在訪(fǎng)談中，Ornua公司的CISO Adnan Ahmed探討了企業(yè)如何制定與業(yè)務(wù)目標(biāo)相契合的網(wǎng)絡(luò)安全戰(zhàn)略。他解釋了為何許多公司在未充分理解風(fēng)險(xiǎn)的情況下就盲目聚焦技術(shù)，最終導(dǎo)致失敗，并分享了將網(wǎng)絡(luò)安全融入企業(yè)各個(gè)層面以增強(qiáng)韌性的方法。

Ahmed還概述了成熟的路線(xiàn)圖應(yīng)如何將零信任原則、運(yùn)營(yíng)韌性以及安全文化融入IT和OT環(huán)境。

如今，當(dāng)談及網(wǎng)絡(luò)安全戰(zhàn)略時(shí)，大多數(shù)組織從一開(kāi)始就犯了哪些錯(cuò)誤?

在我看來(lái)，組織所犯的最大錯(cuò)誤是，一開(kāi)始就以技術(shù)為切入點(diǎn)開(kāi)展網(wǎng)絡(luò)安全工作，而非優(yōu)先考慮風(fēng)險(xiǎn)與業(yè)務(wù)的一致性。網(wǎng)絡(luò)安全常被誤解為一個(gè)技術(shù)問(wèn)題，而實(shí)際上它是一項(xiàng)業(yè)務(wù)風(fēng)險(xiǎn)管理職能。若早期未能建立這種聯(lián)系，往往會(huì)導(dǎo)致決策碎片化，高層參與度有限。

有效的網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)從一開(kāi)始就融入業(yè)務(wù)目標(biāo)。這需要識(shí)別企業(yè)的關(guān)鍵資產(chǎn)，評(píng)估潛在威脅和動(dòng)機(jī)，并評(píng)估資產(chǎn)受損可能帶來(lái)的影響，然而，CISO們往往直接跳入采購(gòu)網(wǎng)絡(luò)安全工具的環(huán)節(jié)，而未解決上述問(wèn)題。

另一個(gè)常見(jiàn)的不足在于人員和文化方面。人為錯(cuò)誤仍是網(wǎng)絡(luò)攻擊的主要途徑，然而組織在分配資源時(shí)卻過(guò)度側(cè)重于技術(shù)，而忽視了員工的安全意識(shí)與培訓(xùn)。我常說(shuō)，安全始于家庭，當(dāng)員工了解如何保護(hù)自己和家人時(shí)，他們也會(huì)將這種意識(shí)帶到工作中。

合規(guī)性雖為必要，但也是需主動(dòng)考慮的另一要素。滿(mǎn)足監(jiān)管要求固然重要，但合規(guī)并不等同于韌性。攻擊者并不關(guān)心你是否合規(guī)，他們只會(huì)尋找并利用漏洞。

在Ornua所處的食品制造等行業(yè)，忽視OT和工業(yè)控制系統(tǒng)(ICS)安全會(huì)帶來(lái)巨大風(fēng)險(xiǎn)。全面的縱深防御策略必須同時(shí)涵蓋IT和OT。

最后，不要忘記第三方風(fēng)險(xiǎn)和事件響應(yīng)。隨著供應(yīng)鏈攻擊的增加，公司必須評(píng)估供應(yīng)商的安全狀況。事件響應(yīng)計(jì)劃必須經(jīng)過(guò)實(shí)際測(cè)試，并包含業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)條款。關(guān)鍵在于，當(dāng)事件發(fā)生時(shí)，計(jì)劃必須經(jīng)過(guò)檢驗(yàn)，而不僅僅是紙上談兵。

簡(jiǎn)而言之，從風(fēng)險(xiǎn)出發(fā)，構(gòu)建安全文化，保障OT安全，管理供應(yīng)商，并做好最壞打算。成功取決于跨職能協(xié)作、遵循零信任原則，以及將安全視為業(yè)務(wù)推動(dòng)力而非障礙的文化。

隨著時(shí)間的推移，您對(duì)戰(zhàn)略的看法是否發(fā)生了變化?如果是，是什么推動(dòng)了這種變化?

