ถึงเวลาที่จะหยุดการวัดความปลอดภัยอย่างเด็ดขาด

COMMENTARY

บริบทและตัวชี้วัดที่เป็นแนวทางในการประเมินความเสี่ยงมีการเปลี่ยนแปลงอยู่ตลอดเวลา และความเข้าใจของเราเกี่ยวกับความก้าวหน้าของทีมรักษาความปลอดภัยก็เช่นกัน ไม่สามารถวัดทุกสิ่งได้ และเพียงเพราะคุณสามารถวัดได้ไม่ได้หมายความว่าสิ่งสำคัญ สิ่งนี้ทำให้ง่ายต่อการหลงลืมรายละเอียดและพลาดภาพรวม: เรากำลังปรับปรุงทิศทางหรือไม่?

ปัญหาส่วนใหญ่คือนโยบายความปลอดภัยมาตรฐานซึ่งมีจุดมุ่งหมายเพื่อความสมบูรณ์แบบในขณะที่มองข้ามเป้าหมายที่ทำได้ ในอุตสาหกรรมของเรา เรามีนโยบายที่ระบุว่า “ช่องโหว่ที่มีความเสี่ยงสูงทั้งหมดจะต้องได้รับการแก้ไขภายใน 10 วัน” หรือ “การเข้าถึงของผู้ใช้ทั้งหมดจะต้องได้รับการตรวจสอบทุกไตรมาส” สมมติฐานคือคุณจะมุ่งมั่นเพื่อ 100% โดยไม่มีการสนทนาว่าสิ่งนี้สามารถทำได้หรือไม่ และต้องใช้ทรัพยากรใดบ้างเพื่อให้บรรลุเป้าหมายนั้น

โดยปกติแล้วทีมรักษาความปลอดภัยจะบรรลุเป้าหมายนั้น 70% ของเวลา ซึ่งถือว่าล้มเหลว ทีมมักจะใช้ทรัพยากรจำนวนมากเกินไปเพื่อพยายามปิดช่องว่าง เช่น โดยจัดการกับช่องโหว่ที่สำคัญ 70% และเป้าหมายของนโยบาย 100% พวกเขาอาจลงเอยด้วยการใช้ทรัพยากรที่ตึงเครียดเพื่อมุ่งสู่ความสมบูรณ์แบบ เมื่อทรัพยากรเหล่านั้นสามารถนำไปใช้ที่อื่นได้ดีกว่า

ในฐานะอุตสาหกรรม เราจำเป็นต้องย้อนกลับไปประเมินนโยบายและตัวชี้วัดที่ขับเคลื่อนโปรแกรมของเราอีกครั้ง โดยตัดสินใจว่านโยบายและตัวชี้วัดเหล่านั้นเป็นไปตามความเป็นจริงหรือไม่ และถือเป็นการวัดผลที่ถูกต้องหรือไม่ ต่อไปนี้เป็นสามขั้นตอนในการดำเนินการเพื่อให้บรรลุเป้าหมายนี้

1. กำหนดความเสี่ยงของคุณ ความอยากอาหาร

เป็นไปไม่ได้ที่จะบรรลุความสมบูรณ์แบบในทุกด้านที่มีความเสี่ยง ทีมรักษาความปลอดภัยอาจลงเอยด้วยการตีตัวตุ่นและสูญเสียความสนใจไปที่ความเสี่ยงที่ละเอียดอ่อนกว่านี้ จำเป็นต้องมีการสนทนาระดับธุรกิจเพื่อกำหนดว่าจุดใดที่ความเสี่ยงด้านความปลอดภัยที่ใหญ่ที่สุดขององค์กรอยู่ที่ใด และจุดใดที่จะทุ่มเททรัพยากร ตลอดจนประเด็นที่ผู้บริหารรู้สึกสบายใจกับความเสี่ยงในระดับหนึ่ง ตัวอย่างเช่น ช่องโหว่ที่สำคัญ เช่น MOVEit อาจแสดงถึงความเสี่ยงที่ยอมรับได้ในพื้นที่หนึ่งของธุรกิจ แต่ไม่ใช่ในอีกพื้นที่หนึ่งที่มีระบบระดับเทียร์ 1 โดยมีค่าเผื่อผลกระทบต่อ CIA สามกลุ่ม การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน ดูว่าจุดอ่อนที่ใหญ่ที่สุดในอุตสาหกรรมของคุณอยู่ที่จุดใด และประเภทของการโจมตีที่มักกำหนดเป้าหมายไปที่ธุรกิจในพื้นที่ของคุณเพื่อทำการประเมินความเสี่ยง

