理解、不被重視、福利待遇與付出不成正比等問題還會影響到CISO的創造力與生產力,帶來更多身心問題,造成惡性循環。
專家建議,要想緩解壓力,可以從以下三點做起:
1. 心態積極,合理利用網絡資源,尋找并使用合適的防護工具,提升效率;
2. 適當地與同事或家人傾訴壓力;還可以從其他多個渠道獲取支持;盡量不要保持沉默、憋在心里
3.酒精、暴飲暴食以及其他極端方式并非健康的解壓之道,也非長久之計可以嘗試通過體育鍛煉等方式,保持身心健康。
當然,除了CISO,其他安全從業者其實也面臨著不同的壓力。希望大家都能健康順利。畢竟,少了“你”,世界都會不安。
