本文讨论了为什么公司必须重新思考他们的网络安全方法:旧的方法是否足够有效,能否保持完全的相关性?需要采取哪些行动来实现公司内部的网络安全成熟度?我们将探讨市场如何寻求建立网络安全流程,从而获得明确和可衡量的结果。
以前是什么样子的?
几年前,"信息安全专业人员 "这个短语会让人产生什么联想?很合理地,首先想到的是法规遵从、审计和其他审计,购买和安装信息安全产品,而对上述措施的真正需要没有深刻的理解。网络安全更像是一种形式,公司并没有真正寻求保护信息资产。责任的分配也不同:网络安全不在CEO关注的重点。
2021年,Positive Technologies的一项调查发现,大多数公司的武器库中只有基本的安全工具,并不是为了检测复杂的威胁。同时,十分之一的受访者指出缺乏反病毒保护工具。并非所有公司都使用高级别的解决方案:例如,27%的受访者表示他们有流量分析系统,只有五分之一的受访者有计划实施此类保护工具。
通常情况下,组织都会在攻击发生后投入资源来改善系统安全和补救漏洞。重要的是要问一个问题:是否可以提前采取行动来防止负面的后果?
网络安全是理论上的--结果是实际的。这可能吗?
首先,确保一个组织的安全意味着确保业务的安全,保持其运行,保持一定的声誉和相关性。实施信息安全的主要挑战变成了确保业务流程对外部因素影响的复原力。
在我们的研究中,大规模攻击(例如,攻击者对多个地址进行网络钓鱼邮件)被视为一次单一的攻击,而不是一系列的攻击。
随着成功的网络攻击的数量逐年增加,安全问题从未像现在这样紧迫。网络安全是一个日益动态的领域,因为组织的基础设施的不断变化和不断发展的攻击方法需要快速适应。例如,2020年的大流行年表明,公司和员工的工作和互动方式可以迅速改变,网络安全的实施如何落后于时代的挑战。
信息安全事件数量动态(2018-2022年)
人们越来越意识到网络安全实践方面的重要性,组织机构正在强调需要提高他们的防御能力,以抵御真实世界的攻击者。
对公司进行多个渗透测试项目的要求也在发生变化,因为将五次测试结果与现实世界的业务影响相匹配变得越来越困难。根据我们的数据,2021年出现了对不可接受的事件进行验证的要求:在每三个项目中,客户指定了需要验证某些攻击者能力的目标系统。在2022年,47%的组织指定了工作要实现的具体目标,27%的组织让专家验证不可接受的事件。
不可接受的事件是指由于恶意活动而发生的事件,它使一个组织无法实现其运营和战略目标,或对其核心业务活动造成持久的破坏。
通常情况下,公司业务的具体情况不允许其在真实的基础设施上测试风险的可行性,因为这可能对其技术和业务流程产生负面影响。网络测试场正在兴起--模拟一个组织的部分真实基础设施的系统,旨在培训专家和磨练防御技能。网络射击场允许你在不破坏真实流程的情况下验证一系列不可接受的事件及其后果,并评估潜在的损害。
我们现在的目标是什么?
今天,不可能绝对防御所有的网络威胁,越来越多的组织意识到需要建立以业务为中心的网络安全。其主要目的是保护公司最关键的资产,防止不可接受的事件发生。以结果为导向的网络安全,对于拥有成熟网络安全的组织来说,是一种根本不同的方法,正在出现。
以结果为导向的网络安全是一种安全状态,它使一个组织对网络攻击具有弹性,并允许在任何时候实际确认入侵者将无法对该组织执行不可接受的事件。
以结果为导向的安全涉及到一个质量和数量可衡量的信息保护系统,以保障公司的资产和防止不可接受的事件发生。这种方法意味着高级管理层直接参与公司信息安全的发展,并需要他们参与建立不可接受事件的清单。企业的真正关切和需求成为为企业制定具体信息安全目标的基础。
这种方法正在得到回报:普华永道的研究表明,在2022年,超过70%的受访者将看到许多网络安全的改善,这是联合投资和与高级管理层合作的结果。例如,71%的受访者表示,企业能够在对合作伙伴或客户产生负面影响之前,预测并解决与数字计划相关的新网络风险。
超过一半的高管(51%)表示,他们需要一个网络风险管理计划来实施任何重大的业务或运营变革。此外,超过一半的人(52%)说他们打算领导重要的举措,如精简供应链和放弃削弱企业网络足迹的产品。
Positive Technologies 进行的调查给出了以下结果:
71%的受众熟悉有效网络安全的一般概念。
59%的人知道在有效安全的背景下,不可接受的事件意味着什么。
不可接受的事件 "一词似乎不再是什么新鲜事,一些组织已经在改进内部流程以适应新的方法。
五分之一(22%)的受访者表示,他们的公司已经建立了维护网络弹性的流程,例如监测和对抗网络威胁。一部分受访者还表示,他们的公司已经能够实施网络培训或运行一个基于赏金的漏洞扫描计划。
Bugbounty是一个让许多自由网络安全研究人员参与的计划,以寻找软件、网络应用程序和IT基础设施中的漏洞。
参与Bugbounty计划可以进一步提高公司内部的信息安全成熟度,加强安全开发。当内部员工搜索漏洞的人工工作量过大时,外包有助于更有效地识别弱点。同时,公司可以更好地利用其预算,只为发现的漏洞付费,而不是为发现漏洞所需的时间付费。
以前,人们认为只有技术公司才能运行这种方案。例如,早在2019年,在最受欢迎的平台之一HackerOne上,此类公司占所有活跃项目的60%。最受欢迎的行业类别是在线服务(28%)和软件开发(21%)。在2022年观察到了不同的情况。在我们的漏洞赏金市场研究中,我们分析了24个最大的活跃平台,发现在以下行业,对有偿查找漏洞的服务需求最大:IT公司(16%)、在线服务(14%)、服务(13%)、商业(11%)、金融机构(9%)和区块链项目(9%)。我们预计这一趋势在政府组织、保险和运输等细分领域也会逆转。
现在,技术公司和其他行业的组织之间的区别主要有以下几点:前者清楚地了解他们希望从漏洞赏金平台中获得什么,以此作为提高其服务安全性的工具。技术公司在选择平台时,对活跃的研究人员的数量和推广方案的机会等指标感兴趣。其他行业的公司刚刚开始进入漏洞赏金领域。大多数情况下,这些组织已经建立了基本的信息安全流程,现在想为自己寻找新的发展载体,吸引了大量的第三方专家。
在不久的将来,我们有望看到新项目的发展,在这些项目中,道德黑客不仅可以因为发现漏洞而获得报酬,还可以因为证明企业实施了一个不可接受的事件而获得报酬。例如,Positive Technologies在2022年底推出了一项计划,其主要目标是实施从其账户转移资金。到目前为止,我们可以看到,企业了解这种方法的必要性,并且已经在等待其他市场参与者实施这种方法的第一个成功案例。
结论
今天,任何组织的运作不仅会因为经济因素而中断,也会因为网络攻击而中断。网络犯罪分子的攻击是导致业务发展缓慢和无法实现战略目标的潜在原因之一。
网络安全采取的是建立和维护系统和流程的方式,使攻击者没有机会实现组织的不可接受的事件。
网络安全在企业和政府复原力中的作用正变得越来越重要,可操作的安全需求被证明是实现高水平安全的关键想法之一。目前,市场上对可衡量的网络安全的需求正在增加,旨在实现一个有保障的结果--不可能发生具有不可接受的后果的网络攻击。