《ISC2：2024成功的網絡安全領導者必備的9大特質白皮書（10頁）.pdf》由會員分享，可在線閱讀，更多相關《ISC2：2024成功的網絡安全領導者必備的9大特質白皮書（10頁）.pdf（10頁珍藏版）》請在三個皮匠報告上搜索。

1、網絡安全領導者需具備的9個特質網絡安全是企業繁榮的重要因素 圖1：長期風險展望。未來10年按可能性和影響分列的十大風險69個特質現在世界上超過50%的人口都在上網1。每天約有100萬人加入互聯網2，而三分之二的人類擁有移動設備3。人們熟知的第四次工業革命(4IR)，已經給世界帶來了巨大的經濟和社會效益。智能技術在改善人類生活和地球健康方面都有巨大的潛力。然而，許多新的挑戰和風險也逐漸浮現。網絡攻擊已經成為個人和企業的共同危害。第五代(5G)網絡、量子計算和人工智能不僅創造了機遇，也帶來了新的威脅。對強大的網絡安全的需求顯而易見：每14秒4就會有一個組織成為勒索軟件攻擊的受害者，而一次成功的攻擊

2、可能會迫使企業完全停滯數周，甚至完全關閉。組織不應該將網絡安全僅僅視為防范迫在眉睫的網絡安全威脅的另一項IT支出。事實上，網絡安全對推動企業發展也能起到至關重要的作用5。成為一名優秀的網絡安全專家所需要的技能擁有更強大網絡安全戰略的組織比那些沒有網絡安全戰略的組織有更強大的競爭優勢。隨著網絡攻擊和安全漏洞經常成為新聞頭條，消費者對數字服務和產品的安全及隱私變得更加敏銳，無論這些服務和產品是由大企業還是小企業提供。根據沃達豐7最近的研究顯示，89%的高管們相信，改善企業的網絡安全將增強客戶的忠誠度和信任度。然而，各公司仍在努力使網絡安全成為與其戰略、運營和文化相融和、積極的一部分。盡管網絡安全專

3、業人員負責保障企業的安全，但當企業做出重大的戰略決策時，網絡安全往往是事后的考慮，導致安全和業務風險增加。這意味著企業正在失去網絡安全功能所能提供的附加價值。企業現在需要的是有才華、有經驗、有知識的員工，他們既懂得新興技術的潛力，也明白與之相關的風險。隨著技術越來越多地融入到業務流程中，這些專家可以引領企業迎接時代挑戰，使網絡安全意識和安全成為企業成功的助推器。技術技能組合2企業對人才的需求，對于像您這樣的網絡安全專業人員來說，是一個很好的機會。但是，未來的安全領導者需要廣泛的技能，單憑工作經驗并不足以勝任。您需要投入培訓來掌握這些技能，以打下堅實的基礎，增強自信，并在組織中產生影響力。學習可

4、以讓您獲得成為真正的領導者所需的技術和軟技能。事件檢測和響應，以處理組織違反安全政策或標 準安全做法所造 成的任何緊迫的威脅。SIEM管理，將警報產生的實時分析轉化為事件 響應計劃。分析和威脅情報，以匯總網絡和應用數據，防止 未來發生攻擊。身份和訪問管理，以確保安全政策對組織內各種 角色和責任顯示出可接受的用法。數據管理，以處理、分析、安全地存儲各類數據，無論是在內部還是在云端。對新興技術的深入了解新興技術改變了企業的工作方式，也將在未來創造新的角色。物聯網、人工智能、機器學習(ML)、云計算和自動化都被視為支持數字化轉型的重要投資。新的安全職位將要求專業人員了解這些新興技術及其固有的安全挑戰

5、。敏銳的安全專業人員應該今天就掌握這些知識，因為這些新興技術明天將使工作場所發生變化。如果不了解這種技術是如何影響IT基礎設施和業務發展的，一些人可能會發現，隨著角色,包括與新興技術相關的技能的發展，他們會被拋在后面。對安全最佳實踐的深刻認識網絡安全已經成為當今企業的頭等大事。安全專業人員的需求量很大，而技能的差距使我們很難找到降低風險所需的幫助。網絡安全專業人員必須能夠展示出對安全最佳實踐的充分了解，包括：網絡安全領導者需具備的9個特質 軟技能領導力和溝通安全專家通過他們的信譽、響應能力和道德操守來展示領導力。此外，溝通技巧可以幫助安全專家贏得高級管理層、同行和下屬的信任。安全專業人員應能向

