<
>

我们可以消除网络安全中的人为因素吗?专家小组在CSA圆桌会议上讨论

C级网络安全圆桌会议 CSA上周与IBM和马来西亚Cyber​​Security共同组织了会议,马来西亚商业决策者和IT领导人参加了会议,取得了一定的成功。在每位受邀演讲者致开幕词和演讲后,小组讨论随后由AOPG集团出版商Andrew Martin主持。

小组成员包括马来西亚网络安全部网络安全行业合作负责人Mohamed Anwer Bin Mohamed Yusoff&合作中,Nozomi Networks的区域销售总监Vincent Liu和LifeTech Net的业务总监Evan Loh。
当天讨论的重点是在技术威胁和与人相关的威胁之间取得平衡。为了开始一个小时的会议,安德鲁·马丁(Andrew Martin)强调了一个事实,即人们通常被认为是网络安全中最薄弱的环节。

不过,他补充说,某些机构,例如英国国家网络安全中心,一直在试图摆脱人类作为链条中最薄弱环节的想法,而是专注于“解决诸如IT设备老化之类的潜在问题” 。

然后,他向小组成员以及出席的有尊严的客人们提出了问题。 “这是一个人的问题吗?是您最大的担忧是人吗?或者实际上是诸如遗留IT基础架构之类的事情?”

来自马来西亚网络安全局的Anwer认为,尽管人们现在越来越依赖于技术,但是无论我们是否喜欢技术,人为因素始终存在。实际上,他表示,绝大多数网络安全问题都归因于人为因素,因此,这是需要解决的问题。他在致开幕词时重申了自己的几点看法。没有解决网络安全难题的灵丹妙药,而采取的是一种涉及人员,流程和技术的整体方法。

在技​​术方面,来自Nozomi Networks的Vincent说,现在情况已经改善到了这样的程度:像IBM这样的公司可以提供可以监视系统的解决方案,并通过预测分析提供比以往任何时候都更深刻的见解。例如,当IT / OT系统甚至ICS的行为方式异常时,解决方案可以确定更改是否归因于系统性能下降,即将发生故障的迹象或系统是否受到攻击。

这是消除(或至少减少)人为因素的一种方法,尤其是在系统变得更加复杂且网络攻击的风险不断升级的情况下。 “依靠诸如AI或机器学习之类的技术,对于了解业务本身至关重要。当您查看预测时,不仅要保持正常运行时间。这也关系到即时的投资回报。”

小组的第三位成员,来自LifeTech Net的Evan同意将AI等先进技术作为运营的一部分是有益的,但是,“归根结底,我们仍然需要重新关注人们。我们需要自上而下地建立网络安全文化。”他说。

他列举了成功的例子 商业电子邮件泄露(BEC) 专门针对组织内特定个人(尤其是具有高级职位的个人)的攻击。为了应对此类威胁,TechLife Net正在与公司内的C级高管合作,以帮助他们建立流程和框架,以便他们可以更好地了解网络安全及其对业务的影响。

他解释说:“网络安全可能会造成破坏,因此他们需要知道如何将其纳入整个业务框架,以便使其成为整个业务结构的一部分。”从那里开始,对高层管理人员的网络安全的更加重视将渗入组织内的其他员工,成为其企业文化的一部分。

进行正确的网络安全投资
为了了解马来西亚公司所面临的问题,安德鲁然后要求圆桌会议的参加者列举他们最大的单一网络安全问题,答案由通常的犯罪嫌疑人组成–我们通常在CSA的自己的网页中介绍这些威胁。 Cenviro Sdn Bhd的IT主管Charles Nathan认为垃圾邮件是他最大的担忧。 AQM Concept集团首席执行官Aggie Lee提到了保护客户数据的安全。对于Tradewinds Travel Services的IT主管Mazrul Mansor而言,这是欺诈性电子邮件和恶意电子邮件的危险,而对于MMC Gamuda KVMRT的IT主管R Jayachandran Pillai则是恶意软件和勒索软件的普遍存在。

