一、 CISO的困境
确切来说,除了踏实的专业基础与实践外,CISO的工作主要是与人打交道,向领导汇报工作、争取预算与资源;向下属下达意见、统筹指挥;应对威胁背后的攻击者……这意味着,他们不仅技术能力要过关,还要会处理复杂的业务与人际关系。可以说,现代的CISO就像外交官一样,他们的斡旋与决策决定着整个团队或企业的安全防御水平。而随着网络威胁不断增加、网络安全问题真正影响到企业业务,CISO面临的压力也逐渐增大。
1. 入侵事件难以避免又无法预见,确保安全需要平衡多方资源
大部分CISO表示他们没有足够的资源来防范威胁、保护企业安全,其中最短缺的是人才。人手不足会导致安全效率降低。被调查者普遍反映网络中存在约70%已经发现的恶意软件,潜伏时间未知;有些恶意软件存在的时间可能超过一年。
近些年,人们逐渐达成共识,认为随着数字化进程加快,攻击面逐渐增多,安全事件的确难以避免,安全团队也无法将防护做到滴水不漏。哪怕一行代码出了问题就会引发大灾难。
超过60%的受访CISO确认曾经在公司的网络或设备中发现了潜伏的恶意软件;三分之一左右的受访者表示对公司的安全状况有清晰把握,且确认没有恶意软件潜伏;有将近9%的受访者对此表示不确定,这个结果不禁让人担忧。
在发现恶意软件的案例中,花费的平均时间为14天。其中有一小部分案例发现的周期超过三个月,甚至六个月。还有一位匿名者表示其团队发现威胁时,恶意软件已经存在长达400天的时间,超过了一年。相比之下,调查结果显示英国安全团队应急响应的效率比美国安全团队的效率低。他们发现威胁的平均周期大约是18天,比美国平均周期9.5天多出一倍。
这样的结果背后有两个主要诱因,首先就是网络威胁无孔不入,整体防御方案无法尽善尽美。另一方面,CISO认为资源的短缺也是造成安全防护效率不高的原因。57%的受访者表示所在企业的安全预算有限,63%的受访者认为人员调配是一大难题。其中最重要的是,企业缺乏对安全团队员工的有效管理。65%的受访者都认为这一点至关重要也最为匮乏。
如果按照预算、人力、技术和高级管理这四个维度具体区分,CISO对企业技术配备情况满意度较高,对于人力和高级管理的满意度较低。
2. 董事会对于安全认知不清,高管团队缺乏安全专家
调查显示,仅有一小部分董事会成员对网络有深入的了解。尽管CISO认为他们的工作很重要,但并没有很多人认可CISO的战略职能。 60%的CISO自信地认为董事会知晓入侵或泄露事件难以避免,但一旦此类事件发生,仍有三分之一的CISO会被解雇或受到处分。只有不到三分之一的人可以在CISO岗位上待满三年。
大部分CISO都期待董事会中至少有一个懂安全技术的成员,这样才能更好地开展业务。但是事实上,董事会中有安全专家的比例不到6%。还有30%的受访CISO承认其团队中连一个专家都没有。导致CISO常常觉得自己的与其他组织或团队脱节,也得不到合理的管理与指导。
52%的受访者表示董事会认可安全团队的价值,认为他们能保障利润和品牌声誉(美国的比例是44%;而英国的比例是60%)。
3. CISO很难让生活与工作分开,且常年处于压力之中
受访的CISO都觉得自己压力很大,91%的人表示他们承受着中等程度或严重压力,60%的人表示很难抽离工作。受访者中中有88%的CISO每周工作时间超过40小时。 四分之一的人认为这份工作对他们的身心健康以及个人和家庭关系产生了影响。 近17%的CISO正在用药物或酒精来缓解工作压力。
二、CISO的成就与挑战
思科刚刚发布的《2019CISO基准研究报告》显示,2018 — 2019年,CISO高度关注供应商之间的联合、与网络和安全团队之间的合作以及能够提升组织整体安全防护水平并减少风险的安全意识培训。此外,面对愈发复杂的安全环境,很多CISO都认为企业上云有助于更好地保护资产安全。