6、領導層提供與業務需求和風險環境相聯系的可操作的見解，幫助管理人員做出明智的決定。對學習的熱情安全專家應不斷學習業務環境中的最新趨勢、技術和安全挑戰。他們必須對學習和專業成長充滿熱情，才能獲得成功。安全是IT行業中節奏最快的領域之一，需要有求知欲和專業知識的人。決心網絡安全專業人員必須堅持不懈地應對不斷變化的威脅環境。堅持是關鍵。網絡安全專家要將解決方案貫穿始終，不解決難題不罷休。協作網絡安全是整個組織的共同責任。因此，安全專業人員必須在各級相互協作，灌輸一種文化，確保安全政策不僅到位，而且要得到遵守。同樣重要的是，要獲得整個組織對安全倡議的支持。分析和批判性思維一個專業的網絡安全專家會對事件的

7、發生方式、容易被利用的攻擊面以及如何將網絡攻擊降到最低進行分析。一個有分析力和洞察力的安全專家會預測黑客將如何利用網絡及其應用。在某種程度上，網絡安全專家應該像攻擊者一樣思考，提前發現漏洞。項目管理最后，作為一名網絡安全專家，你需要整合全面的安全解決方案，以防止、檢測和應對網絡攻擊。與其將實施解決方案視為一勞永逸，不如從更全面的角度考慮，建立一個與企業所有資源相一致的安全策略。全面了解監管環境GDPR、CCPA、HIPAA、SOX、PIPEDA等法規規定了保護敏感數據和個人數據安全和隱私的要求。如果不遵守這些條例，將受到有關國家監督當局的嚴厲處罰。這些處罰不僅會影響企業預算，還會損害人們對受影

8、響組織的信任程度。合規是一個持續的過程，而不是一次性的工作。網絡安全專業人員需要了解這些條例中所述的安全要求，并盡職盡責地實施適當的安全控制。遵守這些規定可以提供競爭優勢，對每個組織來說都是一種附加值。網絡安全領導者需具備的9個特質3 4網絡挑戰使企業面臨風險威脅格局正在變化和擴大企業正在數字化，以期提高生產力的同時將總體成本降至最低，并加強員工之間以及與合作伙伴或供應商之間的協作。數字化背后的理念是，不僅要利用技術將現有的服務以數字化的形式復制出來，還要利用技術將這種服務轉化為更好的東西。數據是所有數字化工作的核心。這些數據（通常是個人和敏感數據）的處理和存儲方式由眾多具有深遠影響的隱私法規

9、決定，如GDPR和CCPA。然而，高調的數據泄露事件成為新聞頭條，政府行為者濫用個人數據，增加了人們對現行處理和存儲敏感數據的政策和戰略的不信任感。伴隨著隱私問題的增加，數字化轉型的舉措擴大了業務威脅的范圍，因為通常情況下，安全是事后的考慮。在一個超級互聯的世界里，問題不在于企業是否被入侵，而在于何時會遇到安全事故。事實上，2019年被網絡攻擊影響的組織比例達到了80.7%，高于2018年的78.0%8，而兩年內遭遇數據泄露的比率從2014年的22.6%上升到2019年的29.6%9。雖然這些新興技術創造了驚人的新的組織能力，但也造成了新的復雜問題、互聯和漏洞點，網絡犯罪分子已經很快學會了利用

10、這些漏洞。傳統的周邊安全和基于規則的網絡安全方法不再適用于新的數字組織，因為用戶現在正在以遠程形式訪問組織最敏感的資源，而且超出了傳統的邊界安全范圍。據是儲存在本地還是云端。數字身份對所有組織來說都是寶貴的資產，但它們也是網絡犯罪分子有利可圖的目標。犯罪分子喜歡用簡單的方式完成工作，這也解釋了為什么他們會使用和濫用偷來的憑證。黑客攻擊和社交漏洞等攻擊類型受益于憑證失竊，這樣就不再需要使用惡意軟件來保持持久性。因此，賬戶接管和憑證濫用攻擊使其成為各組織最關注的前五大網絡威脅10。同時，個人數據被盜刷的情況也比往年更多。2019年58%的泄露事件涉及個人數據，是2018年30%的近兩倍11。這包括

11、電子郵件地址、姓名、電話號碼、物理地址和其他類型的數據，人們可能會發現這些數據隱藏在電子郵件或存儲在錯誤配置的數據庫中。一旦掌握了這些珍貴的數據，犯罪分子就會在股價極高的暗網上出售，或者利用這些數據發動其他攻擊，比如網絡釣魚。個人數據、證書是主要攻擊目標現在身份是新的邊界安全。企業需要對訪問企業數據的用戶或設備進行迅速高效的認證，無論這些數釣魚攻擊是攻擊者在企業網絡中獲得存在感的第一步。大多數安全報告都認為，網絡釣魚是安全漏洞中出現的第一個初始感染載體12。釣魚是社會工程攻擊最喜歡的行動路線，在96%的場合下通過電子郵件到達。雖然憑證是目前網絡釣魚漏洞中最常見的泄露屬性，但個人數據也受到追捧1

