网络安全的“拖油瓶”:网络弹性
随着网络犯罪和高级持续攻击的“民主化”和“常态化”,越来越多的企业信息主管和网络安全团队开始关注“网络弹性”,但很多企业的网络弹性指标和框架其实与网络弹性无关。
网络安全的“B面”:网络弹性
网络弹性(Cyber Resilience)和网络安全(Cyber Security)是两个不同性质但又密切相关的概念。网络安全主要关注的是预防和抵御网络攻击,保护网络中的数据和服务不受威胁。这涉及到使用防火墙、加密技术、身份验证、入侵检测系统等技术来防止未经授权的访问、数据泄露,以及其他类型的网络攻击。网络安全的目标是防止攻击发生,如果发生攻击,尽可能地减小攻击的影响。
网络弹性则是指网络在面临攻击或者其他不利情况(例如设备故障、自然灾害等)时,能够维持其关键功能,或者在攻击后能够快速恢复的能力。网络弹性的关键是设计和实施一种能够适应和恢复的网络架构,这可能涉及到负载均衡、冗余设计、故障切换、灾难恢复等措施。
在某种意义上,网络弹性可以被看作是网络安全的一部分。一个具有良好网络安全能力的系统应该具备处理和抵御网络攻击的能力,同时也需要具备在面临攻击或者其他突发事件时,保持关键操作和服务运行,或者快速恢复到正常状态的能力。然而,网络弹性更侧重于系统的适应性和恢复力,而网络安全更侧重于防御和保护。
总的来说,网络安全和网络弹性都是构建一个安全、健壮和可靠网络系统的关键组成部分,二者缺一不可,但是在具体实践中,很多企业都对网络弹性缺乏足够认识和准备。
网络弹性计划大多不成熟
Immersive Labs的一项研究显示,在外部威胁的驱动下,企业有加强网络安全能力的强烈意图。但遗憾的是,虽然大多数企业都宣称自己有网络弹性计划,其中超过一半都缺乏评估弹性的全面方法。
“攻击者的参与规则不断创新,试图造成灾难性和不可避免的情况,”Osterman Research分析师兼调查白皮书作者Michael Sampson指出:“虽然网络弹性是大多数组织的希望所在,但大多数组织构建、测试和提高网络弹性的做法仍不成熟。”
这项研究由奥斯特曼研究公司委托进行,调查了拥有570多名员工的组织中担任高级安全和风险角色的1000名受访者。该调查在美国、英国和德国进行。
调查的一些重要统计数据和结论如下:
- 虽然大多数(86%)组织都有网络弹性计划,但超过一半(52%)的受访者表示,他们的组织缺乏评估网络弹性的全面方法。
- 这些网络弹性计划包括网络弹性战略、计划和/或基础设施的组合,其中大部分由组织内部管理(51%)。与此同时,一小部分外包给第三方,如咨询公司(35%)。
- 公司缺乏适当的指标来评估网络弹性,近一半(46%)的高级安全和风险领导者缺少合适的指标来展示其员工抵御网络攻击的弹性,只有6%的公司利用了响应时间、入侵率、内部数据丢失和各种数据类型的事件率等信息指标。
- “我对组织用来评估网络安全能力和弹性的指标感到失望,”桑普森说:“大多数企业都依赖与弹性无关的指标、测试和指标评估框架。”
- 调查还表明,在过去六个月中,只有不到一半(46%)的组织的董事会要求安全团队展示组织的网络弹性。高级管理层提出该要求的比例也仅为51%。
“很多压根没有网络弹性指标的企业仍然每年向董事会数次报告网络弹性,这也着实令人惊讶和费解,”桑普森补充道:“我们不知道这些报告的具体内容,但混淆现实对所有利益相关者来说都是坏消息。如果组织的董事会开始要求提供证据,并深入研究为弹性评估提供信息的内容,那就太好了。”
安全意识培训方法亟待变革
网络安全威胁是网络弹性计划的主要驱动因素。63%的受访者表示他们担心勒索软件,51%的受访者担心供应链攻击,48%的受访者担心代码漏洞攻击。
“网络弹性能力的低下被威胁的混沌属性进一步放大:勒索软件、供应链和第三方攻击以及编码漏洞,”Sampson说道:“这些攻击的许多方面仍然是动态的、混乱的,并且不受组织的控制。”
对行业安全认证的不信任是调查发现的另一个关键问题。虽然几乎所有(96%)的组织都支持网络安全行业认证,但只有32%的组织表示这在缓解网络威胁方面有效。此外,尽管96%的组织表示他们鼓励IT和网络安全团队获得证书,只有48%的企业在招聘中将网络安全认证作为重要条件。
此外,业界的(网络安全意识)课堂培训的频率也不足以有效应对网络安全威胁,因为只有大约27%的受访者每月接受培训。
“虽然认证和培训在培养特定领域或产品的能力方面可以发挥作用,但它们不太适合评估个人如何将这种能力应用于‘野外’事件以及与团队中其他人的关系。”Sampson补充道。
尽管接受了多年的安全意识培训和网络钓鱼测试,但近一半的受访者(46%)表示他们的员工仍不确定如何处理网络钓鱼电子邮件。这表明业界通行的安全意识培训方法存在巨大的改进空间。
Sampson认为,网络安全认证与安全意识培训的内容开发、个人学习和能力评估之间的时间间隔与快速发展的威胁形势不匹配,导致个人在面对真实的网络威胁时的实战表现总是低于预期。
最后,该研究得出的结论是,企业需要优先考虑网络安全工作,重点工作是培训整体员工队伍(而不仅仅是IT部门)的安全技能、知识和判断力,同时积极评估和解决网络弹性水平和网络安全技能的差距,以在快速发展的网络安全环境中有效应对新兴威胁。