是的，多年來(lái)我的想法已經(jīng)發(fā)生了變化。剛開(kāi)始時(shí)，我的重點(diǎn)是保護(hù)IT系統(tǒng)和孤立地降低風(fēng)險(xiǎn)。當(dāng)時(shí)，這并未與更廣泛的業(yè)務(wù)目標(biāo)相聯(lián)系，而這是我當(dāng)時(shí)沒(méi)有意識(shí)到的差距。

有兩件事改變了我的看法。首先，威脅態(tài)勢(shì)發(fā)生了巨大變化。如今的網(wǎng)絡(luò)安全攻擊針對(duì)的是OT和ICS。在食品制造行業(yè)，這些系統(tǒng)控制著生產(chǎn)線(xiàn)、制冷和安全流程。這些領(lǐng)域的網(wǎng)絡(luò)事件不僅會(huì)導(dǎo)致數(shù)據(jù)丟失，還可能擾亂生產(chǎn)，甚至危及食品安全，帶來(lái)更為復(fù)雜的風(fēng)險(xiǎn)。

其次，我逐漸明白，網(wǎng)絡(luò)安全不能孤立運(yùn)作。它必須支持和促進(jìn)業(yè)務(wù)運(yùn)營(yíng)和增長(zhǎng)。如今，我的方法是基于風(fēng)險(xiǎn)的，與我們的業(yè)務(wù)優(yōu)先級(jí)保持一致，同時(shí)仍以零信任原則為基礎(chǔ)。我們專(zhuān)注于韌性，而不僅僅是合規(guī)，OT安全是該戰(zhàn)略的核心支柱。最終，保護(hù)這些環(huán)境對(duì)于維持業(yè)務(wù)運(yùn)營(yíng)和確保消費(fèi)者安全至關(guān)重要。

安全領(lǐng)導(dǎo)者將網(wǎng)絡(luò)安全戰(zhàn)略與核心業(yè)務(wù)目標(biāo)相連接的最有效方式是什么?

根據(jù)我的經(jīng)驗(yàn)，將網(wǎng)絡(luò)安全與業(yè)務(wù)目標(biāo)相一致的最有效方式是使用業(yè)務(wù)語(yǔ)言進(jìn)行溝通。安全領(lǐng)導(dǎo)者常常直接使用技術(shù)術(shù)語(yǔ)，如防火墻、補(bǔ)丁、多因素身份驗(yàn)證(MFA)、加密等，但這些并非高管們關(guān)注的重點(diǎn)。他們關(guān)心的是保持業(yè)務(wù)運(yùn)營(yíng)、保護(hù)收入和維護(hù)聲譽(yù)。

將網(wǎng)絡(luò)安全定位為業(yè)務(wù)推動(dòng)力，而非成本，這一點(diǎn)很重要。例如，不要說(shuō)“我們需要MFA”，而是解釋MFA如何有助于降低欺詐風(fēng)險(xiǎn)并保護(hù)客戶(hù)信任，這直接影響品牌價(jià)值。我還將安全指標(biāo)與業(yè)務(wù)KPI相聯(lián)系，如生產(chǎn)系統(tǒng)的正常運(yùn)行時(shí)間或評(píng)估供應(yīng)商的網(wǎng)絡(luò)安全狀況以加強(qiáng)供應(yīng)鏈韌性并滿(mǎn)足監(jiān)管要求。

歸根結(jié)底，關(guān)鍵在于安全如何保護(hù)最重要的東西：運(yùn)營(yíng)、收入和聲譽(yù)。當(dāng)你運(yùn)用這種理解時(shí)，網(wǎng)絡(luò)安全就會(huì)成為業(yè)務(wù)對(duì)話(huà)的一部分，而不僅僅是一個(gè)IT項(xiàng)目。

您認(rèn)為目前哪些新興威脅被低估了?團(tuán)隊(duì)?wèi)?yīng)如何做好準(zhǔn)備?

