2017年11月21日,安永照例發佈了第20次全球信息安全調查報告(2017~2018年度)(GISS)。這次報告的主題爲《重獲網絡空間安全的主動權:準備面對網絡***》。報告核心由4部分內容構成,分別是:直面網絡威脅、掌握威脅形勢、對抗威脅、應急服務:***響應。
報告基於在2017年6月到9月間調研全球近1200個客戶的高級主管後形成。
報告在一開始引述了幾個引人注目的數據:
1)根據世界經濟論壇(World Economic Forum)的2017年全球風險報告,大規模網絡安全破壞位居當今世界面臨的五大最嚴重風險之列;
2)根據Cybersecurity Ventures的《2017版網絡犯罪報告》,到2021年,網絡安全破壞帶來的成本將達到600億美元,是2015年的2倍;
3)根據Ponenom研究所的《2017年數據泄漏成本研究》顯示,組織因陷入網絡***而面臨的重大聲譽損失和直接泄漏成本,平均達到了362萬美元;
4)根據即將在2018年生效的歐盟《通用數據保護法》(GDPR),監管機構可以對出現數據泄漏和明顯管理不善的組織處以其全部營收2%到4%的罰款。
報告的主要發現包括:
EY敬告每個組織都必須對可能發生的網絡安全問題做最壞的打算。EY總結了三種***模式:普通***、高級***和新興***。
針對三種***,EY建議客戶建立多層的對抗體系。
1、對抗普通***,單點的防禦方案依然是獲得網絡安全彈性的重要組成部分,員工安全意識也很關鍵。
2、對抗高級***,EY首先推崇企業和組織建立SOC,並表示依然還有48%的組織尚未建立SOC。EY認爲SOC對於組織建立威脅檢測的能力十分重要,通過SOC能夠不斷地推動組織從被動防禦邁向主動防禦。EY認爲主動防禦是組織對抗高級***的關鍵戰略,至少可以包括以下四個方面:
(1)明確最重要的保護對象。Prioritizing the crown jewels – in any organization, certain assets, including people, are particularly valuable and must be identified and then protected especially well;
(2)通過定義正常來發現異常。Defining normal – it is important for organizations to understand how their networks normally operate. Cybersecurity analytics tools use machine learning to define the “normal” and artificial intelligence to recognize potential malicious activity more quickly and accurately;
(3)利用威脅情報。Advanced threat intelligence – by working closely with threat intelligence providers and developing in-house analyst capability, it is possible for organizations to build a much clearer picture of the threat landscape – including the identities of C-level executives;
(4)安全演練、威脅場景分析。Active defense missions – these are exercises planned and executed to proactively defeat specific threat scenarios and uncover hidden intruders in the network。
3、對抗新興***。EY表示,實際上,任何組織都無法預見正在出現的所有威脅。然而,創新的組織能夠想象到未來潛在的威脅,並在他們的網絡安全體系中建立一種敏捷的能力,以便在威脅發生時能夠快速採取行動。
EY針對三種對抗給出了一套對策總結:
既然***最終都是無法避免的,我們就要做好最壞的打算,做好應急與響應。EY建議客戶事先建立一套網絡泄漏響應計劃(CBRP)。計劃中應該考慮到以下6個方面的內容:安全、業務連續性、合規、保險、PR、法律訴訟。注意,安全只佔六分之一的事情!這個計劃要考慮的東西遠超安全本身。從某種角度看,這個CBRP有很多屬於危機管理的範疇。
此外,整個報告還特別值得注意的就是EY繼在上一次GISS調研中提出了網絡安全彈性的概念後,進一步強化了這個概念。在這次報告中,EY給出了一個企業和組織達成網絡安全彈性的構成要素圖:
如上圖,根據我的理解,達成網絡安全彈性包括五個部分:以人才爲核心,作爲企業整體戰略的必要組成並不斷創新,風險聚焦,智能和敏捷,彈性與可伸縮性。其中,這裏我想對“風險聚焦這”點多談一下,尤其是其中的“風險管理與偏好”。EY並未就此給出具體的闡釋,但我結合我個人的感受,包括Garnter峯會上提出的CARTA,都很清晰地指出企業和組織的安全管理其實都是一種風險管理。現在我們大談威脅、漏洞、***、數據,但千萬不要忘了風險!事實證明,我們防不住,我們也沒有必要全部都防住!我們常說:“沒有絕對的安全”,我們也要問自己,“需要絕對的安全嗎”?所以我認爲,安全問題是一個風險管控的問題,可控就好。
回到報告。總之,EY希望企業和組織將網絡安全置於整個企業和組織戰略的中心,至少從一開始就要讓高層主管認識到網絡安全絕不僅僅是信息安全部門或者IT部門的事兒。也唯有如此,才能真正獲得企業和他們客戶的成功。看來EY的這個報告主要是要給企業和組織的老大們看的,他們不認識清楚,一切都搞不成。這就有點像我國成立中央網絡安全和信息化領導小組一樣,企業要將網絡安全置於與信息化同等重要的位置,安全和發展要兩手同時抓,要先做好頂層設計,要自上而下的抓。
【參考】