过去的“信息安全”概念
几年前,人们对于“信息安全”的理解什么?可能首先想到的是遵守监管机构的规范性文件、通过审计和其他检查、购买和安装保护系统,达到信息安全方案。之前对于“网络安全”的认识通常停留在“形式”上,很多公司没有从根本上认识到网络信息安全的重要性,而网络安全也并非是企业CEO关注的重点问题。但随着着网络科技的不断发展,之前的信息安全措施已经完全不能满足一家企业的需求。
2021年,根据俄罗斯PT(Positive Technologies)公司的调查,发现许多公司的网络安全库中只有基本的防御工具,这些工具并不是为了检测复杂的网络威胁而设计。同时,每十个受访者中就有一个指出企业系统缺乏病毒防御部分。除此之外,并非所有公司都使用了先进的解决方案,例如27% 的受访者表示他们拥有流量分析系统,但只有五分之一的受访者计划实施此类保护工具。此外,只有十分之一的受访者表示他们的公司拥有专门的“从端到端”的解决方案。
网络安全问题是否能“前置”?
通常情况下,公司会在攻击发生后部署资源来改善系统安全并修复漏洞,因此是否可以提前采取行动,防止负面影响?对于这个问题来说,确保组织的安全意味着网络安全维护业务要具有连续性,确保业务流程对外部潜在因素的适应能力。
成功的网络攻击事件每年都在增加,现在的安全问题也比以往任何时候都更加尖锐。网络安全正在成为一个日益动态的领域,因为企业软硬件基础设施的不断变化和恶意行为者攻击方法的不断发展,都要求企业要快速适应这种环境。例如,曾有研究表明,公司的工作方式和员工之间的互动方式将会发生迅速的变化,以及网络安全的实施如何落后于时代的挑战。
“不可接受事件”的网络安全概念
越来越多的人意识到网络安全在实际应用中的重要性,各组织指出需要改进防御措施,来抵御恶意行为者在现实世界中的攻击。
企业对开展多个渗透测试项目的要求也在发生变化,因为将五项测试结果与现实世界的业务影响关联起来变得越来越困难。根据PT(Positive Technologies)公司的数据,在2021 年,有客户要求对组织不可接受的事件进行验证:在每三个项目中,客户都指定了目标系统,验证攻击者的某些能力。这些系统包括自动流程控制系统、ATM管理系统、SWIFT银行间转账系统、IC和网站管理界面。2022 年,有47%的组织指定了在开展工作时需要实现的具体目标,27%的组织要求验证不可接受的事件。
不可接受事件是指由于恶意行为导致无法实现企业的运营和战略目标,或导致企业核心业务长期中断的事件。
通常情况下,公司活动的具体情况不允许其测试真实基础设施上的潜在风险可实现性,因为这可能会对其技术和业务流程产生负面影响。网络多边形(Cyber polygons)系统(能够模拟企业实际基础设施的一部分,旨在培训网络安全人员和提高保护技能的系统)正在兴起。网络多边形可以在不中断实际流程的情况下,验证不可接受事件的清单及其实现的后果,并评估可能造成的损害。
网络安全现在的努力方向——建立起“有效的”网络系统
如今,要防范所有网络威胁是不可能的,越来越多的企业意识到需要建立以业务为导向的网络安全系统。其主要目标是保护公司最重要的资产,防止不可接受的事件发生。这是有效的网络安全正在兴起的标志,是一种具有成熟IS的组织所特有的方法。
有效的网络安全是指一个企业处于安全状态,确保网络安全系统能抵御网络攻击,并确保在任何时刻攻击者无法对该企业实施不可接受的事件。基于结果的网络安全意味着一种可定性、可定量与可衡量的信息保护系统,保护公司资产并防止发生不可接受的事件。这种方法意味着最高管理层直接参与公司信息安全的发展,需要参与不可接受事件清单的制定,具体的企业信息安全目标制定以实际需求为导向。
