有兩種CISO：入侵前和入侵后。入侵前的CISOs過于關(guān)注工具，并考慮投資于預(yù)防技術(shù)。在這樣做的時候，他們幾乎沒有考慮一旦發(fā)生了不好的事情，恢復(fù)和及時恢復(fù)服務(wù)的問題。不好的事情會發(fā)生；這不是是否的問題，而是何時的問題(以及多久一次，所以“入侵節(jié)奏”似乎比入侵可能性更適合KPI)。

安全漏洞如何加強CISO的能力

“不是如果，而是何時”的口頭禪，現(xiàn)在比以往任何時候都更需要在我們的風險管理思想中根深蒂固。另一方面，入侵后的CISO明白(通常被公平地認為是“來之不易的經(jīng)驗”)，人員和流程要重要得多。在事故應(yīng)對情況下，“全員出動”更多的是一種責任，而不是一種好處。有人可能試圖幫助驅(qū)逐入侵者，但實際上是在銷毀證據(jù)或破壞監(jiān)護鏈，以防案件進一步提起刑事訴訟。

這種對入侵前和入侵后CISO的簡單二分法揭示了每個行業(yè)和各種形狀和規(guī)模的公司在安全計劃的視角、優(yōu)先順序和準備方面的重要差異。突破會讓您的企業(yè)變得更強大。

Mike Wilkes很幸運地在2021年拉斯維加斯的Black Hat和相應(yīng)的Black Hat CISO峰會上發(fā)表了演講。會議題為“執(zhí)行(dis)命令：會議室中的認知和系統(tǒng)性風險”，而且出席人數(shù)和反響都很好，因為很多與會者后來要求復(fù)印一份會議記錄。

雖然這段錄音目前還沒有提供，但去年12月，ActualTech Media發(fā)布了一段錄音。這個演示包含了這篇文章的思想種子，因為它圍繞著識別影響安全項目治理的認知風險。它還包括一節(jié)關(guān)于作為復(fù)雜系統(tǒng)的突現(xiàn)屬性的系統(tǒng)性風險的性質(zhì)。

系統(tǒng)風險需要更多的關(guān)注(懷疑不久的將來會有另一篇關(guān)于這個主題的博客文章)，特別是當我們開始看到更多的“安全混亂工程”進入CISO社區(qū)關(guān)于風險管理的討論時。

黑帽是自COVID - 19封鎖以來第一個“外出任務(wù)”。在那里，CISO鮑勃·洛德(Bob Lord)做了一場題為“如何在簡歷中加入漏洞并活下來講述故事”的演講，這非常有見地，極大地促進了我們對韌性本質(zhì)的思考，以及我們應(yīng)該如何接受失敗而不是害怕失敗。

為什么首席信息官應(yīng)該接受網(wǎng)絡(luò)入侵

Bob Lord對入侵事件略知一二，因為他不僅是DNC的第一位安全官員，而且還成為雅虎的CISO！2015年11月，他在雅虎的工作！涉及披露2013年和2014年發(fā)生的一些歷史上最大的入侵事件。

其中他的演講的是他創(chuàng)建的事件響應(yīng)時間表，其中包括通常沒有記錄或正式承認的事件響應(yīng)生命周期的一部分：監(jiān)管機構(gòu)、網(wǎng)絡(luò)保險公司、董事會和幾乎每一位紙上談兵的批評者對CISO以及他們在事件或入侵事件發(fā)生前所做的工作進行反思的時刻。

有第一個“攻擊”，即當惡意攻擊者以某種方式破壞或危害您的基礎(chǔ)設(shè)施時。但還有第二次“攻擊”，CISO往往無法幸免。在一個被排除在大多數(shù)D&O(董事和高級管理人員)責任保險范圍之外的職業(yè)中工作是非常令人沮喪的，在這種職業(yè)中，主要的操作模式是將CISO引入迎面而來的是底部，而不管他們的安全計劃的力度有多大。允許這種模式繼續(xù)下去是危險的。

