首席信息安全官依然会犯的漏洞管理错误
发布时间:2022-09-02 09:22:01 所属栏目:安全 来源:互联网
导读:多起数据泄露事件都可以追溯到未修补的漏洞,其中包括2017年信用报告机构Equifax公司的大规模数据泄露事件。Tripwire公司在2019年的一项研究发现,27%的违规事件是由未修补的漏洞引起的,而Ponemon公司在2018年开展的一项研究表明这一数字高达60%。 1.未能
|
多起数据泄露事件都可以追溯到未修补的漏洞,其中包括2017年信用报告机构Equifax公司的大规模数据泄露事件。Tripwire公司在2019年的一项研究发现,27%的违规事件是由未修补的漏洞引起的,而Ponemon公司在2018年开展的一项研究表明这一数字高达60%。 1.未能获得企业高管支持 良好的漏洞管理计划所需的工作远远超出了安全团队的范围。风险决策需要企业管理层的投入,修补漏洞需要IT专业知识,计划的更新停机时间会影响多个业务功能。 因此,首席信息安全官需要企业中多个参与者的支持才能很好地完成这项任务,托管服务提供商Thrive公司首席技术官Michael Gray表示,当首席信息安全官得到企业高层领导的支持时,他们更有可能获得成功。 另一方面,缺乏企业高管层对其漏洞管理工作的支持的首席信息安全官可能会因对可接受的风险缺乏明确性以及IT和业务部门对安排修补和系统停机时间的反对而受阻。 但也有一些好消息,Gray和其他人表示,随着网络安全已成为企业董事会的关注点,首席信息安全官越来越多地发现他们需要高管的支持。研究机构Gartner公司的数据证实了这一趋势,该公司在2021年的调查发现,88%的企业董事会现在将网络安全视为一种业务风险。 2.没有培养共同的责任感 Under Armour公司首席信息安全官Alex Attumalil说,“首席信息安全官不应全部承担漏洞管理的责任或风险。” 首席信息安全官并不拥有他们支持的系统或业务功能,也无权单独确定企业是否愿意接受任何特定风险。  3.使用通用风险优先级 Pulse公司最近为安全供应商Vulcan Cyber公司进行的一项研究表明,在200多名做出响应的企业IT和安全主管中,绝大多数都没有根据其企业自身独特的风险状况对漏洞进行优先级排序。更具体地说,该研究表明,86%的受访者表示将依赖第三方漏洞严重性数据来确定漏洞的优先级,70%的人还使用第三方威胁情报。 资深安全领导人警告不要采用这种方法,称这可能会让首席信息安全官及其团队将有限的资源集中在错误的威胁上。 KLC咨询公司为美国国防承包商提供网络安全建议和vCISO服务,其总裁兼首席信息安全官Kyle Lai建议采用不同的方法。他表示,首席信息安全官及其团队必须了解企业自身的技术环境,并拥有最新的资产清单,他们必须了解企业的风险偏好和风险承受能力,以便他们能够识别对自己企业的最大威胁,并优先消除这些威胁。 他说,“他们应该了解特定威胁可能产生的影响有多大,应该知道哪些威胁更严重。并且根据对自己所在企业的影响来确定优先顺序。” (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号