隨著網(wǎng)絡(luò)犯罪和高級持續(xù)攻擊的“民主化”和“常態(tài)化”，越來越多的企業(yè)信息主管和網(wǎng)絡(luò)安全團(tuán)隊(duì)開始關(guān)注“網(wǎng)絡(luò)彈性”，但很多企業(yè)的網(wǎng)絡(luò)彈性指標(biāo)和框架其實(shí)與網(wǎng)絡(luò)彈性無關(guān)。

(相關(guān)資料圖)

網(wǎng)絡(luò)安全的“B面”：網(wǎng)絡(luò)彈性

網(wǎng)絡(luò)彈性（Cyber Resilience）和網(wǎng)絡(luò)安全（Cyber Security）是兩個不同性質(zhì)但又密切相關(guān)的概念。網(wǎng)絡(luò)安全主要關(guān)注的是預(yù)防和抵御網(wǎng)絡(luò)攻擊，保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)和服務(wù)不受威脅。這涉及到使用防火墻、加密技術(shù)、身份驗(yàn)證、入侵檢測系統(tǒng)等技術(shù)來防止未經(jīng)授權(quán)的訪問、數(shù)據(jù)泄露，以及其他類型的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全的目標(biāo)是防止攻擊發(fā)生，如果發(fā)生攻擊，盡可能地減小攻擊的影響。

網(wǎng)絡(luò)彈性則是指網(wǎng)絡(luò)在面臨攻擊或者其他不利情況（例如設(shè)備故障、自然災(zāi)害等）時，能夠維持其關(guān)鍵功能，或者在攻擊后能夠快速恢復(fù)的能力。網(wǎng)絡(luò)彈性的關(guān)鍵是設(shè)計(jì)和實(shí)施一種能夠適應(yīng)和恢復(fù)的網(wǎng)絡(luò)架構(gòu)，這可能涉及到負(fù)載均衡、冗余設(shè)計(jì)、故障切換、災(zāi)難恢復(fù)等措施。

在某種意義上，網(wǎng)絡(luò)彈性可以被看作是網(wǎng)絡(luò)安全的一部分。一個具有良好網(wǎng)絡(luò)安全能力的系統(tǒng)應(yīng)該具備處理和抵御網(wǎng)絡(luò)攻擊的能力，同時也需要具備在面臨攻擊或者其他突發(fā)事件時，保持關(guān)鍵操作和服務(wù)運(yùn)行，或者快速恢復(fù)到正常狀態(tài)的能力。然而，網(wǎng)絡(luò)彈性更側(cè)重于系統(tǒng)的適應(yīng)性和恢復(fù)力，而網(wǎng)絡(luò)安全更側(cè)重于防御和保護(hù)。

總的來說，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)彈性都是構(gòu)建一個安全、健壯和可靠網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵組成部分，二者缺一不可，但是在具體實(shí)踐中，很多企業(yè)都對網(wǎng)絡(luò)彈性缺乏足夠認(rèn)識和準(zhǔn)備。

網(wǎng)絡(luò)彈性計(jì)劃大多不成熟

Immersive Labs的一項(xiàng)研究顯示，在外部威脅的驅(qū)動下，企業(yè)有加強(qiáng)網(wǎng)絡(luò)安全能力的強(qiáng)烈意圖。但遺憾的是，雖然大多數(shù)企業(yè)都宣稱自己有網(wǎng)絡(luò)彈性計(jì)劃，其中超過一半都缺乏評估彈性的全面方法。

“攻擊者的參與規(guī)則不斷創(chuàng)新，試圖造成災(zāi)難性和不可避免的情況，”O(jiān)sterman Research分析師兼調(diào)查白皮書作者M(jìn)ichael Sampson指出：“雖然網(wǎng)絡(luò)彈性是大多數(shù)組織的希望所在，但大多數(shù)組織構(gòu)建、測試和提高網(wǎng)絡(luò)彈性的做法仍不成熟。”

這項(xiàng)研究由奧斯特曼研究公司委托進(jìn)行，調(diào)查了擁有570多名員工的組織中擔(dān)任高級安全和風(fēng)險角色的1000名受訪者。該調(diào)查在美國、英國和德國進(jìn)行。

調(diào)查的一些重要統(tǒng)計(jì)數(shù)據(jù)和結(jié)論如下：

雖然大多數(shù)（86%）組織都有網(wǎng)絡(luò)彈性計(jì)劃，但超過一半（52%）的受訪者表示，他們的組織缺乏評估網(wǎng)絡(luò)彈性的全面方法。

這些網(wǎng)絡(luò)彈性計(jì)劃包括網(wǎng)絡(luò)彈性戰(zhàn)略、計(jì)劃和/或基礎(chǔ)設(shè)施的組合，其中大部分由組織內(nèi)部管理（51%）。與此同時，一小部分外包給第三方，如咨詢公司（35%）。

