CSO必须知道的四个关键问题和三个高优先级任务

一位合格的CSO应当能够轻松回答以下四个问题：

• 我们的安全程度和网络风险暴露的程度有多高？ 要回答这个问题，您需要全方位了解组织的受攻击面，包括云资源、容器、工业控制系统以及移动设备，不论其是否在 IT 部门管控范围之内。您需要盘点贵公司存在的特定威胁位于哪些地方。例如，如果您的组织特别勤于部署补丁，那么相较于七年都未给系统打过补丁的企业，最新的 Windows 漏洞于您而言可能算不上什么大问题。通过认识到您的风险源自何处或者可能源自何处，您将可以从整体上了解哪些资产暴露于风险之中。
• 我们应该优先处理哪些事项？要回答这个问题，您需要结合威胁情报与资产关键性，了解漏洞的可利用价值，以及资产所处的业务环境。您需要将业务环境考虑在内，才能高效地确定响应漏洞的优先顺序，进而优化您的工作、资源和预算。而这将让您可以专注于保护可能会在劳动力、惩罚、时间、恢复和声誉方面对您组织构成重大影响的薄弱环节。此外它还可以帮助减少警报疲劳，因为您可以根据受影响资产对您业务的重要性以及特定漏洞被恶意利用的可能性，确定您团队响应漏洞的优先顺序。
• 我们如何逐渐减少暴露风险？您的答案将体现出您在减少暴露风险方面的工作进展。您需要确定用于衡量您工作的指标和 KPI。此类指标应当可以按照业务单元、地理区域和资产类型进行查看。其目标是了解您的暴露风险情况如何逐月、逐季度和逐年变化，让您可以帮助您业务方面的同事以及高管了解公司在网络安全上作的投资是否收到回报。
• 我们与同行业者相较如何？要回答此问题，您需要跳出公司的内部圈子，去了解您的网络安全实践相较于业内的其他公司以及其他行业的公司孰优孰劣。您的组织相较于同行以及业内最佳安全组织如何，对于每一个希望开展更具战略性的讨论的董事会而言都是一个非常重要的话题，并且可以帮助确保董事会大力支持他们委托的高管人员为公司提供适当的风险监督。网络风险与其他业务风险并没有什么区别，因此应当以相同的方式进行管理和衡量。

能否准确回答这四个问题对于理解总风险暴露以及您所采取的网络安全措施的有效性至关重要。但如果您面临的是一个分隔化严重的 IT 基础架构，那么要制定一个更加全面的策略，您可能连从哪里着手都弄不清楚。

您可以立即实施的三种网络安全实践

以下是三种非常实用的小技巧，您可以现学现用，帮助开启自己的全面网络安全策略之旅。

1. 1. 从钓鱼攻击到漏网之鱼，深入全面地了解漏洞。下一种攻击可能源自未知且意想不到的方向。臭名昭著的赌场鱼缸黑客攻击就是一个非常典型的例子，黑客通过鱼缸中的联网传感器从一家赌场窃取了 10 GB 的数据。事实上，IoT 设备数量的迅速增长也为不法分子入侵创造了大量机会，因此安全团队需要不断更新他们的漏洞列表。但是 IoT 设备并非唯一需要照亮并加强防范的隐藏角落。切不可忘记云服务和云环境、容器、视频监控系统、工业控制设备、零售终端装置、暖通空调系统，以及通常并非由 IT/SecOps 团队处理的其他联网系统。例如，在九月份，Tenable 研究人员披露了他们发现的新漏洞 Peekaboo，这种漏洞会潜在影响视频监控系统中使用的成千上万的联网摄像头。确保您的安全团队做到真正的全面兼顾，并配备能够及时察觉出现在新地方的漏洞的专业工具。
   2. 并非所有资产生而平等。非常有必要了解哪些资产对于您的企业最为关键，以便有的放矢、强而有力的应对威胁。相比于前台使用的用于登记访客的 iPad，公司首席财务官使用的 iPad 可能是价值更高的入侵目标。确保将最关键的资产摆在首要位置。立即着手确定每一项资产的关键性，并依照响应时间对其重要性进行排名。然后定期更新此信息。根据关键性构建资产库的一种好方法便是为资产添加标签。记得要在资产关键性评估过程中考量合规要求，例如 GDPR、HIPAA 和 PCI。
   3. 确定修复优先顺序。实际上在每年披露的数以千计的漏洞中，只有一小部分会被恶意利用。您需要知道在通常环境中哪些漏洞正被恶意利用，以及有关在不远的将来可能遭到攻击的对象的早期预警。掌握这类信息有助于安全团队根据资产关键性、威胁情报和概率分析，确定威胁响应的优先顺序。