Solarwinds攻击亮点需要在董事会级别的网络安全决策

Solarwinds.hack 2020年12月透露,如果没有嵌入组织的良好网络安全政策,软件和系统供应链可以轻松地强调。

在官方声明中,网络安全&基础设施安全局(CISA)表示,我们的政府机构,关键基础设施实体和私营部门组织的妥协于2020年3月至少开始于3月20日开始。并且APT演员表现出耐心,运营安全和这些入侵中的复杂商人。 “CISA期望从受损环境中删除这种威胁演员将对组织具有高度复杂和具有挑战性的。”详细的感染载体和妥协缓解 在这里列出了声明.

阅读其细节确认我们在嵌入式网址的简报中确认了我们 ee 在半导体行业安全专家和提供安全元素,设备,供应和安全生命周期管理的公司中互联网上的题目(IOT)安全和网络安全。

我真的让我感到惊讶的是,当世界各地的政府部门是如此偏执的情况下,这种违规可能会通过似乎跳过适当的安全机制和政策的第三方系统,软件和设备供应商来完全脆弱。我记得几年前担任英国政府的承包商,安全培训金额,我们需要始终意识的意识。 只有一个微小的例子是偏执狂我在锁定的汽车或在商业旅行时留下我的笔记本电脑。它总是必须在我的人或我附近我能看到它。我们当然有很多我们必须努力观察的其他事情。

但是,对于安全性应该只是安全性,而是在组织中更高的水平更高的级别,Solarwinds Breach是关于安全性的基本政策问题。

因此,实际上是,企业财务顾问Woodside Capital Partners应该向概述概述的报告概述了CEO,董事,董事会成员和私募股权公司的七课。由其董事总经理Nishant Jadhav撰写, 那个报告 说,Solarwinds供应链攻击强调了在执行和董事会级别对更深层次的网络安全的必要性。在一个高级持续威胁的世界中,潜在的潜伏在大多数商业环境中都是监视工具,越来越重要的是保护在未知的面前的声誉和企业价值。

它说,高管,顾问和投资者需要询问的关键是公司是否可以在董事会级别回答它是否有网络保证。这是它的七节课。

课程:采用安全性第一与合规 - 首先思维 -

安全性第一心态意味着执行领导团队和董事会了解所针对该特定公司的风险。它还意味着该公司了解其为客户和合作伙伴创造的风险。另一方面,另一方面的合规 - 首先思维是竞争,只能达到最低级。合规 - 第一心态是回归的,因为它在攻击日测量您的基线,并为您提供了未来固定时间的保证。不幸的是,由于威胁不断发展,并且在戏剧中与国家对手更复杂的威胁,这是一个失败的网络安全保护战略。执行领导团队以及董事会需要批准季度公司的威胁态度。

第两项:首席信息安全官员(CISOS)必须是执行领导团队的一部分,而不仅仅报告了信息技术负责人

良好的Cisos受过培训,以考虑持续的威胁向量,以及整个业务的攻击曲面。这包括从客户面临的漏出的无意中数据泄露,对客户的风险使用您的产品,以及您公司为自己的使用部署技术的风险。因此,CISO必须触及业务的所有方面,并将影响范围作为线路领导者在原子水平上变化。 CISO必须持责任,以确保其建议通过级别来渗透,并且在任何时候都可以衡量的持续保护和风险暴露。这听起来繁重,可以是政治性的,但由于攻击公司而导致的责任不能包含它可能会在资本市场中暂时毁灭,并永久地从声誉的角度来看。

第三课:用于Cisos的KPI必须包括持续的保护和补救

一旦在网络上发现了一个新的违规,它似乎是一个常见的做法,即在网络上发现了一个新的违规,但这种思维行无效和古老。相反,它’在威胁需要改变的威胁中,围绕CISO的职责对话。赋予CISO与符合公司安全差距的安全预算。此外,衡量他们的成功不仅仅是在特定季度的业务正常运行时间,而且还借鉴了每件业务的派系中产生的意识。添加到此混合KPIS周围的业务将如何响应源自在您自己的组织领域之外的威胁,如Solarwinds案例。模型的行为及其对客户的影响,以及您的声誉和随后您的估值/股票价格。