12、3。對攻擊者來說，網絡釣魚一直是而且仍然是一種卓有成效的方法。這也是為什么它是企業最關注的網絡威脅14。令人擔憂的是，越來越多的攻擊者通過商務電子郵件妥協(BEC)使用網絡釣魚策略，也就是所謂的CEO欺詐，加劇了這種擔憂。這種攻擊是出于經濟動機，并且已經被證明是非常有效的：受影響的公司每次損失高達44,000美元15。網絡安全領導者需具備的9個特質5 云計算安全問題備受關注將企業數據轉移到云端是企業進行數字化轉型的一部分。隨著公司向云端轉移，犯罪分子也是。2019年約有24%的泄露事件涉及云資產，73%的情況下涉及電子郵件或Web應用服務器。此外，77%的云端泄露事件還涉及憑證違規16。這與其

13、說是對云安全的控訴，不如說是說明了網絡犯罪分子尋找最快捷、最簡單的途徑來對付受害者的趨勢。這些統計數字使人們對云資產的安全態勢信心下降17 。事實上，在850萬條被泄露的數據記錄中，有86%的數據記錄是由于服務器配置錯誤造成的，要么是面向公眾的云資產，要么是云中未加密的數據18。這些組織未能理解云提供商的共同責任模式，在這種模型中，云數據的安全是所有者的絕對責任。工業攻擊正在增加攻擊者并不僅僅出于財務目的而關注企業。他們還急于破壞國家關鍵基礎設施的可用性和可靠性以造成嚴重破壞。與2018年相比，2019年威脅行為者針對工業控制系統(ICS)和類似運營技術(OT)資產的事件增加了2000%以上1

14、9。大多數觀察到的攻擊都圍繞著使用SCADA和ICS硬件組件內的已知漏洞組合。還有很多情況，攻擊者利用了IT和OT基礎設施的融合。這種重疊使得IT漏洞可以針對控制物理資產的OT設備，從而大大增加恢復成本。各行業對物聯網設備的爆炸性使用擴大了攻擊面，威脅行為者利用了這一點。具有網絡接入的受損設備可以被攻擊者用作潛在的樞紐點，試圖在組織中建立立足點。減輕當今的網絡威脅風險，需要的不僅是投資于正確的技術。你必須確保這些技術得到最佳的部署、正確地配置和充分地監控，使你的組織盡力避免成為頭版新聞。一個經驗豐富、受過良好教育的網絡安全專業人員可以將所有的拼圖組合在一起，幫助任何組織建立一個強大的安全態勢。

15、網絡安全領導者需具備的9個特質 成功的網絡安全專家的9個特點CISSP如何幫助您為實時事件做好準備？應聘網絡安全專業職位時，您需要證明自己就是他們正在尋找的領導者。安全認證就是您專業技能和知識的證明。6網絡安全專家要確保將網絡風險管控在可接受的水平，從而支持其組織的任務。由于沒有任何企業能夠免受網絡威脅，因此當發生泄露事件時，企業需要做好準備。每個組織的最終目標都應該是彈性力，即識別和最大限度地減少事件影響的能力，以便盡可能有效地保持業務連續性。根據世界經濟論壇報告數字世界領導者網絡安全指南20，網絡安全專業人員應堅持基本信條：一個組織必須執行這些信條，才能將網絡安全嵌入企業DNA，并作為全面

16、網絡安全計劃的一部分，對網絡彈性進行盡職調查。1.像企業領導者一樣思考，將網絡安全從一個支持功能轉變為提升企業聲譽、收入、品牌資產和客戶關系的業務推動者。領導力的一部分是促進內部和外部的合作伙伴關系，確保始終滿足業務需求，同時以更有效的方式管理相關的網絡風險。2.建立和實踐強有力的網絡衛生，因為有效和持續地實施強有力的網絡衛生可能會降低過去十年中大多數的網絡攻擊。3.根據最低特權原則保護對任務關鍵資產的訪問，同時，建立強大的身份和訪問管理系統。4.保護電子郵件，防止網絡釣魚。電子郵件是最有價值、使用最廣泛的企業通信手段之一，但是根據Verizon的DBIR 2020報告20，它是最常見的網絡攻

