内容
- 过去的情况
- 网络安全是理论性的,结果才是实际性的。这可能吗?
- 我们现在的努力方向
- 结论
本文讲述了为什么企业必须重新思考其网络安全方法:旧方法是否足够有效,是否可以完全适用?公司应采取哪些行动来实现内部信息安全的成熟度?我们将解释市场如何寻求建立网络安全流程,以产生明确、可衡量的结果。
过去的情况
几年前,“信息安全专家”这个词会让人联想到什么?人们首先想到的是遵守监管机构的文件、通过审计和其他检查、购买和安装信息保护系统,但对这些措施的实际需求却没有深刻理解。网络安全更多的是一种形式上的任务,企业并没有努力确保信息资源的真正安全。责任分配也不尽相同:网络安全并非企业首席执行官的工作重点。
2021 年,Positive Technologies 的一项调查发现,大多数企业的网络武器库中只有基本的防御工具,而这些工具并不是为了检测复杂的威胁而设计的。与此同时,每十位受访者中就有一位缺乏防病毒系统。并非所有企业都在采用先进的解决方案:例如,27% 的受访者表示他们已建立流量分析系统,只有五分之一的受访者计划实施此类保护措施。
在 2021 年的调查中,只有十分之一的受访者表示他们的企业拥有专业的整体解决方案。
通常情况下,企业会在攻击发生后,部署资源来改善系统安全并修复漏洞。重要的是要问一个问题:是否可以提前采取行动,防止产生负面影响?
网络安全是理论性的,结果才是实际性的。这可能吗?
首先,确保企业的安全意味着保护业务的安全性和连续性、维护企业声誉和需求。实施信息安全系统的主要任务是确保业务流程对外部因素的适应能力。
每年网络攻击成功的数量在我们的研究中,大规模攻击(例如,攻击者向许多地址发送网络钓鱼邮件)被视为单个攻击,而不是一系列攻击。现在,确保安全的问题比以往任何时候都更加急迫。网络安全正成为一个日益蓬勃发展的领域,因为企业基础设施的不断变化以及攻击者攻击方法的演变都需要快速适应。例如,2020 年的疫情,企业运营和员工互动方式的快速变化,以及网络安全的实施如何落后于时代的挑战。
图1网络安全事件数量动态变化(2018-2022年)
人们越来越意识到网络安全实践的重要性,各企业也认识到有必要提高防御能力,以抵御恶意行为者在现实世界中的攻击。
企业开展多个渗透测试项目的要求也在发生变化,因为将五项测试结果与现实世界的业务影响关联起来变得越来越困难。根据我们的数据显示,在 2021 年,有一项要求是对企业不可容忍事件进行验证:在每三个项目中客户都指定了目标系统,有必要验证攻击者的某些能力。这些系统包括自动流程控制系统、ATM 管理系统、SWIFT 银行间转账系统、1C 和网站管理界面。2022 年,47% 的企业在开展工作时指定了要实现的具体目标,27% 的企业让专家验证不可容忍事件。
不可容忍事件是指因恶意行为而发生的事件,它使一个企业无法实现运营和战略目标,或导致其核心业务长期中断。
通常情况下,企业活动的特性不允许其在实际基础设施上测试风险的可行性,因为这可能会对其技术和业务流程产生负面影响。网络试验场正在兴起,这是模拟企业实际基础设施的一部分,旨在培训专家和磨练防御技能的系统。网络试验场可以在不中断实际流程的情况下,验证不可容忍事件的清单及其实现的后果,并评估可能造成的损害。
我们现在的努力方向
如今,要防范绝对的网络威胁是不可能的,越来越多的企业机构意识到有必要建立以业务为导向的网络安全。其主要目标是保护企业最重要的资产,防止发生不可容忍事件。有效网络安全正在兴起,这是一种完全不同的方法,是拥有成熟信息安全的企业所特有的。
有效网络安全是一个企业的安全状态,它能确保企业抵御网络攻击,并能在实践中随时确认攻击者无法实施该企业无法接受的事件。
基于结果的安全意味着一种可定性和定量衡量的信息保护系统,它能保护企业的资产,防止发生不可容忍事件。这种方法意味着最高管理层直接参与企业信息安全的发展,需要参与制定不可容忍事件的清单。企业真正的关注点和需求成为制定企业具体信息安全目标的基础。
这种方法逐步得到验证:普华永道的研究结果显示,在 2022 年,超过 70% 的受访者注意到,由于与高级管理层的联合投资和合作,网络安全得到了很大改善。例如,71% 的受访者表示,企业能够在对合作伙伴或客户造成负面影响之前,预测并应对与数字计划相关的新网络风险。
超过一半 (51%) 的高管表示,他们需要网络风险管理计划来实施各种重大业务或运营变革。此外,半数以上 (52%) 的高管表示,他们打算带头采取一些重要举措,如优化供应链和淘汰会削弱企业网络地位的产品。
