长期以来,在“网络安全是什么?”这个问题上,安全和业务两个领域的IT专业人士并没有完全统一认识。安全领域的负责人认为,在提升组织的安全风险应对能力方面,安全流程、技术及工具尤为重要;而业务领域的IT负责人既不熟悉也不太关心安全相关的流程、技术及工具,他们认为在网络风险发生时,保障业务正常运转是第一位的。
本期世界经济论坛的安全调查报告中,试图用“网络弹性”(Cyber Resilience)来让安全和业务两个领域的IT主管们达成共识:既然网络风险发生的可能性很难被完全消除,网络风险发生时,业务的快速恢复能力就变得非常之重要。
一、前 言
本报告是世界经济论坛(World Economic Forum)联合埃森哲公司一起针对2021年的全球网络安全状况做的调查研究报告,调查对象是来自20个国家的120位全球网络领导者。
在报告前言中,世界经济论坛总裁Jeremy Jurgens谈到:
网络安全是第四次工业革命中覆盖技术、人和过程的基础系统; 不仅仅是一项独立的技术,本次世界经济论坛中网络安全核心话题-构建网络弹性; 本报告将有助于构建网络弹性生态系统。
.png)
.png)
二、摘要:帮助决策者做好应对下一代网络攻击的准备
81%的受访者认为,组织的数字化转型催生了网络弹性需求;多达87%的高管正在计划提升网络弹性(策略/过程/标准)来应对和管理组织数字生态系统。
我们的研究揭示了安全领域高管(首席信息安全官)和业务领域高管(首席执行官)之间的三个关键的认知差距:
① 商业决策中网络弹性问题优先级:92%业务高管同意 vs 55%安全高管同意。
② 网络安全问题获得领导层支持:在网络弹性投入得到领导层支持上,84%受访者表示业务问题优先;只有68%受访者表示风险管理优先。许多安全领导人认为组织进行商业决策很少咨询他们,这会导致安全问题。
③ 网络安全人才的招聘和保留:59%的受访者认为团队缺乏技能是应对网络安全事件时的挑战。在网络安全人才的招聘和保留问题上,业务高管并不像安全高管一样重视这个问题。安全高管认为缺乏足够的人员是他们应对攻击时的主要弱点。
调查报告中三大威胁排名:
① 勒索病毒:调查证实勒索病毒攻击是网络领导人最关心的问题;
② 社工攻击:社会工程学攻击social-engineering attacks;
③ 内部恶意攻击:malicious insider activity。在职或离职员工、分包商或受信任的合作伙伴滥用授权访问关键资产给组织造成的负面影响。
中小企业(SMEs)被视为供应链、合作伙伴网络和生态系统的关键威胁。88%的受访者担心生态系统中中小企业的网络弹性。
需要制定有效的法规鼓励合作伙伴之间信息共享和协作。超过90%的受访者表示从合作伙伴获得了有价值信息。
三、调查详解:新常态下,网络入侵越来越频繁和复杂
如图一所示,我们看到:受疫情等因素影响全球线上业务快速增长。
图一、互联网上每分钟产生的数据量估算
图二、您的组织最关心哪种类型的网络攻击?