17、擊載體。5.采用零信任的方法來確保供應鏈安全，不要以為公司可以在其安全的企業網絡周邊內安然無恙。無邊界零信任的方法將控制權置于數據資產周圍，并提高了數據資產在整個數字商業生態系統中使用的可視性。6.通過根據組織的業務環境制定一個強而有力的基于風險的方法，預防、監控和應對新出現的網絡威脅。所實施的安全服務必須符合目的，并適合組織在人員、流程和技術方面的需求。7.制定和實施全面的危機管理計劃。在當今世界，危機管理是任何安全計劃的重要組成部分。及時溝通安全事件，與透明化、簡單化一樣重要，才能與客戶形成穩固的信任關系。8.建立一個強大的、量身定制的災難恢復計劃，以保護組織免受潛在的網絡攻擊，并指導如何

18、應對數據泄露的情況，同時減少識別泄露和恢復關鍵服務所需的時間。9.倡導網絡安全文化，將用戶置于第一道防線，并認可所有員工在組織安全中的關鍵作用。保證組織的安全是每個員工的責任。網絡安全領導者需具備的9個特質7 在市場上所有的認證中，ISC2的注冊信息系統安全專家(CISSP)認證可以為您提供有效執行這些任務所需的知識，并將您的知識與業務需求聯系起來。CISSP可以幫助您成為下一代網絡安全領導者。CISSP通用知識體系(CBK)提供了跨學科的信息安全意識，涵蓋了以下八個知識域：安全和風險管理需要對信息安全的基本安全概念和原則有良好的了解，才能履行安全和風險管理的職能，包括制定和執行政策，支持治理

19、，并在發生網絡安全事件時確保業務連續性。資產安全對必須保護的內容、應該限制的訪問權限、可用的控制機制以及這些機制可能怎樣被濫用等問題有可見性和扎實的理解，這是所有安全控制的基礎。專業人員應該能夠針對這些信息資產運用保密性、完整性、可用性和隱私性的原則。安全架構和工程必須要在系統生命周期的設計、實施和持續交付中考慮安全問題。設計和建立一個安全和有彈性的信息系統架構，可以盡力減少惡意行為者、人為錯誤或系統故障所造成的威脅。最重要的是要了解安全設計原則，并能將安全模型應用于各種分布式和不同的系統，并保護承載這些系統的設施。通信和網絡安全作為一個安全領導者，您應該能夠理解安全網絡的組成部分、安全設計以

20、及安全網絡運行的模式。此外，您還應該了解分層防御、安全網絡技術和管理技術，以防止一些網絡拓撲和融合網絡中的威脅。身份和訪問管理身份和訪問管理(IAM)是管理數字身份的機制，專業人員應了解管理這些身份的政策和流程，以及支持身份管理所需的技術和協議。7網絡安全領導者需具備的9個特質獲取CISSP認證有什么好處？8 安全評估和測試涉及安全評估和測試的活動，以持續驗證安全控制正在最佳地、有效地執行，以保護信息資產。漏洞評估和滲透測試是網絡安全專業人員進行安全評估活動的一部分。安全運營安全運營應在任何集中或分布式的環境中運行，以保護和控制信息處理資產，并執行確保安全服務可靠和有效運行所需的日常任務。安全

21、運營包括監控安全、執行事件響應、實施災難恢復策略、管理物理安全和人員安全的活動。軟件開發安全應用和數據是信息系統的基礎。了解圍繞軟件的控制、其開發生命周期以及系統和應用程序中固有的漏洞，對于確保軟件可靠和安全的開發和維護至關重要。廣泛安全知識的重要性一個擁有廣泛安全知識的專業技術人員可以成為組織最寶貴的資產。對安全事件有了更廣泛的了解，安全從業人員就可以根據不斷變化的威脅和技術環境，做出準確、及時的影響評估，協助執行委員會分配所需資源以實施相應的緩解措施，確保組織的網絡彈性。實施與整體業務目標相一致的安全控制，安全專業人員可以幫助將安全風險降至最低，在很多方面使組織受益，并幫助建立與客戶和合作

22、伙伴的信任。獲得CISSP證明您有能力有效地設計、實施和管理一流的網絡安全計劃。如果您問持有CISSP認證的網絡安全專業人員，他們是如何從中獲益的，他們會告訴您以下幾點：職業機會和發展。提高您在改善企業安全方面 的知識和專長的可信度，可以促進您的職業發 展，并創造新的機會。廣泛而基礎的網絡安全知識。掌握可應用于不 同技術和方法的通用的、與供應商無關的技能，以了解安全如何協同工作，從而為您的組織建 立深度防御。信譽。掌握廣泛的知識可以幫助您打下堅實的 基礎，以便更好地減輕和應對網絡攻擊。自信。培養對網絡安全挑戰和解決方案有更深、更好和更廣泛理解的技能。認可。讓自己在同行中脫穎而出，獲得安全專 家

