Skip to main content Skip to Footer

埃森哲《展望》期刊


开启网络安全智能时代

合气道高手对敌时不是直接硬碰硬,而是顺势借力引对方到其他方向。企业在面临网络安全威胁时,可借鉴之,采取积极主动防御模式。

概要

随着网络应用的广泛普及,信息安全问题日益严峻,信息泄密事件更是令许多企业和组织损失惨重。索尼(Sony)、塔吉特(Target)、摩根大通银行、Anthem等公司在这方面都有过惨痛的教训。在传统网络安全防御模式下,许多企业即使投入了大量精力和资源,面对网络攻击时还是防不胜防。如今,一种全新的安全策略可帮助企业应对诸多挑战:满足全球性员工队伍的多变需求、实现主动防护、发现潜在威胁和攻击路径。

这种新策略能够与企业的云服务集群、供应商、身份识别标准和接入管理技术迅速整合在一起,并有效契合当前已实施的信息安全基本原则。这种主动性网络安全模式从自身业务目标出发,在本质上有别于以控制为核心的传统防御模式。

主动安全模式需先扫清五大障碍

要成功部署这一防御策略,企业首先需要扫清五大障碍。

障碍一:业务和安全工作脱节。当今世界,以移动互联网、大数据、物联网、云计算为代表的数字技术正在彻底颠覆企业的业务模式。而为业务保驾护航理应是所有信息安全方案的首要目标,但许多企业并未将其化为一种核心竞争力。企业应当将安全方案、整体业务目标及当前要务三者紧密联系起来,积极与业务利益相关方展开信息安全对话,确定方针路线。

为确保安全方案与自身商业目标配套,企业要深入了解技术领域(数字技术在企业内部的部署方式)及其业务的相关性(防御方案如何支持业务战略目标)。企业CIO们应该搞清楚所提供的安全防护对客户满意度、忠诚度及业务收入的影响。只有把安全战略跟业务绩效指标挂钩,企业才能真正在业务和安全之间建立起紧密的联系。

障碍二:受困于旧有合规思维模式。当公司数字化防线曝出新漏洞时,许多管理者都百思不得其解:企业明明已经严格遵守了业内网络安全规定,为何还会屡屡出现漏洞?实际上,合规并不能确保安全。企业应该将合规要求视为网络安全的最低标准。只关注管控或审计要求的安全方案必将失败,因为它们忽视了两大关键因素——企业业务本身以及当前的安全威胁究竟属于何种性质。

合规离安全仍然有很大的距离,过于依赖控制型方案(mandated program)的防御能力让许多企业蒙受重大损失(见图一)。合规方案常常依据审计要求,采取“一刀切”的方法,重点强调如何去落实监管要求,审计人员往往按季或逐年评估企业的合规情况,但新的威胁每天甚至每小时都在出现。

而在新的信息安全方案下,企业不再以审出问题的多少来衡量安全防护成功与否,而是看实际的损失和对业务的影响。此外,审计发现的问题并非真的是风险,只是预示或可能引发风险。合理落实安全措施的企业更有可能实现高度合规,明确风险承受能力。

障碍三:业务管理不善。云计算、移动技术和社交网络解决方案是许多重要业务系统的基石。这些数字技术创造了一些新的业务模式,如标准化的按需付费服务。很多企业在适应这种转变的同时,未能及时建立合适的安全框架、政策和管控措施,无法为不断变化的信息技术环境提供有效的安全防护。不仅如此,业务部门如今期望能够随时随地访问系统和应用,并且允许员工除了使用企业配备的办公设备外,还可以使用个人智能手机和平板电脑。因此,IT安全团队不得不面对错综复杂的管理局面——需要保护更多的接入点和外部托管服务,而这些接入点和外部托管服务并非完全归企业所有。

在许多组织中,延伸性企业(extended enterprise)典型性日常工作包括:实时调用多台服务器,支持云端CRM系统测试;帮助现场工作人员通过移动端接入新功能;建立促进销售、产品和营销协作的业务社交网络。

这些工作是业务部门不断探索、创新的结果,安全高管应当特别注意避免因缺乏治理和充分的数据保护而暴露出安全漏洞。

障碍四:忽视持久存在的威胁。网络安全威胁往往有特定的意图和目标,任何组织都无法完全幸免。现在,许多精密设计的攻击都是由多方配合,以盈利、出名、市场优势和知识产权为目标的,并且这种趋势愈演愈烈。令人头疼的是,这种威胁往往很难识别。

此外,网络的攻击者可能是政府机构、激进组织和普通黑客,它们动机不同、目标各异。它们瞄准的可能是技术系统,也可能是企业员工——让员工在知情或不知情的情况下沦为内部帮凶。鉴于攻击者愈加精明,企业很少在自己熟知的、防卫森严的正门遭受攻击,而防御稍显薄弱的企业供应商,成为攻击开始和扩散的最佳切入点。