2. ตั้งเป้าหมายที่ยืดหยุ่นและบรรลุได้

ขั้นตอนต่อไปคือการกำหนดนโยบายความปลอดภัยที่สามารถทำได้ โดยอิงจากการประเมินความเสี่ยงของคุณ ซึ่งมุ่งเน้นไปที่ความก้าวหน้าแบบค่อยเป็นค่อยไป คุณไม่สามารถกระโดดจากการแก้ไขช่องโหว่ 50% เป็น 95% ในชั่วข้ามคืนได้ สิ่งสำคัญคือต้องเข้าใจทรัพยากรที่ต้องใช้เพื่อให้บรรลุเป้าหมาย และโอกาสที่คุณจะเสียไปโดยตั้งเป้าไปที่การแพตช์ทั้งหมดเทียบกับ 85% อาจไม่คุ้มค่ากับการลงทุนเพื่อปิดจุดสุดท้ายเหล่านั้น

แทนที่จะตั้งเป้าหมายคงที่และมุ่งสู่ความสมบูรณ์แบบ ให้มุ่งเน้นไปที่การปรับปรุงโปรแกรมให้สัมพันธ์กับจุดที่คุณเคยอยู่มาก่อน คำถามที่คุณควรถามคือ เรากำลังเดินไปในทิศทางที่ถูกต้องหรือไม่? โปรแกรมดีขึ้นมั้ย? เรากำลังลดความเสี่ยงโดยรวมหรือไม่?

3. ประเมินซ้ำอย่างสม่ำเสมอ

เนื่องจากช่องโหว่และวิธีการโจมตีมีการเปลี่ยนแปลงอยู่เสมอ ผู้นำด้านความปลอดภัยจึงควรหารือกับธุรกิจในวงกว้างเป็นประจำเพื่อประเมินความเสี่ยงและนโยบายด้านความปลอดภัยอีกครั้ง อย่างน้อยที่สุดควรทำเป็นประจำทุกปี ประเมินอีกครั้งว่าเป้าหมายสอดคล้องกับความเสี่ยงที่ทราบและการยอมรับความเสี่ยงหรือไม่ และทำการตัดสินใจอย่างมีสติเกี่ยวกับการแลกเปลี่ยน

ตัวอย่างเช่น คุณอาจพิจารณาว่าสามารถแก้ไขช่องโหว่ที่สำคัญได้ถึง 85% ภายใน 10 วัน เพื่อให้ได้ 90% X จำนวนทรัพยากร ซึ่งแสดงในรูปของเช่น การลงทุนทางการเงิน เวลา หรือผู้คน จะต้อง คุณอาจพบว่า 85% เป็นระดับความเสี่ยงที่ยอมรับได้เมื่อเปรียบเทียบกับแหล่งข้อมูลเพิ่มเติมเหล่านั้น

มุ่งสู่ความก้าวหน้า ไม่ใช่ความสมบูรณ์แบบ

การตัดสินใจเกี่ยวกับความเสี่ยงไม่ควรกระทำในสุญญากาศ นี่คือสาเหตุที่ผู้นำด้านความปลอดภัยต้องมีสิ่งเหล่านี้ การสนทนากับผู้นำทางธุรกิจและคณะกรรมการ- ประเด็นสำคัญ: ความสมบูรณ์แบบนั้นหาได้ยากในอุตสาหกรรมนี้ และการมุ่งเป้าไปที่ความสมบูรณ์แบบนั้นอาจส่งผลเสียมากกว่าผลดี ให้มุ่งเน้นไปที่การสร้างความก้าวหน้าแทน ตั้งเป้าหมายที่สมจริง ก้าวเล็กๆ เพื่อไปให้ถึงจุดนั้น และยกระดับมาตรฐานต่อไปจนกว่าคุณจะถึงระดับที่เหมาะสมที่สุดของการลดความเสี่ยง

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes