數(shù)字化時代下的網(wǎng)絡(luò)安全戰(zhàn)略框架之一
了解您的網(wǎng)絡(luò)安全成熟度���,數(shù)字化時代下的網(wǎng)絡(luò)安全挑戰(zhàn)
面對來勢洶洶的數(shù)字化變革,企業(yè)在聚焦數(shù)字化技術(shù)的同時��,也在面對著數(shù)字和信息帶來的威脅�。不斷變化的威脅形勢以及網(wǎng)絡(luò)攻擊手段����,使企業(yè)面對網(wǎng)絡(luò)安全風(fēng)險信心不足�����。如果沒有充分了解網(wǎng)絡(luò)威脅趨勢�,加上企業(yè)日益復(fù)雜的網(wǎng)絡(luò)架構(gòu)��,企業(yè)負責(zé)保護的數(shù)字資產(chǎn)的快速變化會降低安全保護能力��。對外而言����,如果企業(yè)本身的安全意識和能力無法及時響應(yīng)業(yè)務(wù)合作伙伴需求,總是不斷被動應(yīng)對業(yè)務(wù)發(fā)展帶來的風(fēng)險���,則會逐漸在行業(yè)中失去重要戰(zhàn)略地位。
調(diào)查顯示,在2019年約有59%的企業(yè)發(fā)生了重大安全事件��,其中個人信息和重要數(shù)據(jù)泄露風(fēng)險尤其嚴峻���。2019上半年國家互聯(lián)網(wǎng)應(yīng)急中心協(xié)調(diào)處置網(wǎng)絡(luò)安全事件約4.9萬起���,全年的漏洞總數(shù)為24160個,計算機惡意程序傳播次數(shù)日均達約998萬次��。另外因個人隱私與信息泄露���,F(xiàn)acebook、Equifax、英國航空和萬豪國際四家企業(yè)����,罰款金額將近90億美元,超過國內(nèi)整個網(wǎng)絡(luò)安全產(chǎn)業(yè)的市場規(guī)模。
所以�,一個強大的網(wǎng)絡(luò)安全風(fēng)險計劃有助于推動業(yè)務(wù)增長�,保護企業(yè)價值,并幫助企業(yè)應(yīng)對網(wǎng)絡(luò)安全威脅�,也會使企業(yè)在威脅荊棘叢生的數(shù)字化環(huán)境中立于主動之地,把握時代機遇��。
CSF:一個全面的網(wǎng)絡(luò)安全戰(zhàn)略框架
德勤網(wǎng)絡(luò)安全戰(zhàn)略框架(CSF)是一種以業(yè)務(wù)為導(dǎo)向���、基于威脅管理網(wǎng)絡(luò)安全戰(zhàn)略的平臺����。CSF是德勤在網(wǎng)絡(luò)安全戰(zhàn)略方面進行了四年多的研究和投資的結(jié)果��,并且采用了成熟的方法來確定企業(yè)網(wǎng)絡(luò)安全的當(dāng)前能力和目標(biāo)成熟度�,并提出了改進企業(yè)內(nèi)部和整體網(wǎng)絡(luò)安全彈性的建議。
我們的網(wǎng)絡(luò)安全戰(zhàn)略框架與包括ISO�,NIST和SANS等在內(nèi)的各種行業(yè)標(biāo)準保持一致,其中包含三個主要維度:業(yè)務(wù)�,威脅和能力。我們認為�,只有綜合考慮這些維度,才能了解保護(業(yè)務(wù))所需的內(nèi)容以及他們面臨不同威脅的風(fēng)險程度�,從而就如何在網(wǎng)絡(luò)安全進行投資做出明智的戰(zhàn)略決策。
我們會利用CSF框架評估企業(yè)的獨特情況和能力�����。對于這些能力中的每一項�,我們都會定義其當(dāng)前和目標(biāo)的安全級別并分析差距���。目前有上百家企業(yè)評估結(jié)果為我們的數(shù)據(jù)庫提供分析數(shù)據(jù)�����,所以您可以利用CSF基線�����,了解企業(yè)的網(wǎng)絡(luò)安全成熟度水平以及行業(yè)對標(biāo)情況�。另外,在這個多功能的在線平臺上���,評估可以基于不同內(nèi)容包進行���,評估結(jié)果通過自動演算以制定完善的網(wǎng)絡(luò)安全策略。
如何了解網(wǎng)絡(luò)安全成熟度
對于企業(yè)而言�����,網(wǎng)絡(luò)安全風(fēng)險要及時識別并積極采取措施��,另外更需要認識到企業(yè)自身安全能力�,并參考網(wǎng)絡(luò)安全的行業(yè)領(lǐng)先實踐,這樣才能適應(yīng)嚴格的法律合規(guī)要求���,快速迭代的業(yè)務(wù)模式和應(yīng)對行業(yè)競爭格局的威脅���。了解企業(yè)當(dāng)前網(wǎng)絡(luò)安全成熟度����,可以幫企業(yè)識別當(dāng)前安全能力的強弱����,確定正確的優(yōu)先事項,優(yōu)化網(wǎng)絡(luò)安全投資的價值��。在能力很強的領(lǐng)域�����,企業(yè)可適當(dāng)減少投資力度�����;相反��,在能力較低領(lǐng)域���,企業(yè)應(yīng)立即采取對應(yīng)措施,及時補齊短板��,以應(yīng)對未知的網(wǎng)絡(luò)安全風(fēng)險��。?
