2018年2月,澳大利亚正式实施新的数据泄露法案——《数据泄露通报法案》。
据悉,该法案适用于年营业额超过300万美元并持有个人可识别信息的组织和机构。一旦实行,这些组织机构必须向澳大利亚信息专员办公室和受影响的个人报告数据泄露事件,有效地防止数据泄露事件悄无声息地发生。
3月底爆发的Facebook数据泄露事件在全球范围内引起了轩然大波,据悉,剑桥分析公司以不正当的方式获取了大量Facebook用户的信息,其中包括用户居住地、个人喜好、朋友信息等等。甚至有媒体认为,该公司可能与2016年美国总统选举期间的广告定向投放有关,从而一定程度上影响了大选结果。
2018年5月25日,被视为“史上最严”的欧盟隐私法案《通用数据保护条例》(General Data Protection Regulation,GDPR)于欧盟全面实施,该条例现已成为欧盟法律的一部分,用来改善欧盟公民的数据保护情况。
总之,无论是近来发生的网络安全事件,还是澳大利亚和欧洲相继引入新的数据泄露法案,种种事件都正在提醒人们要对网络安全最佳实践需求的多多认识。这种意识的觉醒也推动众多企业开始着手评估当前自身的网络安全状况,并实施相应的解决方案以降低安全风险。
愿景是美好的,但不幸的是,企业并未能发挥安全评估和解决方案的最大效用,他们只是继续在新的、孤立的安全工具上分层,而没有挖掘出现有工具的最大化价值,或完全解决潜在的漏洞威胁。
随着每天越来越多的设备和端点连接到网络,能够保护这些设备并防止未经授权的访问行为应该成为安全专业人员最关心的问题。这种安全觉悟无疑是正确的,因为攻击者只需要通过一个受损设备就能够瓦解整个基础架构。
如今,大多数安全方法都依赖于后见之明——不知道接下来会发生什么情况,企业只能对已发生的事情做出响应,然后在事件已发生的情况下修复攻击影响。
想要改变这种“事后诸葛亮”的现状,让企业以更为积极主动地方式应对威胁,将对企业整体安全性产生战略性意义,而这一切主要取决于企业安全方向的决策者对自身的认知与决策方向。
CSO需要能够立即回答如下5个关键问题
1. 您的组织是否错误地以为自己具备必要(但通常缺失)的安全基础?
完整、持续的可视性对于有效的网络保护至关重要。如今,整个行业的假设是,所有组织都具备这种可视性,但事实是,大多数组织根本不具备充足的可视性。
鉴于缺乏可视性,企业将无法确保不可视内容的安全,所以组织必须避免这种盲目假设,并采取有效措施来确保自身确实具备完整、持续的可视性。
2.如果一组未知的设备或端点连接到网络,企业应该如何了解其风险状况?
当组织只具备部分可视性时,他们对风险状况的了解也就会不完整。当消费者购买家庭内容的保险时,保险公司会询问的第一个问题就是他们的资产价值。如果消费者不知道自己拥有哪些东西,自然也就无法衡量自己的财产价值。同样的道理,如果无法确切地知道连接到网络中的内容,企业自然也就无法有效地保护它。
3. 量化企业网络中未知的“未知数”的第一步是什么?
绝大多数组织都知道自身存在可视性差距,但是他们并不知道如何缩小这种差距。如果网络会说话的话,我想安全专业人士一定想直接问它,“究竟哪些东西连接到了网络”。通常情况下,当询问网络时,其给出的“未知数”(连接到网络的设备或端点)数量可能会比预期的还要多出35%-40%。加上如今大多数企业都拥有扩展的网络,想要明确未知设备规模将变得更为艰难。完全关闭可见性差距的唯一方法,就是直接询问所有不同的网络。
4. 组织如何避免添加其他孤立的安全工具?
组织不希望继续在新的、孤立的安全工具上分层,相反地,他们需要从自己已经投入的工具中获取更多。所以,企业应该通过提供对网络上所有内容的可见性,来确保自己的下一次投资能够更好地利用他们现有的工具,而不是简单地添加另一个增加成本和复杂性,却无法提供可操作信息的孤立工具。
5. 组织可以量化他们浪费的安全支出吗?
组织会为安全工具分配预算,但这些工具无法发挥最大性能来完整地保护企业业务安全。因此,一些预算就等于浪费掉了。完整、持续的可视性使企业能够识别并恢复浪费的支出,并确保安全预算能够覆盖其预期覆盖范围的100%。
通过缩小可视性差距,以及获得有关网络上每个设备或端点的完整且准确的信息,企业将不仅可以减少其安全预算,还能够更可靠地保护其网络。这将有助于企业改进数据保护措施,以及更轻松地满足数据保护法规合规性要求。
相关阅读