65%的受访者认为检测入侵、阻止入侵且缓解修复并非易事,用户、数据、设备、APP等带来的威胁无一不令人担忧。为了应对这些威胁,44%的受访者会加大投资安全防护技术;39%的受访者会针对原进行安全意识培训;39%的受访者则青睐风险缓解技术。调查结果显示,超过一半的受访者则通过各种手段成功将损失降低到50万美元以下。当然,需要注意的是,还有8%的受访者表示他们曾经历的安全风险造成过超过500万美元的损失。
这一年,CISO通过不断的整合与培训以及技术投入,成功降低了安全风险:
A. 从选择单个安全产品转向整合解决方案:2017年,使用10个或以下厂商安全产品的受访者有54%,而本次的比例则达到了63%;当下环境中很多厂商的解决方案并未整合,在威胁预警等方面无法体现时效性。因此,哪怕只使用了较少的单个安全产品,也可以通过企业整体安全架构进行合理的部署与整合,进而更好地管理安全预警与威胁情报;
B. 推进团队间紧密合作,减少损失:95%的受访者认为所在组织的安全团队与技术团队能高度且紧密地合作;这95%的受访者中,又有59%的人表示其所在团队因安全问题遭遇的损失在10万美元以下,与他人相比损失最小。
C. 关注基于云的安全解决方案,云安全未来可期:93%的受访者认为业务上云能提升效率;认为保护云设施存在困难的受访者比例从55%降低到52%;
D. 购买网络保险并推动风险评估与风险量表的普及,有助于选择合适的技术,并协助CISO专注于安全运营实践:40%的受访者全面或部分采用了网络保险,争取合理预算;
E. “网络信息疲劳”症从46%下降到30%
但同时,他们仍旧面临着大量挑战。
A. 尽管合理地使用AI和机器学习技术有助于威胁预警。但实际落地过程依旧曲折。机器学习的使用率从77%降低到了67%;AI的使用率从74%降低到了66%;自动化技术的使用率从83%降低到了75%。这意味着,新技术在安全领域的实际应用需要不断的磨合并经历争议。具体成效,有待检验;
B. 雇员/用户已经成为最大的安全挑战,安全意识培训必不可少。仅51%的受访者表示在员工入职、转岗或离职过程中有合理且完善的安全管理流程;
C. 邮件依旧是最大的攻击向量,邮件安全不容忽视。钓鱼与高风险用户行为是CISO最担忧的安全问题,连续三年所占比例都在56%—57%之间;
D. 告警管理与处置对于很多企业而言依旧是挑战。数据显示,对于告警的有效处理从50.5%下降到42.7%。花费大量时间监测用于评估安全效率的受访者比例从61%降低到51%。而补救时间作为另一种评估标准,从30%上升到48%。
三、 CISO将如何自我突破
策略选择
基于网络保险和风险评估、结合实用策略,衡量安全需求,并以此为参考,预估安全预算并指导采购、战略和管理决策;
参考并采用经过验证技术或方法,降低被入侵的风险。定期进行安全演练并提前部署一些安全产品,掌握有效的应急响应方法;
如果公司部门较多,推进IT部门、安全和风险/合规小组等多部门之间的沟通协作,才能更好地理解业务的基本安全需求,制定更合适的安全策略;
将威胁检测与访问保护相结合,以应对内部威胁,践行零信任原则;
通过网络钓鱼培训、多因素身份验证、垃圾邮件过滤机制和DMARC等方式防范电子邮件泄露,解决头号威胁。
缓解压力
心理专家认为,CISO这群人压力大的原因在于他们不仅要处理各种各样的安全威胁、保护公司安全,还在于安全本身与业务、技术之间存在冲突进而带来大量需要沟通、协调的问题。有时候,后者甚至比前者更让人心累。不被理解、不被重视、福利待遇与付出不成正比等问题还会影响到CISO的创造力与生产力,带来更多身心问题,造成恶性循环。
专家建议,要想缓解压力,可以从以下三点做起:
1. 心态积极,合理利用网络资源,寻找并使用合适的防护工具,提升效率;
2. 适当地与同事或家人倾诉压力;还可以从其他多个渠道获取支持;尽量不要保持沉默、憋在心里
3.酒精、暴饮暴食以及其他极端方式并非健康的解压之道,也非长久之计可以尝试通过体育锻炼等方式,保持身心健康。
当然,除了CISO,其他安全从业者其实也面临着不同的压力。希望大家都能健康顺利。毕竟,少了“你”,世界都会不安。