有的领导连弱密码都不换，你让我怎么管？

由于高管的数字资产和私人生活可能成为攻击目标，各企业仍需努力应对这一问题。根据上文所指报告，58%的受访者表示，他们的网络、IT和物理安全战略中没有涵盖针对高管及其数字资产的威胁防护，只有38%的受访者表示，他们的企业里会有特定的团队致力于防护那些针对高管及其家人的网络攻击。

报告还发现，在受访者中，42%的人表示他们企业的高管和家庭成员已受到过网络犯罪分子的攻击。其中，47%的人指出，针对他们高管的网络攻击会导致敏感财务数据被盗；而45%的人表示，他们高管被攻击的后果直接导致了重要商业伙伴的流失；另有36%的人表示，他们企业的知识产权和公司信息因此受损。

Sarraf对此强调，企业需要注意的是，敏感信息是如何从企业内部泄露出来的。按报告所示，财务部门和市场营销部门最有可能向高管的个人电子邮件发送敏感数据，其占比分别为23%和22%，同时行政部门和董事会成员也会将敏感信息发送至彼此私人的社交软件，前者占比21%，后者占比19%。

Sarraf表示，每位CISO都该知道的是，高管们的“私生活”可能是企业里最薄弱的环节，不仅仅是他们在公司里的设备和账户，更重要的是他们在家里的网络环境，比如家庭服务器、家庭安全设备、家庭网络设备等。因此，他们私人的社交媒体软件就是一大问题，其中所存在的漏洞是大多数人无法预估的，如果无法让他们重视起自己的私生活，就会为企业带来无法想象的安全风险。BlackCloak首席执行官克里斯·皮尔森（Chris Pierson）曾说过：“我们的家庭环境早已是新的攻击面。”

Sarraf对此表示认同，并提议执行委员会应该关注这一点，并努力解决此类问题。相关安全风险包括了家庭地址、个人手机号码等隐私的暴露，在上文所指报告中，57%的受访者强调了个人电子邮件的暴露，34%的受访者强调了网络冒充，25%的受访者强调了人身攻击，还有25%的受访者强调了勒索软件攻击。其中只有32%的受访者表示，他们的高管会认同自己对企业数字资产的安全，负有一定的个人责任，同时也只有38%的受访者表示，他们的高管能了解其个人数字资产正面临着怎样的威胁。

另一方面，过去疫情肆虐的三年里，混合办公已成为了趋势，工作和个人生活之间的边界越发模糊，所以也就不难理解，为什么高管们面临的风险正在迅速增加。更不要说复杂的地缘政治、国际形势，都在促使不法者对各行各业的网络进行攻击，特别是在那些风险较高的行业里，因此企业经营者、企业领导人会首当其冲，他们个人的私生活也就成为主要的攻击目标，这就是为什么企业高管更应该关注个人数字安全。

毕马威（KPMG）澳大利亚公司网络服务合伙人格甘娜·温泽（Gergana Winzer）表示，一家大型组织，尤其是那些上市公司，他们的高管团队或许在媒体和社交平台上有着一定的影响力，那对不法者来说，这些人自然而然也就成为他们的“任务和工作”。温泽认为：“一些规模较小的犯罪分子已经意识到，可将那些易于购买的在线恶意软件或勒索软件部署到这些高管成员的身上，这样就能获得足额的金钱回报。”

Sarraf说，CISO需要准确地了解，企业和个人这两方面的风险环境是如何交叉的，这样才能解决根源问题。为此Sarraf建议CISO可做好这四件事，以确保高管在办公环境之外能得到保护。

首先，CISO要对领导层、对执行团队风险状况的变化保持警惕。这些盲点可能出现在一位常露面于媒体的首席执行官身上，比如那些会公开接受公众审查的企业经营者，再比如那些常参与股票市场交易的公司高层，或纯粹因为出名而被邀请参与媒体对话的企业创始人。

温泽对此补充，CISO可将高管们常用的社交软件统计起来，其中包括私人邮箱、私人社交平台等，然后和高管们的这些账号保持同步，以作监督。同时，找出这些高管在个人生活中可能面临的最大风险是什么，这就需要了解和这些高管相关联的业务是什么，并在此基础上部署安全措施，以减少风险。

