CISO必读 | 网络安全弹性是企业当务之急

面对日益猖獗的勒索软件攻击和复杂多变的威胁环境，企业必须将网络安全弹性视为核心业务战略的一部分。这不仅仅要求遵守法律法规，还需要综合考虑业务的各个方面，包括从运营连续性到软件供应链安全。

▌不容乐观的网络安全形势与网络安全弹性水平

2021年5月，Colonial Pipeline遭遇DarkSide黑客组织攻击，CEO Joseph Blount决定支付440万美元赎金，尽管这一决定备受争议。这次攻击危及美国关键基础设施，导致美国总统每日关注此事。Blount将支付赎金的决定形容为他职业生涯中最具挑战的决定之一。

“我们当时处于一个极其危险的境地，不得不做出任何公司都不愿面对的艰难选择。”Blount在美国参议院国土安全和政府事务委员会上说道。

2023年勒索软件支付金额创下了11亿美元的记录，这种频繁的攻击使企业领导者面临艰难选择越来越频繁。越来越多的CSO和CEO意识到，问题不在于是否会遭受攻击，而是何时会遭受攻击。

根据ISTARI和牛津大学发布的一份报告，一家市值40亿美元的欧洲公司的CEO表示，“最大的变化是我现在完全接受攻击可能发生的事实。接受这种情况可能发生的组织和那些认为自己可以抵制这种情况的组织相比，在应对策略上有着根本的不同。”

很多时候，企业将弹性视为监管机构的一项任务，无法提供在遭受攻击后真正恢复所需的一切。RapidFort的CEO Mehran Farimani指出，抵御网络安全事件并从中恢复的能力需要转变思维，而不仅仅是满足合规要求。

实现真正的网络安全弹性需要全面的方法，包括健全的备份和恢复系统。

“你可能已经备份了所有关键软件和数据，但你能在不利事件发生后快速恢复吗？还是需要两周时间？你是否始终确保所有这些系统都受到检查?”Farimani对他的CSO说道。

Barracuda今年4月发布的一份关于弹性的报告显示，当被要求对自己处理网络风险的信心进行1到10分的评分时，大多数IT安全领导者并不乐观。金融服务机构似乎是准备最充分的，55%的人认为他们的安全态势非常有效。相比之下，在工业和制造业中，只有32%的公司表示乐观，而在零售业中，这一比例为39%。总体而言，规模较小的公司在应对网络威胁方面信心不足。

随着地缘政治不稳定、人工智能和财富不平等的加剧，CISO不仅要进一步加强组织的网络安全防御，还要帮助他们为最坏的情况做好准备，以确保他们能够在网络安全事件发生时迅速恢复过来。

▌网络安全弹性已成为商业战略关键要素

网络安全弹性的概念已经发展成为当今整体商业战略的关键要素。Trustwave的CISO Kory Daniels告诉他的CSO：“董事会已经开始问这样一个问题：设立一个正式的首席弹性官是否重要?”

鉴于最近备受瞩目的网络攻击，例如Colonial Pipeline所经历的网络攻击，传统的CIA(机密性、完整性和可用性)三位一体的可用性部分得到了越来越多的重视。这是因为中断不仅会影响运营的连续性，还会影响客户的信任和对公司的整体市场看法。

Daniels指出，采用“整体方法”对待网络安全弹性至关重要，需要考虑业务的各个方面和所有团队，从员工和合作伙伴到董事会。通常，组织内部拥有比他们意识到的更多的能力，但这些资源可能分散在不同的部门，负责建立网络安全弹性的各小组可能无法全面了解现有的资源。

Daniels说：“网络和安全运营部门拥有丰富的情报资源，其他部门可以从中受益。”

许多公司将网络安全弹性纳入其企业风险管理流程，采取主动措施识别漏洞、评估风险并实施适当的控制措施。

Gartner的分析师Angela Zhao表示，这些主动措施包括风险评估、渗透测试等定期验证，以及持续监控，以实时发现和应对威胁。

这些主动措施通常会扩展到组织的直接边界之外，包括供应商和合作伙伴。FS-ISAC的全球业务弹性主管Cameron Dicker说：“公司应对其服务提供商和软件供应链进行深入分析，找出安全风险所在，并制定相应的事件响应计划。”

▌软件供应链：网络安全弹性的重要部分

Trustwave的Daniels指出，软件供应链分析仍然是网络安全弹性中的一个薄弱环节。他认为组织应对其供应链进行彻底的渗透测试和风险评估，实施供应商的网络安全要求，并制定应急计划，以减轻供应链中断对运营的影响。

