攻击量不断增加,攻击者正在寻找新的方法来危害企业安全。根据HackerOne 第六届年度黑客驱动的安全报告,道德黑客在 2022 年发现了 65,000 个漏洞。此外,92% 的黑客表示他们可以查明扫描工具遗漏的弱点,这使得仅依赖检测技术成为危险的前景。
与此同时,数据泄露的成本也在上升。IBM 2022 年数据泄露成本报告指出,2022 年数据泄露的平均成本达到 435 万美元,比 2021 年增长 2.6%,比 2020 年增长 12.7%。此外,只有 17% 的公司表示这是他们的第一次数据泄露成本数据泄露。
对于首席财务官 (CFO) 来说,数据泄露日益严重的影响造成了一个悖论:虽然需要更多支出来应对这些挑战,但这些支出与利润并不直接相关。相反,网络安全支出完全取决于投资回报。
以下是首席财务官需要了解的有关安全支出的信息。
数据泄露的总成本不仅仅以美元和美分来衡量。
考虑一下《华盛顿邮报》最近的一篇文章,其中指出信用评级机构开始将网络安全作为企业信用评估的一部分。换句话说,导致违规的不良网络安全实践可能会导致信用评分降低,并影响企业获得贷款或其他资金的能力。
或者看看 IBM 报告中的数据,该报告发现 60% 的组织因数据泄露而提高了价格。这是有道理的:更高的价格可以帮助抵消数据泄露期间和之后增加的支出。然而,价格上涨太多,消费者的兴趣可能会下降。
说到消费者,他们不太愿意与遭受数据泄露的公司共享个人数据。事实上,40% 的消费者表示,他们“总是或经常”停止与无法保护其个人数据的公司开展业务。
合规性也是一个关键问题。如果公司无法通过有效的政策和实践来尽职尽责地解决安全威胁,他们可能会受到罚款或运营处罚。
对于首席财务官来说,避免数据泄露的成本——从最初的支出到信用评级受损和消费者信任度下降——意味着在安全技术上进行支出。然而,为了使这些技术发挥作用,它们必须针对特定的问题。
这是保护对模型的核心:查明特定威胁并将其与有效减轻影响的解决方案相匹配。这里有一些例子。
社会工程攻击
配对:零信任和最小特权原则
社会工程攻击利用人性来帮助黑客破坏关键系统。这些攻击通常将社交侦察与电子邮件和网站欺骗结合起来,以说服员工应该点击链接或提供登录名和密码信息。
花在零信任等解决方案上可以帮助公司避免这种社会伤害。这可以很简单,例如实施双因素身份验证 (2FA) 解决方案,防止攻击者在获得用户登录数据的情况下破坏系统,或者使用基于行为的分析来确定用户是否不是他们所说的那样。
零日威胁
配对:人工智能和自动化
人工智能和自动化可以帮助限制黑客发现新漏洞的影响。人工智能工具不依赖标准指标和测量来评估潜在风险,而是能够随着时间的推移进行学习,以发现传统扫描仪可能遗漏的漏洞。与此同时,自动化减少了解决和修复这些问题所需的时间。
正如《数据泄露成本》报告所述,与没有使用这些工具的公司相比,使用人工智能和自动化的公司在数据泄露期间节省了 305 万美元,并将泄露识别和遏制时间缩短了 2.5 个月。
数据泄露成本增加
搭配:混合云
虽然 45% 的数据泄露发生在云中,但混合云中的数据泄露比公共和私有云中的泄露成本要低。考虑到在私有云中,数据泄露的平均成本为 424 万美元,而在公共云中,这一成本升至 502 万美元。与此同时,在混合云中,平均成本仅为 380 万美元。
四步法可以帮助首席财务官找到适合其公司的安全解决方案,并帮助网络支出推动可持续回报。
1.找到弱点
首先,首席财务官需要与安全专业人员协调,以查明高优先级的薄弱环节。例如,如果 IT 团队发现当前的网络基础设施依赖于易受攻击的开源软件,则应针对此风险进行支出。
2.了解影响
接下来,首席财务官应该了解与成功违规相关的影响范围。这可能包括检测和补救的金钱成本,以及增强客户信心的支出,例如支付信用监控或其他有助于重新失去信任的服务的费用。
3. 选择合适的一对
有了优先事项和影响评估后,首席财务官需要为工作选择合适的工具。通过针对特定的安全问题,财务官员可以充分利用企业支出,并为进一步投资奠定基础。
4. 让安全占据一席之地
最后,首席财务官需要倡导网络安全同行在董事会中获得一席之地。这不仅使最高管理层成员更容易了解安全问题的范围,而且在某些情况下也是监管要求。
例如,根据纽约州金融服务部法规 23 NYCRR 500,拥有超过 10 名员工且年总收入 500 万美元的金融服务公司必须聘请首席信息安全官 (CISO),否则将面临因违规而可能受到的处罚。
鉴于数据泄露对公司财务、消费者信任和公司合规性的影响不断变化,首席财务官有必要增加安全支出。
然而,通过正确的工具和技术方法,财务官员可以帮助其组织节省时间、金钱和精力。换句话说,网络安全支出不仅仅是单一成本:它是对持续成功的投资。
联系客服