“复杂的网络攻击不会直接对公司的系统下手，而是会从攻击高管开始，然后再一点点往下深入。作为预防措施，CISO需要对领导层和执行团队的风险状况保持警惕，这意味着CISO需要保持好奇心，可以不断去发现盲点，因为所谓盲点往往会带来巨大的影响。”

其次，CISO要确定公司需要保护的重要资产是什么，这样就能同步对风险评估、个人攻击、区域防御等，制定相应的缓解策略了。这意味着要确保尽可能多的威胁或漏洞已被记录在案，并同时要对这些风险进行深度思考，这有助于评估任何个人违规行为所带来的影响和概率。作为CISO，我们要明白的是“计算威胁对C级高管和董事会成员意味着什么”，然后从这个点上采取行动，并同时需要基于风险偏好。

缓解策略中比较重要的因素是，这些高管肯公开披露自己多少信息，其中又有哪些信息是非常必要的。这是因为CISO需要获取尽可能多的信息来评估威胁，并将其放入风险登记册，然后采取措施。温泽强调，千万不能忽视这点，因为这就是网络中的一部分、一个环节，如果我们忽视了个人所带来的信息，黑客就能因此痛击我们。

第三点，CISO要确保高层管理人员接受过有效的网络安全培训。所有员工都应参加量身定制的意识培训，包括网络钓鱼模拟练习和桌面练习。同时，培训内容应该成为企业安全改进计划的一部分，如果经过了这些培训，企业还不能在日常办公时有效实施，那培训就应该跨越人员、流程和技术，以提高培训的影响力和涉及人群。随着监管罚款不断提升，随着声誉损害的后果越发严重，相关培训需要扩展至供应链以及安全社区的智能生态系统。

国内安全专家齐迹曾对此提出过相应的建议，他表示，CISO要为高层建立安全培训程序，让高层能够掌握基本的安全原理，在家庭和工作环境中做出正确的安全行为，从而最大限度地减少在使用信息安全技术上可能存在的风险。另一方面，CISO还需要通过事前风险识别、风险管理和风险监测等手段，实时发现并处理高层可能在家庭和工作环境受到的安全威胁。

另一位安全专家辛琰也指出过，在对高管安全意识的培训方面，同业的监管处罚及网络安全案件是最好的警示案例，其可让高管意识到网络安全的重要性。她强调，网络安全是每个企业应尽的职责，如果发生网络安全事件，重则触犯法律，因此企业要争取将高管层安排参与进实际攻击的演练，比如钓鱼邮件演练、勒索软件攻击演练，很显然，切身感受比口头说服更管用。

最后一点是分担责任，即CISO应与其他高层管理人员合作，共同承担责任，这意味着了解企业之中共同的风险。

Sarraf介绍，国外为高管提供数字保护的科技公司开创了三种新的解决思路：搜索公共可识别信息（PII），删除任何可能用于攻击的数据，以及监控新信息。除此之外，Sarraf还介绍了相应的安全产品和安全服务供应商：

1、BlackCloak的Concierge网络安全和隐私平台涵盖了高管安全的几个重要方面，包括持续的深度扫描、身份盗窃保护、设备隐私强化、每周家庭网络渗透测试和入侵检测，以及个人设备安全并提供补救服务。

2、DeleteMe可能是市面上最简单的隐私管理产品，据该公司声称，DeleteMe平均能删除数百个数据代理，以及在其他网站上可能会暴露的各种个人数据。

3、Norton的Reputation Defender是一款更简便好用的产品，它可以进行暗网扫描，标记可能会暴露领导信息的社交媒体档案，并同时能收集可能用于鱼叉式网络钓鱼和社交工程攻击的信息。

