网络安全的“拖油瓶”:网络弹性

VSole2023-06-26 10:40:39

随着网络犯罪和高级持续攻击的“民主化”和“常态化”,越来越多的企业信息主管和网络安全团队开始关注“网络弹性”,但很多企业的网络弹性指标和框架其实与网络弹性无关。

网络安全的“B面”:网络弹性

网络弹性(Cyber Resilience)和网络安全(Cyber Security)是两个不同性质但又密切相关的概念。网络安全主要关注的是预防和抵御网络攻击,保护网络中的数据和服务不受威胁。这涉及到使用防火墙、加密技术、身份验证、入侵检测系统等技术来防止未经授权的访问、数据泄露,以及其他类型的网络攻击。网络安全的目标是防止攻击发生,如果发生攻击,尽可能地减小攻击的影响。

网络弹性则是指网络在面临攻击或者其他不利情况(例如设备故障、自然灾害等)时,能够维持其关键功能,或者在攻击后能够快速恢复的能力。网络弹性的关键是设计和实施一种能够适应和恢复的网络架构,这可能涉及到负载均衡、冗余设计、故障切换、灾难恢复等措施。

在某种意义上,网络弹性可以被看作是网络安全的一部分。一个具有良好网络安全能力的系统应该具备处理和抵御网络攻击的能力,同时也需要具备在面临攻击或者其他突发事件时,保持关键操作和服务运行,或者快速恢复到正常状态的能力。然而,网络弹性更侧重于系统的适应性和恢复力,而网络安全更侧重于防御和保护。

总的来说,网络安全和网络弹性都是构建一个安全、健壮和可靠网络系统的关键组成部分,二者缺一不可,但是在具体实践中,很多企业都对网络弹性缺乏足够认识和准备。

网络弹性计划大多不成熟

Immersive Labs的一项研究显示,在外部威胁的驱动下,企业有加强网络安全能力的强烈意图。但遗憾的是,虽然大多数企业都宣称自己有网络弹性计划,其中超过一半都缺乏评估弹性的全面方法。

“攻击者的参与规则不断创新,试图造成灾难性和不可避免的情况,”Osterman Research分析师兼调查白皮书作者Michael Sampson指出:“虽然网络弹性是大多数组织的希望所在,但大多数组织构建、测试和提高网络弹性的做法仍不成熟。”

这项研究由奥斯特曼研究公司委托进行,调查了拥有570多名员工的组织中担任高级安全和风险角色的1000名受访者。该调查在美国、英国和德国进行。

调查的一些重要统计数据和结论如下:

  • 虽然大多数(86%)组织都有网络弹性计划,但超过一半(52%)的受访者表示,他们的组织缺乏评估网络弹性的全面方法。
  • 这些网络弹性计划包括网络弹性战略、计划和/或基础设施的组合,其中大部分由组织内部管理(51%)。与此同时,一小部分外包给第三方,如咨询公司(35%)。
  • 公司缺乏适当的指标来评估网络弹性,近一半(46%)的高级安全和风险领导者缺少合适的指标来展示其员工抵御网络攻击的弹性,只有6%的公司利用了响应时间、入侵率、内部数据丢失和各种数据类型的事件率等信息指标。
  • “我对组织用来评估网络安全能力和弹性的指标感到失望,”桑普森说:“大多数企业都依赖与弹性无关的指标、测试和指标评估框架。”
  • 调查还表明,在过去六个月中,只有不到一半(46%)的组织的董事会要求安全团队展示组织的网络弹性。高级管理层提出该要求的比例也仅为51%。

“很多压根没有网络弹性指标的企业仍然每年向董事会数次报告网络弹性,这也着实令人惊讶和费解,”桑普森补充道:“我们不知道这些报告的具体内容,但混淆现实对所有利益相关者来说都是坏消息。如果组织的董事会开始要求提供证据,并深入研究为弹性评估提供信息的内容,那就太好了。”

安全意识培训方法亟待变革

网络安全威胁是网络弹性计划的主要驱动因素。63%的受访者表示他们担心勒索软件,51%的受访者担心供应链攻击,48%的受访者担心代码漏洞攻击。

“网络弹性能力的低下被威胁的混沌属性进一步放大:勒索软件、供应链和第三方攻击以及编码漏洞,”Sampson说道:“这些攻击的许多方面仍然是动态的、混乱的,并且不受组织的控制。”

对行业安全认证的不信任是调查发现的另一个关键问题。虽然几乎所有(96%)的组织都支持网络安全行业认证,但只有32%的组织表示这在缓解网络威胁方面有效。此外,尽管96%的组织表示他们鼓励IT和网络安全团队获得证书,只有48%的企业在招聘中将网络安全认证作为重要条件。

