2024年网络安全新挑战

重点要点

1. 新的SEC网络安全规则要求上市公司在四天内报告“重大”网络安全事件。
2. 许多公司对“重大”的定义感到困惑，缺乏统一标准。
3. 实时报告重大事件面临挑战，许多公司的损失在事件发生时并不明确。
4. 需要CISO和CFO之间的紧密合作，以更好地评估和管理网络安全风险。

2024年已经到来，安全领导者们面临着一系列新挑战，其中最引人注目的是证券交易委员会（SEC）于12月18日生效的新网络安全规则，要求上市公司在四天内报告“重大”安全事件。这一规则虽然在去年7月首次宣布，但许多安全团队认为，如何有效合规依然模糊不清，让许多公司在实施中倍感压力。

很多安全组织表示，确定“重大”事件的标准是一个很大的挑战。许多人指出，量化事件是否“重大”并非总是黑白分明。因为“重大”标准因公司而异，一个导致$X金钱损失的事件可能对某些公司而言是重大的，但对另一些公司则不然。在没有“重大”影响的明确定义的情况下，安全专家担心这一规则可能显得有些任意，导致一些重大事件未被报告。

公司需要自行确定何为“重大”，并将其作为遵循SEC网络安全规则的第一步。高管应该采取风险管理的方法，评估公司可能因事件遭受的损失严重性，这包括直接损失——例如支付虚假发票的财务损失或需支付的罚款——以及间接损失，如品牌声誉受损的后果。

这需要首席信息安全官（CISO）和首席财务官（CFO）之间的紧密合作，以更好地平衡应对网络风险的成本和不应对网络风险可能带来的后果。CFO和CISO应当学会彼此的语言——CISO需要调整沟通方式，向CFO阐明公司决策如何可能带来风险；反之，CFO也需要理解网络风险以及这些风险如何影响财务报表和报告重大事件的材质性。

及时报告事件的必要性

组织在报告重大事件的时间框架方面也面临挑战。该规则假设被攻击的组织对重大事件有所了解，并应在发现后四天内及时报告。然而，在许多情况下，组织在事件发生后很久才能意识到其实际损失的程度。

有些公司常常遭遇攻击者已经在其网络内部潜伏了几周甚至几个月的事件，比如。最近，美国政府电子邮件账户受到黑客攻击的事件便用到了微软的一个漏洞，攻击者在客户发现异常邮件活动之前，已经在这些账户中潜伏了长达一个月的时间。

为了防范未被发现的安全漏洞或账户被接管的情况，组织需要建立强大的安全基础，并采取分层的安全策略。团队可以从一些阻止渗透的步骤开始，例如建立严密的多因素认证，并结合强有力的漏洞与应用安全程序。

接下来，企业需要增强防御层次，以改善在攻击者成功入侵账户的情况下的检测能力。网络犯罪分子在成功入侵后往往会很擅长于隐匿踪迹，这就是为什么这类事件在基于时间的截止日期下如此难以报告的原因之一。拥有异常检测引擎作为安全堆栈的一部分，可以有助于缩短账户遭入侵后的潜伏时间，甚至可能完全防止此类事件的发生。

增加透明度将对所有关心网络安全的人士有所帮助，公司在与客户和投资者沟通时有责任保持透明。尽管在遵守SEC新网络规则的实际操作上仍存在一些不确定性，但安全领导者可以采取某些步骤来改善合规状态——这些步骤体现了网络安全的最佳实践，无论SEC的新规如何，团队都应当遵循。

Mike Britton，Abnormal Security首席信息安全官