第四课:值得信赖的解决方案提供商/合作伙伴并不意味着安全的伴侣

Solarwinds供应链攻击证明,威胁可以超越您自己最好的安全实践。从本质上讲,无论公司多大以及如何欺骗其安全实践,没有合作伙伴是一个安全的合作伙伴。创建一个孵化新产品的“空闲”网络可以通过可信合作伙伴解决方案缓解威胁渗透。

第五课:妥协安全性是用于增加盈利能力的错误杠杆

Woodside Capital(WCP)预计该公司是其安全姿势评估值的关键估值度量 - 一个“网络成绩”。在技​​术和培训投资中衡量网络等级,用于公司自己的资产的持续保护政策以及公司客户和合作伙伴的风险。这种网络成绩的一个关键因素也将是公司在面对事先威胁的情况下施加的修复工作,并采取了回应的时间(受到威胁严重程度的加权)。网络等级越高,该公司估值越高。专门从事网络安全公司的私募股权(PE)公司应该更加关注其投资组合公司的网络成绩,而不是在短期内向他们争取盈利能力。 WCP向大约5000个私人网络安全公司的建议是创建其网络成绩的版本,该版本总结了他们对网络安全的持续承诺,并在其执行领导团队一级参与实现这些结果。在没有行业范围的情况下,更容易定义执行领导团队和董事会可以展示的基准指导方针,这将其视为安全第一公司。

第六课:网络保险需要仔细看看董事会级别

大多数网络保险政策为数据违约或未授权访问或披露个人或受保护信息产生的财务损失提供了覆盖范围。一些保险公司提供额外的认可或具体的政策规定,并为各种其他方式(即网络钓鱼造成的违规行为),信用卡损失的具体覆盖以及拒绝服务攻击等各种其他方式造成的损失覆盖勒索软件等等。但是这种供应链攻击,例如这一个改变了比赛领域。这不能被作为上帝的行为被涂抹,因为有真正的肇事者造成伤害外面的企业,以控制谨慎的人可以使用的可管理工具。 CISO必须聘请董事会授权新的网络保险政策,包括暴露于恶意状态行动者和供应链攻击。这些政策必须跨越更广泛的时间,因为随后的广泛损害来自这些威胁可以延伸到攻击后的数月多年。

第七课:持续的声誉保护

尽管尽力而为,但违规行为可以随时达成一家公司,它可以对业务产生有形的影响。这里的显而易见的问题是:

  • Solarwinds在这种情况下会受到击中吗?
  • Microsoft是否受到影响,因为它的源代码是暴露的,因为它们使用了Solarwinds orion软件?
  • Solarwinds可以重新恢复其失去的声誉吗?
  • 微软将是一个良好的安全公司收货人吗?

答案在于持续行动,执行领导团队和董事会已经展示了网络安全是他们公司的核心差异化因素–安全第一,网络成绩。他们从自己的错误中吸取了吸取的错误和他人的错误,以不断提高公司的威胁姿势,并减少自身及其客户的攻击面。这包括更好的网络保险覆盖范围,并从公司到客户的更好的补救政策。重要的是,公司继续投资和教育其关于网络安全的劳动力。基本上,如果公司为自己创建网络保证并可以将其视为客户和合作伙伴,它将更好地保护其在长期的声誉。

WCP报告继续列出一些增长阶段公司,提供整体网络保证战略的建筑块,从风险管理和威胁修复到网络保险。报告是 可用.


相关内容:

更嵌入, 订阅嵌入式’S每周电子邮件时事通讯.

发表评论

本网站使用AkisMet减少垃圾邮件。 了解如何处理评论数据.

发布时间: 2021-05-13 14:15:40

最近发表