发布于2022年10月16日3年前 白宫最近宣布了一项 10 亿美元的网络安全拨款计划,旨在帮助州和地方政府改善其网络防御,尤其是在保护关键基础设施方面。最近的行政命令源于近一年前签署的 1.2 万亿美元的基础设施法案。该法案拨款 10 亿美元,用于在一系列备受瞩目的勒索软件攻击之后保护关键基础设施免受网络攻击,例如导致殖民管道瘫痪的那次。 那些希望利用这些资助机会的政府机构必须在 11 月中旬之前提交一份赠款提案。提案仅在计划发布后的 60 天内被接受。 赠款接受者可以利用这笔资金投资于新的网络安全计划或改进现有的防御措施。获奖者保证获得至少 200 万美元。然而,该计划的要求规定,80% 的资金必须投资于当地或农村社区。此外,接受者必须将收到的资金的至少 3% 分配给部落政府。 尽管私营部门的公司没有资格获得这些赠款,但私营部门可能会看到间接收益。政府越来越关注网络安全这一事实肯定会帮助 IT 安全团队,因为这将引起人们对解决网络安全威胁的严肃性的关注。 反过来,这种全国性的关注应该使 IT 安全团队更容易获得预算批准。 确保您自己的 2023 年 IT 安全预算 即使在最好的情况下,为 IT 计划获得资金也可能很棘手。当前的经济衰退通常会使 IT 安全团队几乎不可能为新的安全计划获得资金,除非发生某种灾难。然而,联邦政府目前对网络安全的重视可能会给 IT 专业人员提供机会,让他们有机会就其组织内的安全问题进行坦诚的讨论,这最终可能会导致安全项目获得资金。 以下是IT 专业人员可以用来提高获得所需资金的几率的六个基本步骤: 第一步:概述问题 第一步涉及向上级证明您的项目旨在防止可信威胁。最近的头条新闻可以帮助提供您需要的证据,并让您有机会证明如果政府正在认真对待网络安全威胁,那么您的组织也应该这样做。此外,如果政府正在加强其网络防御,那么攻击者可能倾向于转向更软的目标,例如仍然依赖传统安全工具的企业。 第二步:证明你的观点 这就引出了本文中概述的第二步,即利用数据为您带来优势。这可能意味着引用最近的网络犯罪统计数据或使用可用的安全工具从您自己的组织收集统计数据,突出您正在尝试解决的问题。 第三步:提出解决方案 接下来,您需要强调您提出的解决方案将做什么。证明安全问题是真实存在是一回事,但您还需要准备好解释您的预期解决方案将如何解决问题。 第四步:设置日期 第 4 步是关于创建实施计划的全部内容。那些负责管理组织财务的人几乎总是关心投资回报。换句话说,新收购的产品需要多长时间才能提供足够的收益来抵消其成本。您需要证明您提议的解决方案的成本是合理的,并且将在合理的时间内实施并提供投资回报。这也让您的整个利益相关者团队对商定的时间框架负责。 第五步:给他们看钱 在此批准过程中,您需要证明公司的估计节省。是的,您的新安全工具可能会保护组织免受因勒索软件攻击或违反法规而造成的灾难性财务损失,但以其他方式显示节省也很重要。例如,采用新工具会减少 IT 部门的加班时间吗? 第六步:带来研究 最后,您需要表明您已经查看了竞争解决方案并准备了价格比较。如果您提出的解决方案不是最便宜的选择,那也没关系。只要确保您可以合理化为什么不推荐最便宜的选择。 用数据证明对 IT 安全预算的需求 当然,在您开始为增强的网络安全防御寻求资金之前,您需要展示您的组织如何可能面临网络攻击的风险。由于许多此类攻击以 Active Directory 为目标,因此您可以通过使用 Specops Password Auditor 扫描您的 Active Directory中的密码漏洞来开始数据收集工作。 这个免费的只读工具可以帮助您检测不符合您的密码策略或合规要求或行业最佳实践的密码。更重要的是,您可以找出哪些用户正在使用已知已从超过 8.75 亿个数据库中泄露的密码,从而使这些帐户容易受到攻击,因为他们的密码可以在暗网上购买。 Specops Password Auditor 只是在线提供的无数免费安全工具之一,但它是一个很好的起点,因为它可以很好地检测您自己组织中目前存在的真正安全漏洞。