公司缺乏適當(dāng)?shù)闹笜?biāo)來評估網(wǎng)絡(luò)彈性，近一半（46%）的高級安全和風(fēng)險領(lǐng)導(dǎo)者缺少合適的指標(biāo)來展示其員工抵御網(wǎng)絡(luò)攻擊的彈性，只有6%的公司利用了響應(yīng)時間、入侵率、內(nèi)部數(shù)據(jù)丟失和各種數(shù)據(jù)類型的事件率等信息指標(biāo)。

“我對組織用來評估網(wǎng)絡(luò)安全能力和彈性的指標(biāo)感到失望，”桑普森說：“大多數(shù)企業(yè)都依賴與彈性無關(guān)的指標(biāo)、測試和指標(biāo)評估框架?！?/p>

調(diào)查還表明，在過去六個月中，只有不到一半（46%）的組織的董事會要求安全團(tuán)隊(duì)展示組織的網(wǎng)絡(luò)彈性。高級管理層提出該要求的比例也僅為51%。

“很多壓根沒有網(wǎng)絡(luò)彈性指標(biāo)的企業(yè)仍然每年向董事會數(shù)次報告網(wǎng)絡(luò)彈性，這也著實(shí)令人驚訝和費(fèi)解，”桑普森補(bǔ)充道：“我們不知道這些報告的具體內(nèi)容，但混淆現(xiàn)實(shí)對所有利益相關(guān)者來說都是壞消息。如果組織的董事會開始要求提供證據(jù)，并深入研究為彈性評估提供信息的內(nèi)容，那就太好了?！?/p>

安全意識培訓(xùn)方法亟待變革

網(wǎng)絡(luò)安全威脅是網(wǎng)絡(luò)彈性計(jì)劃的主要驅(qū)動因素。63%的受訪者表示他們擔(dān)心勒索軟件，51%的受訪者擔(dān)心供應(yīng)鏈攻擊，48%的受訪者擔(dān)心代碼漏洞攻擊。

“網(wǎng)絡(luò)彈性能力的低下被威脅的混沌屬性進(jìn)一步放大：勒索軟件、供應(yīng)鏈和第三方攻擊以及編碼漏洞，”Sampson說道：“這些攻擊的許多方面仍然是動態(tài)的、混亂的，并且不受組織的控制?！?/p>

對行業(yè)安全認(rèn)證的不信任是調(diào)查發(fā)現(xiàn)的另一個關(guān)鍵問題。雖然幾乎所有（96%）的組織都支持網(wǎng)絡(luò)安全行業(yè)認(rèn)證，但只有32%的組織表示這在緩解網(wǎng)絡(luò)威脅方面有效。此外，盡管96%的組織表示他們鼓勵I(lǐng)T和網(wǎng)絡(luò)安全團(tuán)隊(duì)獲得證書，只有48%的企業(yè)在招聘中將網(wǎng)絡(luò)安全認(rèn)證作為重要條件。

此外，業(yè)界的（網(wǎng)絡(luò)安全意識）課堂培訓(xùn)的頻率也不足以有效應(yīng)對網(wǎng)絡(luò)安全威脅，因?yàn)橹挥写蠹s27%的受訪者每月接受培訓(xùn)。

“雖然認(rèn)證和培訓(xùn)在培養(yǎng)特定領(lǐng)域或產(chǎn)品的能力方面可以發(fā)揮作用，但它們不太適合評估個人如何將這種能力應(yīng)用于‘野外’事件以及與團(tuán)隊(duì)中其他人的關(guān)系?！盨ampson補(bǔ)充道。

盡管接受了多年的安全意識培訓(xùn)和網(wǎng)絡(luò)釣魚測試，但近一半的受訪者（46%）表示他們的員工仍不確定如何處理網(wǎng)絡(luò)釣魚電子郵件。這表明業(yè)界通行的安全意識培訓(xùn)方法存在巨大的改進(jìn)空間。

Sampson認(rèn)為，網(wǎng)絡(luò)安全認(rèn)證與安全意識培訓(xùn)的內(nèi)容開發(fā)、個人學(xué)習(xí)和能力評估之間的時間間隔與快速發(fā)展的威脅形勢不匹配，導(dǎo)致個人在面對真實(shí)的網(wǎng)絡(luò)威脅時的實(shí)戰(zhàn)表現(xiàn)總是低于預(yù)期。

最后，該研究得出的結(jié)論是，企業(yè)需要優(yōu)先考慮網(wǎng)絡(luò)安全工作，重點(diǎn)工作是培訓(xùn)整體員工隊(duì)伍（而不僅僅是IT部門）的安全技能、知識和判斷力，同時積極評估和解決網(wǎng)絡(luò)彈性水平和網(wǎng)絡(luò)安全技能的差距，以在快速發(fā)展的網(wǎng)絡(luò)安全環(huán)境中有效應(yīng)對新興威脅。