在訪談中，Ornua公司的CISO Adnan Ahmed探討了企業如何制定與業務目標相契合的網絡安全戰略。他解釋了為何許多公司在未充分理解風險的情況下就盲目聚焦技術，最終導致失敗，并分享了將網絡安全融入企業各個層面以增強韌性的方法。

　　Ahmed還概述了成熟的路線圖應如何將零信任原則、運營韌性以及安全文化融入IT和OT環境。

　　如今，當談及網絡安全戰略時，大多數組織從一開始就犯了哪些錯誤?

　　在我看來，組織所犯的最大錯誤是，一開始就以技術為切入點開展網絡安全工作，而非優先考慮風險與業務的一致性。網絡安全常被誤解為一個技術問題，而實際上它是一項業務風險管理職能。若早期未能建立這種聯系，往往會導致決策碎片化，高層參與度有限。

　　有效的網絡安全戰略應從一開始就融入業務目標。這需要識別企業的關鍵資產，評估潛在威脅和動機，并評估資產受損可能帶來的影響，然而，CISO們往往直接跳入采購網絡安全工具的環節，而未解決上述問題。

　　另一個常見的不足在于人員和文化方面。人為錯誤仍是網絡攻擊的主要途徑，然而組織在分配資源時卻過度側重于技術，而忽視了員工的安全意識與培訓。我常說，安全始于家庭，當員工了解如何保護自己和家人時，他們也會將這種意識帶到工作中。

　　合規性雖為必要，但也是需主動考慮的另一要素。滿足監管要求固然重要，但合規并不等同于韌性。攻擊者并不關心你是否合規，他們只會尋找并利用漏洞。

　　在Ornua所處的食品制造等行業，忽視OT和工業控制系統(ICS)安全會帶來巨大風險。全面的縱深防御策略必須同時涵蓋IT和OT。

　　最后，不要忘記第三方風險和事件響應。隨著供應鏈攻擊的增加，公司必須評估供應商的安全狀況。事件響應計劃必須經過實際測試，并包含業務連續性和災難恢復條款。關鍵在于，當事件發生時，計劃必須經過檢驗，而不僅僅是紙上談兵。

　　簡而言之，從風險出發，構建安全文化，保障OT安全，管理供應商，并做好最壞打算。成功取決于跨職能協作、遵循零信任原則，以及將安全視為業務推動力而非障礙的文化。

　　隨著時間的推移，您對戰略的看法是否發生了變化?如果是，是什么推動了這種變化?

　　是的，多年來我的想法已經發生了變化。剛開始時，我的重點是保護IT系統和孤立地降低風險。當時，這并未與更廣泛的業務目標相聯系，而這是我當時沒有意識到的差距。

　　有兩件事改變了我的看法。首先，威脅態勢發生了巨大變化。如今的網絡安全攻擊針對的是OT和ICS。在食品制造行業，這些系統控制著生產線、制冷和安全流程。這些領域的網絡事件不僅會導致數據丟失，還可能擾亂生產，甚至危及食品安全，帶來更為復雜的風險。

　　其次，我逐漸明白，網絡安全不能孤立運作。它必須支持和促進業務運營和增長。如今，我的方法是基于風險的，與我們的業務優先級保持一致，同時仍以零信任原則為基礎。我們專注于韌性，而不僅僅是合規，OT安全是該戰略的核心支柱。最終，保護這些環境對于維持業務運營和確保消費者安全至關重要。

　　安全領導者將網絡安全戰略與核心業務目標相連接的最有效方式是什么?

　　根據我的經驗，將網絡安全與業務目標相一致的最有效方式是使用業務語言進行溝通。安全領導者常常直接使用技術術語，如防火墻、補丁、多因素身份驗證(MFA)、加密等，但這些并非高管們關注的重點。他們關心的是保持業務運營、保護收入和維護聲譽。

　　將網絡安全定位為業務推動力，而非成本，這一點很重要。例如，不要說“我們需要MFA”，而是解釋MFA如何有助于降低欺詐風險并保護客戶信任，這直接影響品牌價值。我還將安全指標與業務KPI相聯系，如生產系統的正常運行時間或評估供應商的網絡安全狀況以加強供應鏈韌性并滿足監管要求。

　　歸根結底，關鍵在于安全如何保護最重要的東西：運營、收入和聲譽。當你運用這種理解時，網絡安全就會成為業務對話的一部分，而不僅僅是一個IT項目。

　　您認為目前哪些新興威脅被低估了?團隊應如何做好準備?

　　目前網絡安全領域被低估的一大威脅是IT和OT環境的融合。在食品制造等行業，攻擊者不再僅僅瞄準企業網絡，而是將目標轉向OT和工業控制系統。勒索軟件攻擊若導致生產停滯或制冷中斷，不僅會造成不便，還會帶來巨大的財務損失和嚴重的安全隱患。

　　另一個常被忽視的領域是供應鏈風險。我們看到攻擊者利用第三方供應商和軟件更新進行攻擊，因為他們知道這些途徑通常控制較弱，且能同時影響多個組織。此外，AI驅動的攻擊正迅速發展，深度偽造、語音釣魚和極具說服力的社會工程活動越來越難以識別。

　　在我看來，OT和供應鏈攻擊是潛在的致命威脅。大多數團隊在生產停止或信任破裂之前都低估了它們。現在是采取行動的時候了：在IT和OT環境中全面采用零信任原則，加強供應商風險管理，并在企業各個層面構建韌性。

　　如果您要為一位正在制定三年路線圖的CISO提供建議，您的首要三項重點會是什么?

　　我會關注三個能產生重大影響的核心重點。

　　首先，識別并優先保護組織最關鍵的資產，包括OT和ICS環境以及供應鏈依賴關系。安全投資應與這些風險相匹配。策略往往一開始就購買工具，而非評估風險，這是一個錯誤。

　　零信任原則必須同時應用于IT和OT環境。在食品制造等行業，保護OT與保護數據同樣重要。資產可見性、網絡分段、安全遠程訪問、身份驗證和持續監控等核心能力必須被視為必要組成部分。

　　雖然監管合規是必要的，但在面對實際網絡事件時，合規并不足以保護企業。當出現問題時，合規不會拯救你。組織必須制定并定期測試事件響應計劃，確保業務連續性措施，并培養安全文化。技術總會有失敗的時候，而快速檢測、響應和恢復的能力才是維持業務運營的關鍵。

　　簡而言之，有效的網絡安全戰略應從風險對齊開始，將零信任原則融入IT和OT，并強調超越監管合規的韌性。網絡安全不僅是一項防御措施，更是維持業務運營的基礎。