23、群體的尊重和認可。更廣泛地理解企業與網絡安全之間的聯系。建 立對所有現有和新興的安全技術之間的相互聯 系和透徹理解，以實現更高生產力和更好成果 的業務目標。與您的商業伙伴建立信任和信心。能夠勝任當 前市場上的安全趨勢和風險，以及這些安全問 題如何直接影響業務、合作伙伴或客戶。工資較高。擁有認證資格的安全專業人員比非 認證人員的薪資高35%。成為強大的同行網絡中的一員。成為ISC2會 員，可獲得大量的獨家資源、教育工具和同行 交流機會。網絡安全領導者需具備的9個特質ISC2如何助力網絡安全專業一直在變化，即使是最杰出的人，也會從通向成功之路的指導中受益。CISSP被公認為是網絡安全專業人員的金牌

24、標準。CISSP是有經驗的安全從業者、經理和高管的理想選擇，能夠證明自己在廣泛的安全實踐和原則方面的知識，包括首席信息安全官(CISO)、首席信息官(CIO)、安全總監、安全系統工程師、安全分析師、安全經理和安全顧問等職位。CISSP通用知識體系(CBK)提供了對這里介紹的所有八個安全領域的深入認識和專業知識，有助于建立和展示堅實的網絡安全基礎、強大而多樣的技能，這將成為任何尋求在網絡安全領域發展的人的寶貴財富。ISC2是安全認證領域的領導者，得到了全球企業的認可。ISC2可以幫助您發現正確路徑，制定個人計劃，并在職業生涯中蓬勃發展。要了解更多信息，關于ISC2ISC2（國際信息系統安全認證聯

25、盟）是一個國際非營利會員組織，專注于啟迪構建一個安全可靠的網絡世界。因其廣受好評的信息系統安全認證專家(CISSP)認證而最為人熟知，ISC2提供全方位、程序化的安全解決方案認證組合。我們的候選人,準會員和會員人數已經超 500,000,由經過認證的網絡、信息、軟件和基礎設施安全專家組成，志在為行業發展帶來改變并協助其進步。我們以慈善基金網絡安全和教育中心TM對教育和普及大眾的承諾而踐行我們的愿景。9網絡安全領導者需具備的9個特質請訪問 www.isc2china.org/cissp/更多詳情請見ISC2中文官網：https:/www.isc2china.org；2021,ISC2 Inc.版

26、權所有。ISC2,CC,SSCP,CISSP,CCSP,CGRC,CSSLP,ISSAP,ISSEP,ISSMPP 及 CBK均為 ISC2 已注冊的認證商標ISC2全球官網：https:/www.isc2.org/網絡安全領導者需具備的9個特質參考文獻1 國際電信聯盟(ITU),“Measuring Digital Development,Facts and figures 2019”,見https:/www.itu.int/en/ITU-D/Statistics/Documents/facts/FactsFigures2019.pdf。2 Datareportal，Digital 2019

27、:Global Digital Overview”,見https:/ Bank My Cell,“How Many Smartphones Are In The World?”,見https:/ 美通社，Ransomware Attack Every 14 Seconds”，見https:/ nds-prilock-announces-3-99-for-1-click-protection-300986165.html。5 Netwrix，“How Can Cybersecurity Help in Business Growth?”，見https:/ -growth/。6 沃達豐，“Cybe

28、r Security:The Innovation Accelerator”，見https:/ 2020年CyberEdge網絡威脅防御報告，見https:/cyber- IBM，2019年數據泄露成本報告，見https:/ 2020年CyberEdge網絡威脅防御報告，見https:/cyber- 2020年Verizon數據泄露調查報告(DBIR)，見https:/ IBM 2020年X-Force威脅情報指數，見https:/ 2020年Verizon數據泄露調查報告(DBIR)。13 2020年CyberEdge網絡威脅防御報告。14 2020年Verizon數據泄露調查報告(DBIR)。15 2020年Verizon數據泄露調查報告(DBIR)。16 2020年CyberEdge網絡威脅防御報告。17 IBM 2020年X-Force威脅情報指數。18 IBM 2020年X-Force威脅情報指數。19 世界經濟論壇當今數字世界領導人網絡安全指南，見https:/www.weforum.org/reports/the-cybersecurity-guide-for-leaders-in-today-s-digital-world。20 2020年Verizon數據泄露調查報告(DBIR)。