为了进一步强化自身防御,企业需要采用动态化手段,包括情报、数据分析和响应措施,有效应对花样翻新的攻击手段。正如合气道大师植芝盛平对弟子的教诲:“最佳战略有赖于智慧应对。”

障碍五:安全服务供需失衡。根据最新研究 ,多数企业都缺乏足够的安全人才,难以满足当前的安全防御需求。就吸引并保留关键安全技术人才而言,各类企业也面临诸多挑战,如缺乏恰当、适量的资源组合,难以实施安全方案;存在技能缺口;员工士气消沉和专业人才流失等。

企业构建积极主动的网络安全模式,安全团队需要加强自身适应性,紧跟不断发展的业务目标。企业必须将众多差别显著且分属于不同实体的要素纳入到统一框架内,以此抵御安全威胁。如图二所示,在这个以抵御威胁为工作重心的整体化安全方案中,各个组成部分可以相互支撑,协同发挥作用。

其中,核心业务资产位于中心,由强有力的企业安全管控机制保护。位于其上的是针对延伸性企业的防御措施,主要支持云技术、移动技术和社交网络的应用。

高级数据分析技术与网络威胁情报的结合有助企业更积极、快速地行动。同时,企业应当制定清晰的安全指标,以便通过量化方式评测对业务成果的影响。

安全和业务管理者已认识到,需要借助新的治理战略、技术伙伴、技能和综合架构,转变自身运营模式。虽然许多企业已对分散在这些领域内的工具和技术进行了配置,但是还要将这些要素加以整合,才能充分实现可预见的价值。

五大举措构建智能安全防护

在抵御网络攻击时,企业应像合气道大师那样,主动防御,有准备地迎击和化解安全攻击。具体而言,企业可以采取以下五大举措,通过分析型安全防御手段,识别、预测安全威胁。

举措一:评估安全方案实际效能。企业制定以业务为中心的网络安全战略前,需要先确定当前状态及转型所需资源。通过评估安全方案的成熟度,建立明确的战略和路线图(见图三)。

通过评估,企业能够得出安全运营、技术和基础流程的成熟度。成熟度一般依次分三个阶段:第一,了解面临的威胁。处于该阶段的企业应建立流程,明确资产的重要等级,推动安全技能的合理化;进而积极管理薄弱环节、监控威胁情报。第二,了解企业的安全形势、防御措施以及存在的差距。第三,侦测与响应。如果已达到最完善的网络安全成熟阶段,这些组织将像合气道大师那样,设法改变敌人的攻击方向,并尽可能地借力还击。

举措二:与企业现有架构实现整合管理。领先企业已建立了端到端的业务安全方案,并将其纳入现有业务架构流程中,由此降低了复杂性,并创造出业务部门认可的成果。在实际工作中,达成这一目标需要建立全新的安全认识,了解怎样将安全工作与IT和自身业务进行整合,使三者协调发展,从而有效创建一种新的安全运营模式。

通过一系列职责、流程、指标和管制政策的合理搭配,安全运营模式可在各组织职能中得到贯彻和落实。

最终,该模式将与企业的整体架构、技术和流程实现整合。例如,某跨国金融服务机构已将原有的被动应对型安全职能部门,改造为十分有效的全球化组织,主动保护信息资产。

通过同时关注业务和安全,新的安全组织发起了一系列优先项目,成功打造出诸多至关重要的安全技能,包括:移动及远程身份和访问管理;基础设施和应用软件安全;数据保护。

此外,依托基础整合方法、预先集成技术和行业领先服务,企业还能够迅速部署大量的核心服务业务。而快速部署无疑有助于降低风险,实现业务效益。

举措三:提高敏捷性。领军企业正在积极利用云计算技术提高IT工作的敏捷性,更快地与消费者建立联系。他们允许员工使用个人移动设备访问敏感的内部数据和社交网络,以此销售产品、了解客户行为趋势。这些机构不断提升效率和降低成本,同时确保风险在可控范围。随着业务的不断拓展,领先组织还通过尽职调查、主动治理、标准化和利用第三方安全解决方案,持续打造与之相匹配的安全体系,由此获取更多洞见、扩大管控范围,免除业务人员的后顾之忧。

当前,企业纷纷将服务化产品打造为核心业务,而高管人员也在为此建立一套安全和技术治理手段,妥善管理复杂性,把风险控制在可接受范围内。他们将接入管理、数据加密、标记化、数据防泄露等技术加以整合,主动改进敏感型业务数据和客户数据的处理与储存方法。

此外,领先企业还会建立一种“安全即服务”的方法,借助云安全服务满足业务需要,同时达到监管、隐私保护和安全等方面的要求。

依托云技术、移动技术和社交网络的综合安全防护能力,领军企业能够保持现有的安全水平,甚至达到更高等级。企业可采取三项关键举措,使该方法发挥切实功效:第一,针对延伸性企业的云端业务,实行不间断的技术管控。第二,订立安全服务协议,化解第三方服务供应商风险。第三,与云技术、移动技术和社交网络提供商共担责任,提高安全工作的敏捷性。