在选择潜在供应商时，尤其是那些将连接到公司私有网络的供应商，安全领导者必须确保合同或主服务协议（MSA）对整体弹性（包括网络安全和业务弹性）有明确的规定。

GuidePoint Security的业务连续性团队负责人Bobby Williams指出：“供应商应在合同中对定义的业务连续性、灾难恢复和信息安全计划负责。合同中应有一个明确的测试程序，以展示供应商的弹性，测试结果应供公司审核。”

如果供应商提供的是软件服务或应用程序，合同中应有明确的恢复时间目标（RTO）和恢复点目标（RPO）。Williams说：“供应商应能够通过所需的测试展示RTO和RPO，并在合同中明确规定如何备份客户的数据和提供数据保留计划。”他还补充说，数据镜像不应被接受为备份客户数据的替代方案。

▌人工智能使得网络安全弹性复杂化

生成式AI作为黑客工具的兴起，使组织的弹性策略进一步复杂化。因为生成式AI使得即使是低技能人员也能执行复杂的网络攻击。这可能会增加攻击的频率和严重性，迫使企业提升应对能力。

然而，从防御角度来看，生成式AI工具并不那么有效。组织主要将其用作辅助工具。AI在威胁检测和分析、异常检测、行为监控和自动响应系统等领域被证明有效。AI还可被用于风险管理和代码审查。

Accenture Security的全球战略负责人Valerie Abend指出：“AI算法可以快速分析大量数据，识别模式，检测可能被人类操作员忽视的潜在威胁或漏洞。”

此外，AI在建立和维护网络安全弹性计划方面也有好处。MorganFranklin Consulting的网络和运营韧性负责人Tamara Nolan说：“从制定定制的AI安全政策到部署先进的AI技术并提供持续运营支持，组织的解决方案应确保整个AI旅程中的可靠性、透明度和合规性。”

然而，目前AI在网络安全中的作用仍然是辅助而不是替代人类监督。Cossack Labs的安全工程主管Anastasiia Voitova表示：“虽然AI可以在某些工具性方面提供帮助，但在其发展的现阶段，它对风险管理的贡献仍然有限。它是供安全专业人员使用的工具，而不能直接代替安全专业人员。”

RapidFort的Farimani同意这一观点，补充说AI工具确实可以帮助制定和传达弹性计划，但还远未可靠到可以自动运行的程度，我们也很难相信它能够自动保护系统。

随着AI工具在实时检测和响应威胁方面的能力提升，AI在网络安全弹性中的角色可能会在未来几年扩大。此外，AI可能会被用来增强用户认证和访问控制机制，并提高关键基础设施系统的整体弹性。

▌全球监管环境将带来网络安全弹性态势的重大转变

全球不断变化的监管环境使得安全领导者很难完全跟上所有必须遵守的规定。但遵守这些法律要求有助于减轻风险并维护组织的声誉。Bishop Fox的红队实践总监Trevin Edgeworth说：“法规确实可以帮助组织增加对企业风险管理工作的关注，并帮助提高组织对其弹性战略的责任心。”

《数字运营弹性法案》（DORA）和美国证券交易委员会（SEC）发布的规定正在改变全球企业对网络弹性的看法。DORA将于2025年1月17日生效，旨在加强银行、保险公司和投资公司等金融实体的安全性。如果非欧盟的金融实体和信息与通信技术服务提供商向欧盟金融机构提供关键技术服务，也必须遵守DORA。

MorganFranklin的Nolan对CSO表示：“鉴于这一新法规和对持续网络攻击的普遍担忧，咨询公司花在全风险弹性规划上的时间减少了，而在IT弹性上的时间增加了，尤其关注业务流程与支持应用程序和基础设施之间的连接。”她建议公司不仅仅满足于通过DORA等法规要求的打勾式操作，还应努力覆盖弹性的各个方面，因为“法规假设在试图满足DORA要求之前，已经建立了基础的运营弹性要素。”

在美国市场运营的公司也需要警惕并确保遵守不断变化的法规。2023年7月，证券交易委员会（SEC）出台了新的报告要求，要求上市公司披露重大网络安全事件，并每年提供有关其网络安全风险管理、战略和治理的重大信息。为了满足这些要求，大多数上市公司采取了积极措施，确保他们有系统来评估和响应各类事件。

不过许多情况下，这些流程是在运营弹性框架之外建立的，因此，它们没有与公司的危机管理计划相结合。Nolan建议组织积极参与法律和监管框架，并将其整合到网络安全弹性战略中。这种方法可以帮助最大限度地减少惩罚，并加强他们的整体网络安全弹性态势。

Gartner认为，DORA和SEC发布的规定往往会在全球范围内产生影响。她表示:“一个司法管辖区的监管变化往往具有跨境影响，因为在全球运营的跨国公司需要遵守多个监管框架。这导致组织需要在不同市场协调其网络安全弹性策略，确保一致的安全实践并遵守各种法规。”