目前網(wǎng)絡(luò)安全領(lǐng)域被低估的一大威脅是IT和OT環(huán)境的融合。在食品制造等行業(yè)，攻擊者不再僅僅瞄準(zhǔn)企業(yè)網(wǎng)絡(luò)，而是將目標(biāo)轉(zhuǎn)向OT和工業(yè)控制系統(tǒng)。勒索軟件攻擊若導(dǎo)致生產(chǎn)停滯或制冷中斷，不僅會(huì)造成不便，還會(huì)帶來(lái)巨大的財(cái)務(wù)損失和嚴(yán)重的安全隱患。

另一個(gè)常被忽視的領(lǐng)域是供應(yīng)鏈風(fēng)險(xiǎn)。我們看到攻擊者利用第三方供應(yīng)商和軟件更新進(jìn)行攻擊，因?yàn)樗麄冎肋@些途徑通?？刂戚^弱，且能同時(shí)影響多個(gè)組織。此外，AI驅(qū)動(dòng)的攻擊正迅速發(fā)展，深度偽造、語(yǔ)音釣魚(yú)和極具說(shuō)服力的社會(huì)工程活動(dòng)越來(lái)越難以識(shí)別。

在我看來(lái)，OT和供應(yīng)鏈攻擊是潛在的致命威脅。大多數(shù)團(tuán)隊(duì)在生產(chǎn)停止或信任破裂之前都低估了它們?，F(xiàn)在是采取行動(dòng)的時(shí)候了：在IT和OT環(huán)境中全面采用零信任原則，加強(qiáng)供應(yīng)商風(fēng)險(xiǎn)管理，并在企業(yè)各個(gè)層面構(gòu)建韌性。

如果您要為一位正在制定三年路線(xiàn)圖的CISO提供建議，您的首要三項(xiàng)重點(diǎn)會(huì)是什么?

我會(huì)關(guān)注三個(gè)能產(chǎn)生重大影響的核心重點(diǎn)。

首先，識(shí)別并優(yōu)先保護(hù)組織最關(guān)鍵的資產(chǎn)，包括OT和ICS環(huán)境以及供應(yīng)鏈依賴(lài)關(guān)系。安全投資應(yīng)與這些風(fēng)險(xiǎn)相匹配。策略往往一開(kāi)始就購(gòu)買(mǎi)工具，而非評(píng)估風(fēng)險(xiǎn)，這是一個(gè)錯(cuò)誤。

零信任原則必須同時(shí)應(yīng)用于IT和OT環(huán)境。在食品制造等行業(yè)，保護(hù)OT與保護(hù)數(shù)據(jù)同樣重要。資產(chǎn)可見(jiàn)性、網(wǎng)絡(luò)分段、安全遠(yuǎn)程訪(fǎng)問(wèn)、身份驗(yàn)證和持續(xù)監(jiān)控等核心能力必須被視為必要組成部分。

雖然監(jiān)管合規(guī)是必要的，但在面對(duì)實(shí)際網(wǎng)絡(luò)事件時(shí)，合規(guī)并不足以保護(hù)企業(yè)。當(dāng)出現(xiàn)問(wèn)題時(shí)，合規(guī)不會(huì)拯救你。組織必須制定并定期測(cè)試事件響應(yīng)計(jì)劃，確保業(yè)務(wù)連續(xù)性措施，并培養(yǎng)安全文化。技術(shù)總會(huì)有失敗的時(shí)候，而快速檢測(cè)、響應(yīng)和恢復(fù)的能力才是維持業(yè)務(wù)運(yùn)營(yíng)的關(guān)鍵。

簡(jiǎn)而言之，有效的網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)從風(fēng)險(xiǎn)對(duì)齊開(kāi)始，將零信任原則融入IT和OT，并強(qiáng)調(diào)超越監(jiān)管合規(guī)的韌性。網(wǎng)絡(luò)安全不僅是一項(xiàng)防御措施，更是維持業(yè)務(wù)運(yùn)營(yíng)的基礎(chǔ)。