4、360 Privacy的数字高管保护能检查并删除PII，同时还能扫描暗网，查找相关的威胁、泄露的信息和密码。

对于CISO该如何管控好企业高层的网络安全问题，国内外安全专家如此建议。

知乎安全专家“ICT系统集成阿祥”建议，CISO应该采取以下措施来管控好企业高层的网络安全问题：

1. 宣传意识：向高层管理人员介绍网络安全的重要性和潜在风险，以及他们对确保企业安全的角色和责任。

2. 安全培训：为高层管理人员提供网络安全培训，以了解最新的网络安全威胁和如何保护企业资产。

3. 网络安全计划：与高层管理人员一起制定网络安全计划，包括制定安全策略和流程、分配安全职责和资源，并确保计划符合企业目标和战略。

4. 安全审核：定期进行安全审核，以确保高层管理人员的计算机和设备安全，包括强密码、最新的安全补丁和防病毒软件。

5. 安全监控：实时监控企业网络和系统，以便发现和消除潜在的安全威胁和漏洞。

6. 应急预案：与高层管理人员一起制定应急预案，以便在网络攻击或数据泄露事件发生时能够快速有效地采取行动。

7. 持续改进：定期对企业网络安全计划进行评估和改进，以确保它们能够适应不断变化的威胁和技术。

某金融企业安全专家李泽帮在企业高层的网络安全管理方面，提出了三点建议：

1. 增强高层的安全意识。

要定期对高层进行网络安全培训，让他们了解网络安全的重要性、常见的威胁与攻击手段，并提供一些基本的防范措施给到他们。这可以让高层形成必要的安全意识，在遇到安全问题时能够及时做出一定应对，也有助于协助安全人员处置风险、执行安全策略。

2.制定针对高层的专门安全策略。

在获得授权的情况下，在合规标准范围内必要地调研高层的网络使用情况和特点分析，制定专门的网络安全策略与控制措施。如途径的网络设备的安全基线管理、入侵防护和检测、访问控制与内容过滤等，终端上关注准入有效性、杀软和EDR可用性、本地敏感数据生命周期等。

3.呼吁高层加入网络安全建设

在各行业与网络安全相关的标准文件中，上层领导在安全组织架构中必不可少，并且所参与的活动不仅限于建设，还包括常态化的攻防演练、渗透测试、应急演练、安全运营等。通过实践的方式让高层切身体会自身的责任，强化单位安全价值。

而关于“高层领导的家庭网络管理”这个场景，李泽帮表示，通常企业所处的行业、经营规模、性质等达到一定高度，才会在这方面有明确要求，但仅从建议出发也还是可以酌情提出以下4点：

1. 梳理高层的家庭网络情况

可通过自查、访谈的方式了解高层家庭网络中存在的网络设备，除了基本的拨号接入，还有常见的家庭WIFI、网桥，现在还有比较流行的物联网设备如电子门铃、语音助理、家庭摄像头等，这块工作更依赖于安全人员对家庭网络设备和物联网的了解，如调研不充分就会导致防范空缺。

2. 定期对高层的家庭网络进行安全监测

现如今家庭网络设备五花八门，厂商规模不一，暴露在互联网上的资产很容易通过特征截获，一旦产生高危漏洞就会迅速失陷，造成一定损失。可根据已梳理的资产清单，定期监测各威胁情报平台发出的漏洞通告，及时预警用户进行修复。

3. 制定家庭网络的安全优化方案。

现在有很多专门为企业设计的安全终端设备，如果企业性质必要且成本可控，可以考虑进行同类设备的替换，比如EMM。存放敏感数据的设备可采用桌管、准入等进行网络隔离、行为控制和审计。同时为严格把控个人信息和敏感数据的区分，防止产生数据合规风险，可用SSLVPN、零信任vpn进行应用安全访问，有条件的更可以考虑ipsecvpn，实现安全通信。

4. 为高层提供专门的安全支持与服务。

在拥有该场景的需求下，可以将该场景纳入安全应急响应范围中，又由于家庭网络设备厂商复杂，供应商的应急联系人以及供应链安全要求都需要提前沟通和准备。

“总体而言，就是要为高层提供专门的信息安全支持与服务，如定制化的网络安全培训与宣导、家庭网络安全改造与加固、个人隐私与资料加密及备份方案等，这需要安全团队具备较高的专业水平与服务能力。但在实际场景中，这类管理太过敏感，如没有经企业、行业、国家等明确文件的指导下进行是有一定困难和风险的，请大家一定要注意切莫‘好心办坏事’。”