法规在提高人们对网络安全弹性重要性的认识方面也发挥了关键作用。Accenture security的Abend表示，他们鼓励公司评估自己的安全状况，以及董事会的监督和治理。

“我们看到，首席执行官、高管和董事会对这些风险的意识日益增强，这不仅是出于监管规定，也是出于真正的商业担忧。”

但是，尽管监管有所帮助，但仅仅遵守法规并不一定意味着足够的弹性。

Bishop Fox的Edgeworth表示，组织可能“陷入一种错误的安全感，认为他们强大的合规水平等同于强大的安全态势”。

▌人员与意识的重要性

尽管许多组织投资于网络安全弹性技术解决方案，但他们往往忽视了拥有合适的人员并在他们中间培养安全意识文化的重要性。

CyberMaxx的Shaha表示：“以合适的价格快速找到网络安全人才的能力正在给行业带来漏洞。”

因此，安全领导者必须制定稳健、多样化的采购策略，以确保满足不断变化的人才需求。

此外，Trustwave的Daniels表示，他们还应该投资于安全培训计划，需要超越对网络钓鱼邮件和密码安全的基本认识。他补充说，培训应该“包括对网络威胁、数据保护的重要性以及每个人在维护网络安全弹性方面的作用有更深入的了解”。

演练和危机模拟是非常有效的方式。GuidePoint的Williams表示：“公司应确保其演练使用多种场景，以保证响应计划能够处理各种意外事件。” “如果规划过程保证足够的相关性和持续的更新，这些黑天鹅事件将会确保尽在掌握中。”

这样的演练应该定期进行，并且应该有一定的难度。“只有通过开展具有挑战性的演练来突破团队、策略和程序的极限，组织才能知道自己的能力边界在哪里以及需要改进的地方，”FS-ISAC 的Dicker说。

“事故永远不应该成为响应计划的首次测试。”

▌塞讯验证提供网络安全弹性综合解决方案

塞讯验证认为，在数字化转型全生命周期中，持续的验证和优化是企业成功的关键。塞讯验证专注于为企业数字化转型中提供“持续验证”服务，确保在快速变化的数字世界中，企业的业务经营、信息安全和客户体验始终稳定在最佳状态。

塞讯业务可观测性平台以业务为出发点，为企业构建一个全面、实时的业务监控和分析解决方案。采用强大的智能数据采集和分析工具，让企业清晰地观察到业务流程中的每一个细节。平台实时采集性能指标、用户行为和安全事件的所有相关数据，将其转化为有价值的业务洞察，帮助企业及时发现和解决问题，预测未来趋势，做出更明智的决策。

塞讯安全度量验证平台致力于利用第一手的受害者威胁情报，验证并赋能组织现有的安全防御体系，实现有效的网络安全布防。平台以攻击者视角出发，针对企业的安全防御体系，自动化执行真实的APT攻击场景，分析完整的攻杀链中的攻击手法的模拟时所产生的告警、审计、操作等所有相关日志，发现安全防御短板，精准定位安全设备、流程和人员等各方面的弱点，基于实际数据提供可落地的缓解、修复或修补建议。

塞讯验证通过创新的技术和解决方案，为业务连续性和稳定性提供安全保障，助力企业保持高水平的网络安全弹性，实现业务的持续稳定增长。

如需了解更多关于塞讯安全度量验证平台的信息，欢迎拨打官方电话400-860-6366或发送邮件至[email protected]联系我们。您也可以扫描下方二维码添加官方客服，我们将竭诚为您服务。

用持续验证   建长久安全

长按图片扫码添加【官方客服】

塞讯验证是国内网络安全度量验证平台开创者，致力于利用第一手的受害者威胁情报赋能组织现有的安全防御体系，实现有效的网络安全布防。

塞讯安全度量验证平台以攻击者视角出发，针对企业的安全防御体系，自动化执行真实的APT攻击场景，分析完整的攻杀链中所产生的告警、审计、操作等所有相关日志，发现安全防御短板，精准定位安全设备、流程和人员等各方面的弱点，基于实际数据提供可落地的缓解、修复或修补建议。

核心团队均来自于全球知名网络安全公司和APT研究机构，拥有业界突出的安全研究与APT组织追踪能力。两大研发团队分别位于上海和杭州，致力于为客户打造最优秀的安全验证产品。我们在北京、上海、深圳、杭州均设有分支机构，服务可覆盖全国各个角落。

▶▶关注【塞讯安全验证】，了解塞讯安全度量验证平台以及更多安全资讯

▶▶关注【塞讯业务可观测】，了解最前沿的业务可观测性和IT运营相关技术、观点及趋势

原文始发于微信公众号（塞讯安全验证）：CISO必读 | 网络安全弹性是企业当务之急