硅谷企业高层管理：为什么风险突然成为安全对话的一部分

 
在过去的20年中，旨在计算，量化和降低网络安全风险的初创公司的出现速度已经下降。硅谷充斥着一些公司，这些公司从未在高层管理人员中找到接受受众的网络安全风险。
然而，最近，我们看到网络安全供应商围绕风险的概念联合起来，他们终于在高管，网络保险承销商和其他开始了解基于风险的安全模型的好处的人中找到了一个接受的受众。这些高管们开始意识到安全专业人员无法始终保护所有内容。
安全领域的问题不再是“我如何获得100%的安全性?”这是“如何激发我的资源以降低成功破坏的风险?”
答案很复杂：首先，网络安全挑战的规模比以往任何时候都要大。与此同时，数据科学和机器学习正在为可用于理解挑战全面性的工具和技术铺平道路。
可用的工具永远不够
在互联网的早期，我们看到了强调阻止网络攻击。这让位于强调检测，并按照外观，入侵防御技术，防火墙以及一系列分析网络威胁并执行安全信息和事件管理功能的公司。
这一系列新技术的背后是安全提供商试图提供新工具来应对威胁。不幸的是，随着公司越来越依赖信息技术，违规的速度和规模只会增加。
这为风险管理创造了新的空间，并将其作为网络安全的推动力量。安全挑战是复杂的，威胁在不断变化，缺乏合格人员来解决这些挑战。简而言之，没有工具可以做到这一切。
一个不人道的问题
要了解IT安全挑战的范围，请考虑企业级漏洞管理工作的状态。这种网络安全学科使用扫描程序在组织的IT资产中查找已知的安全漏洞，跟踪它们并确定补救策略。
普通企业在其环境中面临着超过4000万个漏洞。典型的组织只能修补其中的10%，而最好的只能修补约25%。
当公司没有能力修补所有内容时，后备的立场就是确定那些对组织构成最大风险的漏洞。在一项针对十几家公司的企业漏洞管理工作的评论中，我们公司与Cyentia Institute进行的研究发现了超过20亿个漏洞，其中超过5亿个被认为是高风险。简而言之，在许多组织中跟踪漏洞的方法根本无法实现。许多团队，其中一些是令人震惊的大型公司，使用电子表格来跟踪漏洞，直觉优先考虑哪个首先解决。
这就是问题所在：有时组织会弄错。他们修补了他们认为有风险的东西，但却没有，这会导致在没有足够的容量开始的情况下浪费精力。在处理数以百万计的漏洞时，人类的思维根本无法清楚准确地评估风险。这项工作只能通过计算能力和机器学习来解决。
但是，如果做得好，机器学习可以导致组织面临的风险最大的漏洞的有效优先级。这导致组织风险的整体降低。即使浪费精力的可能性最小，这种减少也是可以衡量的。
称重成本和收益
商业风险是一个古老的困境。风险是高级管理人员很好理解的一种语言，他们通常将其视为动态和不断发展的。
从这个意义上说，风险的概念不是站在悬崖边缘的人会掉下来的可能性。在商业世界中，它涉及范围更广，涉及权衡利弊，权衡行动的成本和收益与不采取行动的成本，以及在一项举措上花费资源的成本高于其他举措。
通过正确的数据将网络安全风险作为资源问题处理，使高管们承担责任，因为它不仅可以让他们看到自己在做什么，还可以看到他们决定不做什么。