• Bookmark

如何使用 COBIT 5 帮助降低前 5 大网络威胁的可能性与影响

作者:Sue Milton,CISA,CGEIT

COBIT Focus | 2017 年 4 月 3 日 English | Japanese | Spanish

2017 年这一年伴随着网络漏洞不断增多,而这些漏洞的影响前所未有地深入到商业和个人生活中。


这些威胁是否大到难以控制?网络威胁管理是否是“房间里的大象”?


网络弹性需要提上董事会日程,但依然有太多董事喜欢用鸵鸟式的控制方法 (Ostrich Control) 来管理风险,希望风险会自行消失。尽管安全预算不断增加,但前路遥遥,目前尚不清楚有多少威胁及都有什么威胁需要应对,因而导致局面更加严峻。


目前的做法是评估风险自身出现的原因、方式和地点,之后先确定影响和结果,再选择相应的控制措施。理论上很简单,实践起来却堪称噩梦,因为在我们组织可直接控制外的威胁是如此之多。最初,我们探讨风险是因为它们主要是从内部产生的,我们能够识别、评估和控制它们。此类风险依然存在并且依然需要予以管理,除此之外,还存在很多外部问题,我们无法控制它们发生的起因、时间、地点、方式和内容。于是,局面从风险(内部)管理转变为威胁(外部)管理。


网络威胁很难从高层方面加以解决,这是因为根源在于细节,通常威胁花样繁多且千变万化,导致领导层无法意识到问题的严重程度。所有希望成功的企业都需要有一个框架约束我们不偏离轨道,于是 COBIT 5 横空出世。


转变网络安全》是该系列的新增内容,高瞻远瞩地讲述了网络威胁问题,其中还提及与 《COBIT 5 信息安全》的对应关系。但由于网络威胁依靠传统漏洞而产生,组织仍然需要更全面的框架才能确保 360° 无死角。《COBIT 5 风险》附录 B 提供了一套全面的实践,覆盖技术和软技能领域。《COBIT 5 鉴证》提供了识别弱点的方法。《COBIT 5 信息安全》识别保护系统所需的控制措施。


因此我们可以:

  • 了解去哪里寻找漏洞、人员和技术(请参阅《COBIT 5 鉴证》章节 B4-7)
  • 了解为什么存在这些漏洞(请参阅《COBIT 5 鉴证》附录 D2;《COBIT 5 风险》附录 B 的 MEA01)
  • 确定因果关系,帮助弄清所有公司因资源有限而进行的取舍(《COBIT 5 风险》附录 B 的 AP008)
  • 评估技术和行为方面的安全性和控制(《COBIT 5 信息安全》附录 D-G)

我选择了 Level 3 Communications 面临的威胁为例,因为我认为这些威胁是业界所面临的攻击的代表。如果我们将 COBIT 5 应用于它们(原始材料来自 Level 3 Communications,由我采用 COBIT 5 进行润饰),我们就会得到下列概要:


网络和应用层攻击
原因—DDoS 工具随时可用;破坏者的位置和数量不明且具有足够的耐心;没有针对软硬组件维护的控制措施
影响—服务器和网络中断;可能会对其他地方形成驼载 (piggy back) 攻击
结果—业务停摆;解决攻击和重建供应链信任产生的机会成本
控制—杜绝攻击非常困难,因为公司必须制定稳健的内部侦测、监控和纠正程序,能够通畅地表达任何疑虑且具有应对的敏捷性


社会工程
原因—看起来真实的虚假通信;易受攻击的员工;薄弱的管理、行为和安全实践
影响—关键信息被访问;遭窃;外部人员获得物理和虚拟访问权限
结果—失去竞争优势;供应链信任崩塌;总体名誉受损;违反监管要求;所有其他数据的完整性现在都值得怀疑
控制—多数是软技能控制,例如在所有级别进行反社会工程培训并对员工进行支持性管理;董事会/C 级管理层的行为符合政策;让任何人在可能被社工时都能讲出来的大胆直言的政策。技术控制如上所述。


高级持续性威胁
原因—利用漏洞创建系统“后门”
影响—凭证和数据遭到访问与取用;因为没有明显的破坏,所以无法确切知道事件发生了多长时间
结果—与社会工程相同
控制—与网络和应用层攻击相同


有组织的犯罪
原因—有能力实施威胁、网络和应用层攻击、社会工程和高级持续性威胁 (APT)
影响—与网络和应用层攻击、社会工程和高级持续性威胁相同,但范围要大得多。受害者不仅仅是组织,还有供应链和客户,可能还有他们的家人和银行。
结果—知识产权和敏感数据现在被犯罪分子控制并被他们用于牟利;更多数据流入黑市;提出赎回和敲诈要求
控制—与网络和应用层攻击、社会工程和高级持续性威胁相同;报案以确保保留法庭证据;与律师合作评估法律责任;制定有关使用媒介的通信政策和实践


主要数据泄露
原因—所有上述
影响—敏感数据被泄漏;业务中断
结果—失去信任;较高的运营和名誉恢复成本
控制—与网络和应用层攻击、社会工程、高级持续性威胁和有组织的犯罪相同


结论

如果我们想要聚焦网络威胁:

  • 从《转变网络安全》入手并应用《COBIT 5 信息安全》的相关内容
  • 制定 360° 的评估、鉴证和行动计划,并适当拓展以包含《COBIT 5 风险》和《COBIT 5 鉴证
  • 最后执行交叉检查,查看威胁的识别、控制和管理如何支持组织的整体目标(即:使组织发展壮大的 COBIT 5 动力元素),例如具有以客户为中心的优质服务文化,通过提高有效性和效率来增加利益相关者的价值。1

通过加强对其中一种威胁的控制,其他威胁的可能性和影响也会随之减少。请务必正视并勇敢应对“房间里的大象”。


编者按

这篇文章最初是 APMG International 网站上的一篇博文。此处经授权转载。


Sue Milton, CISA, CGEIT

专业 IT 审计师和 IT 治理专家,对无形治理有着深刻理解,例如组织行为、利益相关者关系及人员和 IT 之间的互动,这些方面影响组织内和组织之间工作关系的效力。2015 至 2016 年期间,Milton 与南部非洲发展共同体共同管理无形的治理风险,携手亚洲开发银行帮助缅甸向市场经济过渡,并与 APMG International 一起推广 COBIT 5。 她现在专注于英国政府拟更改全国公司治理条例相关绿皮书方面的治理挑战,以及英国退欧、网络威胁和《欧盟一般数据保护条例》带来的战略和运营挑战。Milton 是 ISACA 伦敦分会的前会长,她还向各种组织就治理和 IT 相关主题进行演讲和撰写文章。她定期向英国董事协会的政策部门提供业务评论,并就网络安全问题向媒体发表评论。


尾注

1 ISACA, COBIT 5: 启用流程, 美国,2012 年