每次的泄密事件是一次極其寶貴的經(jīng)歷。一個“久經(jīng)沙場”的CISO應(yīng)該更值得珍視和重視。但相反，人們發(fā)現(xiàn)了充分的證據(jù)表明，違反CISO規(guī)定的繼任者是獲得加薪的人(無論是否應(yīng)得)。

幾年前在紐約的一次信息安全會議上，一名CISO講述了一個故事，某人(而不是他們)在一家大公司工作，年薪80萬美元，但實際上在安全程序本身上花費了寶貴的幾美元，然后發(fā)生了勒索軟件事件。

“砰！”就像軍隊里說的那樣?！白髠?cè)的砰”是導(dǎo)致事故或破壞的事件，而“右邊的砰”是事件和里程碑之后發(fā)生的時間線的一部分。

結(jié)果是CISO被解雇了，新的CISO得到了120萬美元的報酬。安全計劃預(yù)算與該行業(yè)的行業(yè)基準“協(xié)調(diào)”，約占IT總支出的5%。與支付贖金、增加安全預(yù)算并將CISO的補償提高到此類組織的市場費率相比，使用合理的安全計劃預(yù)算來保護組織會更便宜。

在網(wǎng)絡(luò)安全方面采取“反脆弱”方法

一個學習武術(shù)的朋友提到了納西姆·尼古拉斯·塔勒布的《反脆弱》一書。這本書的主題之一是，脆弱的系統(tǒng)和脆弱的事物在受到壓力和壓力時很容易崩潰。例如，骨骼可以通過施加壓力和外力來改善和硬化。他們天生就能承受壓力和沖擊。

因此，反脆弱性也許是我們想要更好地理解的屬性，以建立可靠和健壯的系統(tǒng)。系統(tǒng)實際上可以從波動性和隨機攻擊中受益。當然，反脆弱系統(tǒng)是用反脆弱組件構(gòu)建的。穩(wěn)健和抗脆弱系統(tǒng)是指那些在教育和心理學意義上表現(xiàn)出彈性的系統(tǒng)，而不是與延展性強度和拉伸性能相關(guān)的機械工程意義上的系統(tǒng)。

當云基礎(chǔ)設(shè)施受到攻擊時，我們不只是想將其恢復(fù)到以前的形狀，只是恢復(fù)先前存在的功能和特性。相反，我們希望看到基礎(chǔ)設(shè)施因奧運會而得到改善和轉(zhuǎn)變，并變得更好。從這個意義上講，網(wǎng)絡(luò)彈性意味著適應(yīng)。它說明了系統(tǒng)的模塊化特性，允許我們以新的方式組合其元素，而無需太多額外的工作和費用。一個設(shè)計良好的云基礎(chǔ)設(shè)施應(yīng)該展示成功地幫助它優(yōu)雅地失敗的設(shè)計原則，而不是在出現(xiàn)故障時“一眨眼就消失了”。這只是“殺不死你的只會讓你更強大”這句格言的一個方面。

這里有一些設(shè)計原則，感覺它們應(yīng)該在現(xiàn)代信息安全程序中找到:

容錯，健壯，適應(yīng)性強

可擴展，彈性，自愈

分段/孤立的環(huán)境

改進和降低復(fù)雜性

優(yōu)雅地降級而不是完全失敗

原子、簡單、模塊化的組件

緊密集成和松散耦合

深度保障安全

堅持最小特權(quán)原則

值得信賴的設(shè)計，而不僅僅是認證或認證

CISO如何從網(wǎng)絡(luò)入侵中走出來

總之，請允許我鼓勵你和你的同行們從失敗中尋找力量。當你經(jīng)歷了一次安全事件或漏洞時，你的勇氣已經(jīng)受到了考驗。不要羞于講述這個故事，用它來帶來你應(yīng)得的尊重和莊嚴。別人不會把這賜予你;你得把它賜予自己。有了這次入侵，你實際上已經(jīng)通過跨越“入侵后”ciso社區(qū)提升了你的形象。