俄罗斯目前正在积极推广有效网络安全的概念。2023 年上半年,我们针对几个专门讨论信息安全的论坛的受众进行了调查。
经过调查,Positive Technologies 公司得出了以下结果:
71% 的受众熟悉具有影响力的网络安全的一般概念。
59% 的人知道在有效安全的背景下,不可容忍事件意味着什么。
“不可容忍事件”似乎不再是一个新名词,一些企业已经在根据新方法改进其内部流程。
图2企业实施有效安全要素的情况(受访者百分比)
五分之一 (22%) 的受访者表示,他们的公司已经能够建立支持网络稳定性的流程,如监测和应对网络威胁。一些受访者还表示,他们的公司已经能够开展网络培训,或启动漏洞赏金计划,有偿查找漏洞。
漏洞赏金计划是一项聘请各种自由职业网络安全研究人员查找软件、网络应用程序和 IT 基础设施中的漏洞的计划。
参与漏洞赏金计划可以进一步提高公司的信息安全成熟度,加强安全开发。当公司内部员工手动查找漏洞的人力成本过高时,外部专家的参与有助于更有效地发现弱点。同时,公司只需为发现的漏洞付费,而不是为搜索漏洞所花费的时间付费,从而可以更好地利用预算。
以前,人们认为只有科技公司才能推出此类计划。例如,早在 2019 年,在最受欢迎的平台之一 HackerOne 上,这类公司占所有攻击计划的 60%。最受欢迎的行业类别是在线服务 (28%) 和软件开发 (21%)。2022 年的情况有所不同。在漏洞赏金市场研究中,我们分析了 24 个最大的活跃平台,发现对付费漏洞搜索服务需求最大的行业是:IT 公司 (16%)、在线服务 (14%)、服务业 (13%)、商业 (11%)、金融机构 (9%) 和区块链项目 (9%)。我们预计,政府组织、保险和运输等细分市场将逆转这一趋势。
图3漏洞赏金平台参与者的行业分布
现在,科技公司与其他行业组织的区别主要体现在以下方面:前者清楚地知道他们希望从漏洞赏金平台获利,并将其作为提高服务安全性的工具。在选择平台时,科技公司关注的是活跃研究人员的数量和计划推广机会等指标。其他行业的公司才刚开始进入漏洞赏金平台。这些企业通常已经建立了基本的信息安全流程,现在希望通过吸引大量第三方专家为自己确定新的发展方向。
在不久的将来,我们预计会开发出新的计划,在这些计划中,白帽黑客不仅可以因发现漏洞而获得报酬,还可为展示企业不可容忍事件的实施获得报酬。例如,Positive Technologies 公司在 2022 年底推出了一项计划,主要目标是从其账户中实现资金转移。目前,我们看到各公司都了解这一方法的必要性,并已在等待其他市场参与者实施这一方法的第一个成功案例。
图4建立有效网络安全的各个阶段
结论
如今,任何企业的经营活动不仅会因经济因素而中断,也会因网络攻击而中断。网络犯罪攻击是导致业务放缓和无法实现战略目标的潜在原因之一。
网络安全的方向是建立和维护系统和流程,使攻击者没有机会对企业造成不可容忍事件。监管机构层面的变化也很明显:第 250 号法令迫使许多俄罗斯企业重新考虑其网络安全方法,并首次表明网络安全的责任现在落在了管理层和高层管理人员的肩上。我们还能感受到对公民个人信息保护的日益重视:例如,第 152-FZ 号联邦法的新要求规定,企业有义务在 24 小时内向联邦安全局和俄罗斯国家通讯社通报个人数据泄露情况。2023 年 2 月初,俄罗斯联邦数字发展、通信和大众传媒部启动了一个大型项目,搜索 Gosuslugi 门户网站的漏洞,吸引了来自全国各地的 8000 多名猎手。我们还注意到俄罗斯联邦数字发展、通信和大众传媒部的实验,俄罗斯政府第 860 号法令将其描述为旨在评估有效安全的一种方法。安全评估和行业监管的主题已经焕发出新的生机,我们期待监管机构在未来继续发展这些趋势。
网络安全在企业和政府稳定性中的作用变得越来越重要,而对有效安全的需求被证明是实现高水平安全的关键理念之一。目前,市场对可衡量的网络安全的需求日益增长,其目的是实现一个有保障的结果——无法实现具有不可容忍后果的网络攻击。
在我们的研究中,大规模攻击(例如,攻击者向多个地址发送网络钓鱼邮件)被视为单个攻击,而不是一系列攻击。
研究包括对信息安全专业人员和机构领导者的调查结果。调查于 2023 年在俄罗斯主要论坛上进行:Infoforum,俄罗斯数字稳定性和信息安全,CISO-FORUM。
加固是通过减少攻击面和消除潜在攻击载体(包括消除漏洞、不安全配置和弱密码)来提高安全性的过程