在访谈中,Ornua公司的CISO Adnan Ahmed探讨了企业如何制定与业务目标相契合的网络安全战略。他解释了为何许多公司在未充分理解风险的情况下就盲目聚焦技术,最终导致失败,并分享了将网络安全融入企业各个层面以增强韧性的方法。
Ahmed还概述了成熟的路线图应如何将零信任原则、运营韧性以及安全文化融入IT和OT环境。
如今,当谈及网络安全战略时,大多数组织从一开始就犯了哪些错误?
在我看来,组织所犯的最大错误是,一开始就以技术为切入点开展网络安全工作,而非优先考虑风险与业务的一致性。网络安全常被误解为一个技术问题,而实际上它是一项业务风险管理职能。若早期未能建立这种联系,往往会导致决策碎片化,高层参与度有限。
有效的网络安全战略应从一开始就融入业务目标。这需要识别企业的关键资产,评估潜在威胁和动机,并评估资产受损可能带来的影响,然而,CISO们往往直接跳入采购网络安全工具的环节,而未解决上述问题。
另一个常见的不足在于人员和文化方面。人为错误仍是网络攻击的主要途径,然而组织在分配资源时却过度侧重于技术,而忽视了员工的安全意识与培训。我常说,安全始于家庭,当员工了解如何保护自己和家人时,他们也会将这种意识带到工作中。
合规性虽为必要,但也是需主动考虑的另一要素。满足监管要求固然重要,但合规并不等同于韧性。攻击者并不关心你是否合规,他们只会寻找并利用漏洞。
在Ornua所处的食品制造等行业,忽视OT和工业控制系统(ICS)安全会带来巨大风险。全面的纵深防御策略必须同时涵盖IT和OT。
最后,不要忘记第三方风险和事件响应。随着供应链攻击的增加,公司必须评估供应商的安全状况。事件响应计划必须经过实际测试,并包含业务连续性和灾难恢复条款。关键在于,当事件发生时,计划必须经过检验,而不仅仅是纸上谈兵。
简而言之,从风险出发,构建安全文化,保障OT安全,管理供应商,并做好最坏打算。成功取决于跨职能协作、遵循零信任原则,以及将安全视为业务推动力而非障碍的文化。
随着时间的推移,您对战略的看法是否发生了变化?如果是,是什么推动了这种变化?
是的,多年来我的想法已经发生了变化。刚开始时,我的重点是保护IT系统和孤立地降低风险。当时,这并未与更广泛的业务目标相联系,而这是我当时没有意识到的差距。
有两件事改变了我的看法。首先,威胁态势发生了巨大变化。如今的网络安全攻击针对的是OT和ICS。在食品制造行业,这些系统控制着生产线、制冷和安全流程。这些领域的网络事件不仅会导致数据丢失,还可能扰乱生产,甚至危及食品安全,带来更为复杂的风险。
其次,我逐渐明白,网络安全不能孤立运作。它必须支持和促进业务运营和增长。如今,我的方法是基于风险的,与我们的业务优先级保持一致,同时仍以零信任原则为基础。我们专注于韧性,而不仅仅是合规,OT安全是该战略的核心支柱。最终,保护这些环境对于维持业务运营和确保消费者安全至关重要。
安全领导者将网络安全战略与核心业务目标相连接的最有效方式是什么?
根据我的经验,将网络安全与业务目标相一致的最有效方式是使用业务语言进行沟通。安全领导者常常直接使用技术术语,如防火墙、补丁、多因素身份验证(MFA)、加密等,但这些并非高管们关注的重点。他们关心的是保持业务运营、保护收入和维护声誉。
将网络安全定位为业务推动力,而非成本,这一点很重要。例如,不要说“我们需要MFA”,而是解释MFA如何有助于降低欺诈风险并保护客户信任,这直接影响品牌价值。我还将安全指标与业务KPI相联系,如生产系统的正常运行时间或评估供应商的网络安全状况以加强供应链韧性并满足监管要求。
归根结底,关键在于安全如何保护最重要的东西:运营、收入和声誉。当你运用这种理解时,网络安全就会成为业务对话的一部分,而不仅仅是一个IT项目。
您认为目前哪些新兴威胁被低估了?团队应如何做好准备?
目前网络安全领域被低估的一大威胁是IT和OT环境的融合。在食品制造等行业,攻击者不再仅仅瞄准企业网络,而是将目标转向OT和工业控制系统。勒索软件攻击若导致生产停滞或制冷中断,不仅会造成不便,还会带来巨大的财务损失和严重的安全隐患。
另一个常被忽视的领域是供应链风险。我们看到攻击者利用第三方供应商和软件更新进行攻击,因为他们知道这些途径通常控制较弱,且能同时影响多个组织。此外,AI驱动的攻击正迅速发展,深度伪造、语音钓鱼和极具说服力的社会工程活动越来越难以识别。
在我看来,OT和供应链攻击是潜在的致命威胁。大多数团队在生产停止或信任破裂之前都低估了它们。现在是采取行动的时候了:在IT和OT环境中全面采用零信任原则,加强供应商风险管理,并在企业各个层面构建韧性。
如果您要为一位正在制定三年路线图的CISO提供建议,您的首要三项重点会是什么?
我会关注三个能产生重大影响的核心重点。
首先,识别并优先保护组织最关键的资产,包括OT和ICS环境以及供应链依赖关系。安全投资应与这些风险相匹配。策略往往一开始就购买工具,而非评估风险,这是一个错误。
零信任原则必须同时应用于IT和OT环境。在食品制造等行业,保护OT与保护数据同样重要。资产可见性、网络分段、安全远程访问、身份验证和持续监控等核心能力必须被视为必要组成部分。
虽然监管合规是必要的,但在面对实际网络事件时,合规并不足以保护企业。当出现问题时,合规不会拯救你。组织必须制定并定期测试事件响应计划,确保业务连续性措施,并培养安全文化。技术总会有失败的时候,而快速检测、响应和恢复的能力才是维持业务运营的关键。
简而言之,有效的网络安全战略应从风险对齐开始,将零信任原则融入IT和OT,并强调超越监管合规的韧性。网络安全不仅是一项防御措施,更是维持业务运营的基础。