此外,业界的(网络安全意识)课堂培训的频率也不足以有效应对网络安全威胁,因为只有大约27%的受访者每月接受培训。

“虽然认证和培训在培养特定领域或产品的能力方面可以发挥作用,但它们不太适合评估个人如何将这种能力应用于‘野外’事件以及与团队中其他人的关系。”Sampson补充道。

尽管接受了多年的安全意识培训和网络钓鱼测试,但近一半的受访者(46%)表示他们的员工仍不确定如何处理网络钓鱼电子邮件。这表明业界通行的安全意识培训方法存在巨大的改进空间。

Sampson认为,网络安全认证与安全意识培训的内容开发、个人学习和能力评估之间的时间间隔与快速发展的威胁形势不匹配,导致个人在面对真实的网络威胁时的实战表现总是低于预期。

最后,该研究得出的结论是,企业需要优先考虑网络安全工作,重点工作是培训整体员工队伍(而不仅仅是IT部门)的安全技能、知识和判断力,同时积极评估和解决网络弹性水平和网络安全技能的差距,以在快速发展的网络安全环境中有效应对新兴威胁。

网络安全网络攻击
本作品采用《CC 协议》,转载必须注明作者和本文链接
尽管汽车制造商越来越重视网络安全,但随着汽车向“轮子上的软件平台”迈进,随着各种新功能的快速采用,联网汽车也逐渐成为了恶意黑客的攻击目标。
如今,零信任甚至已经达到美国联邦政策的水平。2021年5月,美国总统乔·拜登签署了一项加强美国网络安全的行政命令,承认联邦政府现行网络安全模式的固有弊端,明确指出部署零信任架构的迫切性。不过,目前许多企业领导者仍对零信任的含义及实践存在误解。Juniper Networks的Spanbauer表示,确保个人移动设备不会将网络暴露于不必要的威胁的最佳方法是制定并执行移动设备和数据管理计划。
根据 Huntsman Security 的数据,到 2023 年,无法负担网络安全保险、被拒绝承保或面临重大承保限制的企业数量将翻一番。为了弥合这种可及性的差距,保险公司正在寻求提高风险信息的质量,以便保费更好地反映该风险的真实成本。基于以上,不断变化的市场买卖双方对网络安全的需求无疑将推动保险市场不断进行调整。
在新加坡推出网络安全战略五年后,新加坡公布了一项修订后的国家计划,旨在采取更积极主动的立场应对威胁,并推动其网络安全态势,包括新的运营技术能力框架。
2020年7月,奇安信成功登陆科创板。据统计,近五年来国家、地方省市和各行业监管部门关于数据安全、网络安全已经至少颁布了50部相关法律法规。保护数据资产成为网络安全的难点问题,主要面临三个挑战。数据显示,超过85%的网络安全威胁来自于内部,供应链、外包商、员工等都可能成为“内鬼”,导致数据泄露。目前,
美国防部武器系统的网络安全问题一直以来是美军关注的重点。美国政府问责署(GAO)近期审查发现,与过去的国防部采购项目相比,目前的采购项目在开发过程中进行了或计划进行更多的网络安全测试。然而,GAO 发现,多个采办项目合同中未明确网络安全要求,也未制定采用或拒绝以及验证的标准。
美国防部武器系统的网络安全问题一直以来是美军关注的重点。美国政府问责署(GAO)近期审查发现,与过去的国防部采购项目相比,目前的采购项目在开发过程中进行了或计划进行更多的网络安全测试。然而,GAO 发现,多个采办项目合同中未明确网络安全要求,也未制定采用或拒绝以及验证的标准。
公安部门决定对该公司直接负责人罚款五千元,对公司不履行网络安全等级保护义务的违法行为,罚款一万元,并责令限期整改。
近日,一位匿名黑客成功入侵瑞士网络安全公司 Acronis 并窃取大量敏感数据的消息引爆了安全圈。更讽刺的是,在其官网上 ,Acronis 一直高调宣称能够“通过第一时间阻止网络攻击发生,主动保护数据、系统和应用程序。”从网络上公开披露的信息获悉,网络安全公司 Acronis 主要提供集成了备份、恢复以及下一代基于人工智能的防恶意软件和保护管理整体解决方案,覆盖预防、检测、响应、恢复和取证的五个网络安全关键阶段。
技术标准规范 左晓栋:对重要数据识别问题应更多强调国家安全属性 拜登政府网信政策走向分析 行业发展动态 美FDA医疗设备网络安全指南的实施将最大限度地降低医疗机构的网络安全风险 网络攻击致使汽车租赁巨头全球系统中断,业务陷入混乱 黑客利用恶意软件攻击记者 实锤!可口可乐证实受到网络攻击并开展调查 美军网络部队在立陶宛防御俄罗斯网络攻击 安全威胁分析 为保护关键基础设施,美国悬赏1000
VSole
网络安全专家