尽管许多组织为减少网络风险投入了大量资金,但Anwer认为,对他们评估安全投资的回报很重要。他建议组织绝对应该在董事会级别上进行这些讨论,例如通过报告某些与安全相关的KPI,例如董事会会议期间发生的安全事件的数量和严重性。

他推测,就像许多国家/地区已经发生的事情一样,高层人员要对涉及马来西亚企业的网络安全漏洞负责,这只是时间问题。到目前为止,尽管近年来报告了一些非常引人注目的案件,但这种情况尚未发生。 “这些是我们现任政府提出的问题。他说:“必须采取积极措施防止网络破坏。”

因此,马来西亚网络安全局正试图将对话的重点从网络安全性转移到数字安全性更广泛的话题。 “我们需要考虑更大的范围。我们需要研究数字安全以及更具包容性的政策,而不仅仅是谈论CNII(关键国家信息基础架构)或电信公司,银行和金融部门。”

Tenaga Nasional Berhad网络威胁情报的IT高级经理Azril Rahim向小组提出了一个问题,即马来西亚组织在面对如此多变和多变的网络威胁形势时应做出的战略和投资类型,以及是否公司应开始更多地研究数据驱动和分析型网络安全方法。

Vincent Liu分享了他的经验,可以肯定的是,“如果他们(网络威胁参与者)想要进入您的系统,他们就可以进入您的系统”。因此,公司过度花钱试图减轻那里的每一个威胁都是不可行的。每个安全运营中心的重点领域都是唯一的,因此他建议每个组织进行自己的威胁建模,以确定对其系统的最大风险。

他说:“这将帮助他们形成他们想要花费精力的基线。”他补充说,当今许多安全方法的最大问题是,它的设计像鸡蛋一样,在外面很难,在外面很难里面。 “一旦他们进入,他们很容易遍历,四处移动并提升特权。”

他的建议是,公司需要知道他们最重要的数字资产或“皇冠上的宝石”在哪里,并分配更多的资源来保护那些一旦发生网络漏洞将受到最大影响的区域。他说:“违规行为将会发生。”他补充说,至关重要的是拥有正确的危机管理部门,以快速有效地应对。

灌输网络安全文化
与会者,主题景点IT主管Albert Tan&Resorts Sdn Bhd和CIMB的高级经理Sina Manavi问道,最有效和创新的方法是教育用户(尤其是不懂技术的用户)以建立对网络安全的意识以及评估有效性的方法。这样的用户培训方法。

尽管提高意识计划是必不可少的,但埃文(Evan)指出,课堂培训可能很无聊,此外,他们进行的培训很少,而且很容易忘记。为了加深了解,Evan建议公司应尝试进行模拟攻击,以使用户体验实际攻击可能带来的后果。一致性是关键,最终目标应该是强调和发展强大的网络安全文化。

IBM马来西亚云部门总经理Serene Lee同意了小组成员的看法,她认为IBM本身在全球范围内拥有超过30万名员工,但并不是所有人都是技术员工。 “我们所做的 我们会不断提醒员工,无论他们的工作范围是一年一次还是两年一次,他们都必须接受安全培训证书。我们的IT部门还对随机选择的用户进行了大量内部测试,我们教会用户识别和分类我们的机密信息,以确保他们的安全。我们非常非常重视安全问题,”她解释说。

作为总结,安德鲁总结说,谈到网络安全时,它通常归结为保护组织最有价值的资产,即数据。他同意Sarene的评论,并补充说,公司仍然存在的基本问题之一不是技术问题,而是“让用户知道哪些数据比其他数据更有价值”。

他还重申了文森特的观点,他说危机管理也很关键,因为统计数据表明大多数公司都没有考虑过自己的危机管理计划是什么。制定危机管理和网络恢复计划可以帮助他们更充分地准备在事情出现问题时确切地知道他们需要做什么。

最后但并非最不重要的一点是,安德鲁说安全不再是IT问题。 “您需要组织各个部门的支持。 IT部门可以做一些防御工作,但您需要执行人员级别的支持,需要人力资源支持来进行培训,还需要高层人员来了解风险级别。网络安全是整个组织范围内的一个总问题”。
 

你可能还喜欢
最多评论
分享我们的想法

0 Comment 登录 要么 寄存器 发表评论