就拿約翰·西蒙尼為例吧。他目前是戴爾技術(shù)公司的首席安全官。他手下有60個首席信息官。2019年，我在舊金山RSA的CISO訓練營遇到了他。在會上，他談到了在戴爾擁有和運營的眾多組織(包括RSA)中尋找信息安全人才所面臨的挑戰(zhàn)。他還提到，2014年11月索尼遭到朝鮮黑客攻擊時，他在索尼擔任全球首席信息技術(shù)官(值得注意的是，他只擔任了兩個月)。因此，破裂后還有生活，你應(yīng)該弄清楚如何最好地把它寫進簡歷，并圍繞為什么這件事讓你變得更強大，寫出一篇扎實(真實)的敘述。

SecurityScorecard可以幫助您從網(wǎng)絡(luò)事件中前進

如果您有興趣了解您和您的企業(yè)如何更好地準備和響應(yīng)網(wǎng)絡(luò)攻擊，SecurityScorecard的事件響應(yīng)解決方案使CISO能夠在發(fā)生攻擊時立即采取行動補救事件并降低風險。

今日推薦

網(wǎng)絡(luò)安全評級

虹科網(wǎng)絡(luò)安全評級是一個安全評級平臺，使企業(yè)能夠以非侵入性和由外而內(nèi)的方式，對全球任何公司的安全風險進行即時評級、了解和持續(xù)監(jiān)測。獲得C、D或F評級的公司被入侵或面臨合規(guī)處罰的可能性比獲得A或B評級的公司高5倍。虹科網(wǎng)絡(luò)安全評級對企業(yè)的安全狀況以及任何組織的安全系統(tǒng)中所有供應(yīng)商和合作伙伴的網(wǎng)絡(luò)健康狀況提供即時可見性。

該平臺使用可信的商業(yè)和開源威脅源以及非侵入性的數(shù)據(jù)收集方法，對全球成千上萬的組織的安全態(tài)勢進行定量評估和持續(xù)監(jiān)測。網(wǎng)絡(luò)安全評級提供十個不同風險因素評分的詳細報告：

• 應(yīng)用安全
• 端點安全
• CUBIT評分
• DNS健康
• 黑客通訊
• IP信譽
• 信息泄露
• 網(wǎng)絡(luò)安全
• 修補頻率
• 社會工程

虹科網(wǎng)絡(luò)安全評級為各行各業(yè)的大小型企業(yè)提供最準確、最透明、最全面的安全風險評級。

虹科是在各細分專業(yè)技術(shù)領(lǐng)域內(nèi)的資源整合及技術(shù)服務(wù)落地供應(yīng)商。虹科網(wǎng)絡(luò)安全事業(yè)部的宗旨是：讓網(wǎng)絡(luò)安全更簡單！憑借深厚的行業(yè)經(jīng)驗和技術(shù)積累，近幾年來與世界行業(yè)內(nèi)頂級供應(yīng)商Morphisec，DataLocker，Allegro，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了緊密的合作關(guān)系。我們的解決方案包括網(wǎng)絡(luò)全流量監(jiān)控，數(shù)據(jù)安全，終端安全（動態(tài)防御），網(wǎng)絡(luò)安全評級，網(wǎng)絡(luò)仿真，物聯(lián)網(wǎng)設(shè)備漏洞掃描，安全網(wǎng)絡(luò)時間同步等行業(yè)領(lǐng)先解決方案。虹科的工程師積極參與國內(nèi)外專業(yè)協(xié)會和聯(lián)盟的活動，重視技術(shù)培訓和積累。

此外，我們積極參與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、中國通信企業(yè)協(xié)會等行業(yè)協(xié)會的工作，為推廣先進技術(shù)的普及做出了重要貢獻。我們在不斷創(chuàng)新和實踐中總結(jié)可持續(xù)和可信賴的方案，堅持與客戶一起思考，從工程師角度發(fā)現(xiàn)問題，解決問題，為客戶提供完美的解決方案。