在“高管数字保护软件供应商”推荐方面，李泽帮推荐：“国外如：某铁克、某咖啡、某卡巴、某Bit……，国内如：某guard、某擎、亚某……，这些厂商在终端防护上是符合较多场景的，具体可根据企业需求充分测试后选型。”

除此之外，李泽帮指出，站在甲方角度的安全人员，行事不仅要专业，更要考虑到合规。完善的制度才是最有力的工作推手，尤其是涉及向上管理、跨级管理的情况，做事有理有据、事半功倍。

李泽帮说，上层领导涉及的数据敏感级别通常更高，对非自身专业的技术不一定能共情，难免需要一定沟通成本，所以平时与安全相关的活动，多邀请领导参与，经历丰富以后沟通也会顺畅很多。同时，甲方安全人员平时也可以多关注行业内头部企业的建设分享，头部企业作为标杆和示范通常都会研究比较前沿的技术和方案，上级对安全也会非常重视，行业间的联系加强，就能共同实现一个通用的最佳实践。

而某企业安全专家ziven提出，随着监管的力度越来越大，安全业务范围也水涨船高，企业高层作为首当其冲的监管对象，同时外部环境又充斥着大量钓鱼、水坑、社工等风险，企业高层自然会成为重点目标。高层掌握了越来越多的企业运营信息，决策信息，以及业务核心数据信息，相应的，对于高层人员，以及设备、环境等都更需要专项防护。对于这个领域，ziven表示自己是抛砖引玉，希望可以引起安全界更多的重视。

对于高层安全防护，ziven建议主要从以下几个方面进行：

1.设备安全。高层设备通常具有较高的数据，业务访问权限。对于设备的防护，一般建议使用由安全团队定制并监控的设备，定制的内容包括但不限于系统定制、系统加固、mdm防护、设备级可信认证、多因素设备认证、电子围栏、数据和磁盘加固、ueba、dlp等等。

2.应用和访问安全。高层敏感设备使用的应用均需通过安全审计后才能安装，持续监控应用行为，已经特定应用建立应用沙盒，尽量做到数据不落地，另外对于应用安装，需要安全团队协助进行操作，确保应用权限的合理性，并充分使用系统新特性，比如特权限制等。对于访问来说，zta、账号异常监控、生物特性识别均具有较高的roi。

3.环境安全。高层使用设备的网络环境、物理环境均需进行安全评估，防止网络设备漏洞、dns欺骗，并部署和进行定期安全检测、可信dns等，对于特别敏感的高层，需要注意环境电磁防护、玻璃防窥、设备防窥。并持续进行安全意识教育。

以上是ziven的一些经验与想法。对于高层安全来讲，一定程度上，可以看作是一个独立的领域，不仅要考验安全人员的全局设计能力，更考验安全人员协调和沟通能力，也欢迎大家能够更深入思考，如何更大程度保障企业以及高层的安全。

对CISO来说，向上管理可能很难，一方面是安全部门的地位虽然正水涨船高，但依然没能到达举足轻重的地位，或至少对大多数的企业领导来说，业务才是首要的，安全相反有点“拖后腿”。因此，在向上管理时，沟通就显得无比重要了，“将安全和业务挂钩”是业内大佬们常说的金句，其目的是让领导明白，安全和业务同等重要，若业务无法在安全的环境中运营，那最后只会功亏一篑。

同样的道理，在如此趋势下，要通过沟通让高层们明白，他们的个人生活已经关系到了企业盛衰，若无法做好个人的网络安全卫生和数字资产保护，那他们自己就是攻击者最好的突破口。从这个角度告诫高层，并同时推波助澜相应的安全培训，长此以往，企业就能从上至下将整个安全理念落实下来，这对企业的发展、对安全体系化的建设来说，都是最好的方针和实践。