从图二的调查结果中,我们看到新一代的攻击中,勒索病毒、社工攻击、内部恶意行为是最常见的三种攻击。其中勒索病毒对组织的风险和破坏都在持续加大。
报告中还谈到:
每起攻击事件造成的平均损失360万美元; 识别和应对网络攻击的平均周期280天; 2021年1-6月,全球网络攻击数量同比增长151%; 勒索病毒攻击显著增加(全球有100+种变种); 2021年平均每个组织遭受270次攻击,较上年增长31%; 对比2020年的61%,2021年81%的受访者认为应对攻击者是“烧钱”的持久战 .png)
如图三所示,当前个人网络安全风险最常见的三种是:勒索病毒、身份盗用、关键基础设施故障导致的攻击。
对于个人应对勒索病毒攻击的措施,报告的调查反馈是:
员工相关培训(61%) 离线备份(58%) 网络保险(57%)
我们需要的不仅仅是复杂的保护,还需要从网络事件中快速恢复的能力; 84%的受访者同意“网络弹性被视为企业的优先事项”; 87%的网络领导者表示对自己的网络弹性充满信心,并将网络弹性融入企业风险管理战略。
如何从防御网络攻击向网络恢复能力转变; 如何构建攻击发生后的响应和恢复能力; 网络弹性的构建应该聚焦在策略、流程、第三方接入等三方面; 67%的网络领导者表示采用了网络弹性做法; 19%的领导者相信组织具有网络弹性。
71%的受访者表示购买了网络保险; 74%对组织网络弹性有信心的受访者拥有网络保险; 45%对组织网络弹性有担心的受访者没有网络保险; 由于勒索病毒的攻击,2021年网络保险费增长了180%。
图四、网络风险、网络弹性、网络安全的三者关系
报告在图四中展示了网络风险、网络弹性、网络安全三者的关系,网络安全和网络弹性的相关工作有效管理了组织的可缓解风险。
关于网络弹性的发展趋势,报告还谈到了这些观点:
向网络弹性的转变将是未来两年各组织的重要目标; 任何经得起考验的网络安全战略其核心都是弹性能力; 运营环境和供应链被利用的缺陷越来越多; 黑客攻击成本低于组织防护成本的差距持续在加大; 组织需要持续对网络弹性投资以规避网络攻击带来的损失。
四、安全与业务的不同视角
在组织的网络管理中,一直存在聚焦安全和聚焦业务两个视角差异,随着业务和安全主管之间的理念差距拉大,网络领导者越来越发现自己处于不稳定的境地。
报告认为,业务和安全两个不同视角有三个主要认知需要统一:
① 网络问题优先级
② 商业决策支持
③ 网络安全人才
图五、网络空间:安全与业务两个不同的视角
同时,组织的网络空间负责人还需要考虑:
随着网络安全领导者任务的演变,在了解和保护关键业务的同时,应对网络事件造成系统故障和影响的能力变得至关重要; 网络领导者必须适应新的技术进步,并了解自己的网络、供应链和第三方对生态系统的接入; 网络安全团队应该在预算范围内尽力留住人才、部署安全设备及防御措施,以应对不断变化的威胁。
网络弹性在商业中的优先级方面,报告的调查结论也反映出来安全及业务视角主管之间的差异:
五、保护组织的生态系统
在组织的数字生态网络保护方面,报告谈到:
在连接创造价值的数字时代,数字生态系统更需要有效保护来对抗可能出现的威胁; 组织来自数字生态的威胁日益加剧; 近年来,第三方接入引发的间接式网络攻击呈上升趋势,占比从44%上升到66%; 44%CEO认为,来自软件供应链的攻击将会加大组织的网络安全管理压力; 58%的被调查者认为组织的网络弹性远远强过他们的合作伙伴; 40%的组织发生过来自第三方接入的网络攻击事件。
公司、政府及个人必须意识到第三方接入带来的威胁,从三方面来构建应对措施:
1、掌握第三方的网络拓扑结构,包括所有的网络终端;
2、除了关注预防风险发生之外,还要重视故障发生后恢复能力;
3、加强生态系统在业务运营中的接入管理。
从报告的调查结论看,当前各组织的数字生态系统都还存在不同程度的脆弱性,40%组织曾经受到过来自其生态系统内第三方接入网络事件的不利影响。
图六、组织是否向数字生态中的合作伙伴分享过网络安全弹性能力及实践经验?
图七、数字生态中的第三方披露网络事件的制约机制
图八、保护数字生态安全组织可采取的措施
六、报告结论
随着数字化进程推进和新技术的引入,网络风险将不可避免的持续加大。
AI、机器人技术、量子计算、物联网、云计算、区块链和远程工作和学习模型等前沿技术在推动数字世界发展的同时,也会带来潜在的网络风险和漏洞; 量子计算可能会打破目前大多数企业、数字基础设施和计算机所依赖的加密技术; 48%的受访者表示自动化和机器学习将在短期内带来网络安全领域最大的变革。
https://www.weforum.org/reports/global-cybersecurity-outlook-2022
东软网络安全 微信号:Neusoft_NetEye
