报告基于在2017年6月到9月间调研全球近1200个客户的高级主管后形成。
报告在一开始引述了几个引人注目的数据:
1)根据世界经济论坛(World Economic Forum)的2017年全球风险报告,大规模网络安全破坏位居当今世界面临的五大最严重风险之列;
2)根据Cybersecurity Ventures的《2017版网络犯罪报告》,到2021年,网络安全破坏带来的成本将达到600亿美元,是2015年的2倍;
3)根据Ponenom研究所的《2017年数据泄漏成本研究》显示,组织因陷入网络攻击而面临的重大声誉损失和直接泄漏成本,平均达到了362万美元;
4)根据即将在2018年生效的欧盟《通用数据保护法》(GDPR),监管机构可以对出现数据泄漏和明显管理不善的组织处以其全部营收2%到4%的罚款。
报告的主要发现包括:
EY敬告每个组织都必须对可能发生的网络安全问题做最坏的打算。EY总结了三种攻击模式:普通攻击、高级攻击和新兴攻击。
针对三种攻击,EY建议客户建立多层的对抗体系。
1、对抗普通攻击,单点的防御方案依然是获得网络安全弹性的重要组成部分,员工安全意识也很关键。
2、对抗高级攻击,EY首先推崇企业和组织建立SOC,并表示依然还有48%的组织尚未建立SOC。EY认为SOC对于组织建立威胁检测的能力十分重要,通过SOC能够不断地推动组织从被动防御迈向主动防御。EY认为主动防御是组织对抗高级攻击的关键战略,至少可以包括以下四个方面:
(1)明确最重要的保护对象。Prioritizing the crown jewels – in any organization, certain assets, including people, are particularly valuable and must be identified and then protected especially well;
(2)通过定义正常来发现异常。Defining normal – it is important for organizations to understand how their networks normally operate. Cybersecurity analytics tools use machine learning to define the “normal” and artificial intelligence to recognize potential malicious activity more quickly and accurately;
(3)利用威胁情报。Advanced threat intelligence – by working closely with threat intelligence providers and developing in-house analyst capability, it is possible for organizations to build a much clearer picture of the threat landscape – including the identities of C-level executives;
(4)安全演练、威胁场景分析。Active defense missions – these are exercises planned and executed to proactively defeat specific threat scenarios and uncover hidden intruders in the network。
3、对抗新兴攻击。EY表示,实际上,任何组织都无法预见正在出现的所有威胁。然而,创新的组织能够想象到未来潜在的威胁,并在他们的网络安全体系中建立一种敏捷的能力,以便在威胁发生时能够快速采取行动。
EY针对三种对抗给出了一套对策总结:
既然攻击最终都是无法避免的,我们就要做好最坏的打算,做好应急与响应。EY建议客户事先建立一套网络泄漏响应计划(CBRP)。计划中应该考虑到以下6个方面的内容:安全、业务连续性、合规、保险、PR、法律诉讼。注意,安全只占六分之一的事情!这个计划要考虑的东西远超安全本身。从某种角度看,这个CBRP有很多属于危机管理的范畴。
此外,整个报告还特别值得注意的就是EY继在上一次GISS调研中提出了网络安全弹性的概念后,进一步强化了这个概念。在这次报告中,EY给出了一个企业和组织达成网络安全弹性的构成要素图:
如上图,根据我的理解,达成网络安全弹性包括五个部分:以人才为核心,作为企业整体战略的必要组成并不断创新,风险聚焦,智能和敏捷,弹性与可伸缩性。其中,这里我想对“风险聚焦这”点多谈一下,尤其是其中的“风险管理与偏好”。EY并未就此给出具体的阐释,但我结合我个人的感受,包括Garnter峰会上提出的CARTA,都很清晰地指出企业和组织的安全管理其实都是一种风险管理。现在我们大谈威胁、漏洞、攻击、数据,但千万不要忘了风险!事实证明,我们防不住,我们也没有必要全部都防住!我们常说:“没有绝对的安全”,我们也要问自己,“需要绝对的安全吗”?所以我认为,安全问题是一个风险管控的问题,可控就好。
回到报告。总之,EY希望企业和组织将网络安全置于整个企业和组织战略的中心,至少从一开始就要让高层主管认识到网络安全绝不仅仅是信息安全部门或者IT部门的事儿。也唯有如此,才能真正获得企业和他们客户的成功。看来EY的这个报告主要是要给企业和组织的老大们看的,他们不认识清楚,一切都搞不成。这就有点像我国成立中央网络安全和信息化领导小组一样,企业要将网络安全置于与信息化同等重要的位置,安全和发展要两手同时抓,要先做好顶层设计,要自上而下的抓。
【参考】
原文地址:http://blog.51cto.com/yepeng/2049210