近日,《华尔街日报》的一篇文章认为2023年将会有越来越多企业因经济不确定性而限制其网络安全预算。但由于针对企业和关键基础设施运营商的网络安全监管更加严格以及威胁行为者的持续活跃,大多数企业几乎不可能完全确保其所有系统都得到强化和修补。
因此,企业必须在有限的支出环境中更好地维护网络安全,以下三种方法或许能够协助企业制定安全策略。
1. 调整潜在业务和技术复杂性
根据IBM Security 研究发现,日益提高的网络安全复杂性(例如云迁移、第三方参与等)都会增加事件响应成本。企业对安全支出进行限制却不考虑能否抵御基础业务的风险性和技术环境的复杂性,将导致企业网络安全陷入威胁漩涡。衡量底层“攻击面”(即系统边界上的一组点或系统元素,攻击者可以尝试进入、对其产生影响或从中提取数据)的复杂性变化应该是考虑调整或限制网络安全资源的先决条件。
2. 优先设置威胁情报防御
由于维护成本的限制,企业可以根据已知的攻击行为和攻击者可能针对哪些关键软件系统进行攻击来确定防御优先级。企业可以参考美国网络安全和基础设施安全局(CISA)近日发布的一套网络安全绩效标准,这套标准旨在为企业关键基础设施建立一套通用的基本网络安全架构,特别是帮助中小型企业启动网络安全工作。
同时,企业也需投入一些资源来验证理论上的控制措施是否在实践中达到预期效果,例如数据配置错误或未记录网络活动异常等。另外,威胁情报防御的弹性至关重要。如果发生恶意勒索软件事件,离线备份和快速的事件响应计划将是减少损害的关键所在。
3.合理化第三方风险管理
越来越多的企业意识到,供应商的网络事件可能会对会产生连锁反映,因此企业逐渐开始强制要求其供应商进行安全审计来作为开展业务的先决条件。但问题在于,这种要求没有统一性。因此,需要形成一种行业标准来提高统一性,降低第三方风险管理的复杂性,并将更多的投资用于网络安全维护。
如今,企业正面临着高度复杂的业务、技术和网络威胁环境。在成本受限的条件下,企业的安全投资回报比以往任何时候都更加重要。因此,企业需要尽可能将防御措施和可能的安全风险结合起来,并以透明、准确、有效的方式尽可能保持企业网络安全性能的一致性。