最为关键的是,针对延伸性企业,领先企业纷纷采用了同时聚焦数据与威胁的安全工作模式。该模式有助于识别和定位敏感数据、了解数据的使用方式、跟踪数据走向,并最终决定何时、以何种方式展开最有效的管控行动。

举措四:加快实现安全智能化。有些企业采取积极的防御策略,不但增加了对手的攻击难度,还可以灵活、巧妙地予以反击,从而达到事半功倍的效果。

领军企业通常都会利用高级数据分析技术来实现“情境感知”:其安全运营团队可以恰当选用监测和侦测工具,创建警报流。高效的团队能够围绕这些警报培养深入情境的感知能力,帮助判定事件的紧急程度并改善应对效果。

某全球性能源企业通过多种方式展示了自身的主动防御策略。首先,它调动业务部门普遍使用的工具,将其与多种威胁情报获取方式和新的安全事件数据来源组合在一起。此外,主动型防御还帮助该企业运用高级分析技术来掌握精准的网络安全情报,借此统一协调应对举措。

采取积极的防御策略有助于企业将关注重点从监测结果转向了解问题,以及快速而巧妙地应对迫在眉睫的威胁。

不仅如此,该策略还可以帮助领导者更好地预测、预防延伸性企业内部出现的威胁或安全事件,并快速做出响应。通过将高价值数据集和传统的企业安全数据相结合,企业能够更加深入地了解安全警报背后的整体情况。

举措五:实现端到端安全交付;建立灵活外包策略。高效的安全组织会为其每一项安全服务制定交付和运作策略。为此,他们需要确定哪些端到端安全服务应当部署在组织内部,而哪些应外包给服务提供商。故而在设计、构建和部署网络安全方案的各项要素之前,领军企业首先会对内部能力进行仔细评估。

在最初将安全工作向业务方向靠拢时,领导者应根据整体风险承受能力、业务模式和商业战略,做出正确的能力获取决策。他们还要认识到,自身的安全及业务成果将依赖于企业能否选择恰当的合作伙伴,并借助其技能和解决方案来不断完善自身。领军企业可以通过将安全工作外包的方式,降低成本及复杂性,从而集中精力构建主动防御系统,提供前瞻性安全能力并为业务部门提供支持。

通过全天候监视并持续识别潜在威胁与安全状况,领军企业获益良多。他们建立了核心安全支持团队,能够确保落实预先确定的安全与风险策略,并且可以快速进行扩张或收缩以满足业务需求。

企业如能找到出色的合作伙伴,便可准确了解当前的安全绩效、采取举措管理复杂性,并通过端到端的安全方案整合内部组织,从而为迎接未来的挑战做好准备。这将使领军企业变得更加敏捷,能够针对威胁迅速作出改变,同时建立卓越的端到端安全交付能力。

在全球范围,各行各业的安全服务领军企业在提高防御能力的同时,也面临一些巨大挑战:业务边界不断扩展且日益模糊;仅满足合规要求已无法有效解决安全问题;员工流动性不断升高;新一代具有行业针对性的攻击者正在崛起;业务需求和安全目标之间存在显著差距;以及对网络安全人才的持续争夺。

企业应对上述挑战的过程将有效提升企业网络安全能力。企业首先需要评估当前的形势,并采用与业务目标相一致的安全策略。接下来,企业必须留住人才,借助他们的相关经验,促进业务发展。

在一系列集成安全解决方案的支持下,企业能够以模块化的方式,根据具体的威胁领域,逐步建立企业端到端的安全交付能力。

这些新技能可帮助企业将安全建设从静态转变为动态。此外,通过多样化的技术手段,还能够干扰和阻止各类攻击。作为网络安全新常态的一部分,主动防御将发挥重要作用。为了有效协调实施主动防御策略,企业需要借助一种治理模型来支持业务规则、生命周期和机遇。

目前,由于无力将技术资产与企业运营结合起来,因此拥有此类安全管理先进技能和技术的企业仍寥寥无几。我们认为,安全组织应当通过已收集和分析的数据获取更多价值。通过建立数据管理、安全和分析等一系列核心能力,安全组织可以有效建立并拓展安全管理方案,从而支持延伸性企业的发展。

企业在大力发展数字化新业务同时,如何破解网络安全威胁显得尤为紧迫。万法归一。企业不妨借鉴合气道大师的战法,主动出击,建立全新的智能安全管理方案,实现主动数据防护,及时发现潜在威胁,将安全隐患消灭于萌芽之中。

作者简介

李晓东是埃森哲大中华区基础设施服务董事总经理,常驻北京,