这种有效的网络安全方法正在取得成效——根据普华永道的研究,在 2022 年超过70%的受访者看到,由于累积投资以及与高级管理层的合作,网络安全得到了多重改善;有71% 的受访者表示,企业能够在对合作伙伴或客户造成负面影响之前,预测并应对相关的网络风险;超过一半的高管(51%)表示,他们需要网络风险管理计划来实施任何重大业务或运营变革;此外,半数以上(52%)的人表示,他们打算进行一些优化举措,例如优化供应链和淘汰削弱企业网络地位的产品。
在俄罗斯,“有效的网络安全”这一概念目前正在积极发展之中。2023 年上半年,我们对多个 IS 论坛的听众进行了调查。PT(Positive Technologies)公司进行的调查得出了以下结果:71%的受众熟悉有效网络安全的一般概念;59%的受众知道有效安全背景下不可接受事件的含义;“不可接受事件”不再是一个新名词,一些企业已经在根据新方法改进其内部流程。
五分之一(22%)的受访者表示,他们的公司已设法建立了维护网络复原力的流程,比如监控和应对网络威胁。还一些受访者还表示,他们的公司已经能够实施网络培训,或启动漏洞赏金计划,有偿查找漏洞。
漏洞悬赏计划
BUG BOUNTY是一项聘用各种自由职业网络安全研究人员的计划,旨在发现软件、网络应用程序和 IT 基础设施中的漏洞。
参与漏洞悬赏计划可以进一步提高公司的信息系统成熟度,加强网络安全开发。当内部员工手动搜索漏洞的人力成本过高时,聘请外部专家有助于更有效地发现弱点。同时,公司只需为发现的漏洞付费,而不是为搜索漏洞所花费的时间付费,从而可以更好地利用预算。
以前,人们认为只有科技公司才能推出此类计划。例如,早在 2019 年,在最受欢迎的平台之一HackerOne上,这类公司占所有活跃计划的60%。最受欢迎的行业类别是在线服务(28%)和软件开发(21%)。2022 年的情况有所不同,在漏洞赏金市场研究中,通过分析了 24 个最大的活跃平台,发现对付费漏洞搜索服务需求最大的行业是IT公司(16%)、在线服务(14%)、服务业(13%)、商业(11%)、金融机构(9%)和区块链项目(9%)。PT(Positive Technologies)预计这一趋势在政府组织、保险和运输等细分市场将会逆转。
如今,技术公司与其他行业组织的区别主要体现在以下方面:前者清楚地知道他们希望从漏洞赏金平台获得什么结果,将其作为提高服务安全性的工具。在选择平台时,技术公司关注的是活跃研究人员的数量和计划推广机会等指标。其他行业的公司刚刚开始进入漏洞赏金平台时,这些公司通常已经建立了基本的信息系统流程,希望通过吸引大量第三方专家为自己确定新的发展方向。
在不久的将来,PT(Positive Technologies)预计会开发出新的计划,在这些计划中,道德黑客不仅可以因发现漏洞而获得报酬,还可以因证明企业实施了不可接受的事件而获得报酬。例如,PT(Positive Technologies)公司在 2022 年底推出了一项计划,其主要目的是从其账户中转移资金。目前,我们看到各公司都了解到这种方法的必要性,并已在等待其他市场中的第一个成功案例。
网络安全的未来发展趋势
如今,任何组织的活动不仅可能因经济因素而中断,也可能因网络攻击而中断。网络犯罪攻击是导致业务放缓和无法实现战略目标的潜在原因之一。
网络安全正朝着建立和维护系统和流程的方向发展,使攻击者没有机会实现组织无法接受的事件。与此同时,许多公司重新考虑其网络安全方法,并表明网络安全的责任现在落在了管理层和高层管理人员的肩上。现今安全评估和行业监管已经焕发出新活力,未来监管机构将继续向着这个方向深化发展。
网络安全在企业和政府中的作用正变得越来越重要,“有效的网络安全”需求是实现高水平网络安全的关键理念之一。市场对可衡量的网络安全的需求日益增长,其目的是实现一个有保障的结果——避免发生不可接受事件的网络攻击。