CSF作為一個成熟的網(wǎng)絡(luò)安全戰(zhàn)略框架,得益于如下幾個方面:
能力模型
德勤網(wǎng)絡(luò)安全能力模型引用了多個行業(yè)標(biāo)準��,如FFIEC����、ISO/IEC 27001/2、NIST網(wǎng)絡(luò)安全框架���、GDPR�����、SANS 20關(guān)鍵安全控制和工控安全等�。
最新版本的CSF平臺具備創(chuàng)建自定義內(nèi)容包的功能�����,可以實現(xiàn)在CSF平臺內(nèi)評估其他標(biāo)準和適應(yīng)本地監(jiān)管合規(guī)要求�。這樣,我們能夠為客戶提供當(dāng)?shù)胤蠘?biāo)準或法規(guī)甚至內(nèi)部定制框架的評估�����。
威脅評估模型
默認情況下,我們的威脅評估模型基于MITRE通用攻擊模式枚舉和分類(CAPEC)模型��。該模型包含基于威脅攻擊者和威脅技術(shù)的通用分類法���,可用于對企業(yè)最相關(guān)的威脅進行建模����,并根據(jù)其固有的可能性和影響確定企業(yè)的安全風(fēng)險����。
基線數(shù)據(jù)
內(nèi)容包還提供對基線數(shù)據(jù)的使用權(quán)限 - 使企業(yè)能夠?qū)⒕W(wǎng)絡(luò)安全能力成熟度與特定地區(qū),行業(yè)或部門或具有類似收入或員工人數(shù)的企業(yè)的平均成熟度進行比較��。
這種比較可以在網(wǎng)絡(luò)安全戰(zhàn)略框架平臺中以可視化的方式展示���。平臺的基線數(shù)據(jù)庫中包含特定的行業(yè)和部門數(shù)據(jù)��,企業(yè)可通過各種維度�����,進行各類基線的成熟度比較�。
案例分析
某企業(yè)需要了解企業(yè)當(dāng)前的安全能力是否能為業(yè)務(wù)提供足夠的保障���,高管們對于網(wǎng)絡(luò)安全能力的評估有著很大的困惑:什么樣的方法論可以全面覆蓋網(wǎng)絡(luò)安全的領(lǐng)域����,并且同時能跟蹤快速迭代的安全領(lǐng)域和技術(shù)���;什么樣的手段可以處理大量數(shù)據(jù)��,提供精確的數(shù)據(jù)收集與分析功能��。傳統(tǒng)的評估項目可能需要很大的人力物力��,當(dāng)下的業(yè)務(wù)和技術(shù)每天都在產(chǎn)生著大量的數(shù)據(jù)�����,手工處理避免不了計算及統(tǒng)計失誤�����,并且最終的結(jié)果可能需要閱讀大量的文字�,而不是直觀的��、可視化數(shù)據(jù)圖形��。
這時,CIO想起了前段時間公司舉行的關(guān)于“數(shù)字化網(wǎng)絡(luò)安全戰(zhàn)略框架”宣講會���,其中介紹的CSF網(wǎng)絡(luò)安全戰(zhàn)略框架正好可以解決正在面臨的困境:CSF平臺會緊跟網(wǎng)絡(luò)安全行業(yè)發(fā)展趨勢��,及時更新數(shù)據(jù)庫�����,并且涵蓋整個網(wǎng)絡(luò)安全建設(shè)的各個方面�����。另外后續(xù)的系統(tǒng)自動化評分功能���,也正好解決了要處理大量數(shù)據(jù)的問題,大大提高了工作效率與準確度��。
比如:針對已評估的安全領(lǐng)域���,提供可視化網(wǎng)絡(luò)恢復(fù)能力(或成熟度)圖表���。這使用戶能夠識別最需要投資的項目,以提高企業(yè)的整體網(wǎng)絡(luò)彈性��。
同時CSF的數(shù)據(jù)庫還能提供行業(yè)基線,可視化當(dāng)前成熟度與企業(yè)能力的目標(biāo)成熟度之間的差距�。
更重要的是,CSF平臺還提供了網(wǎng)絡(luò)安全建設(shè)工作復(fù)檢功能:在得到當(dāng)年網(wǎng)絡(luò)安全成熟度的評估后��,客戶可以就得分較低的領(lǐng)域進行改進����,并在來年���,對于相同的領(lǐng)域重新檢測�����,兩次得分進行對比���,可以得出網(wǎng)絡(luò)安全的投資回報率 ,以及相關(guān)部門的工作執(zhí)行能力 �,這對于一個企業(yè)無疑是珍貴的聲音。
?結(jié)語
每個企業(yè)都必須在某個時刻考慮到網(wǎng)絡(luò)安全的問題��,涉及流程���、人員管理等�����。一切都變得越來越數(shù)字化��,除了技術(shù)帶來的明顯優(yōu)勢外����,它還帶來了固有的威脅。為了妥善保護自己�,每家公司都應(yīng)該知道最重要的數(shù)字化資產(chǎn)是什么,哪里有弱點以及存在哪些可能的解決方案�。但是網(wǎng)絡(luò)的前景是巨大的,保持一個全面的視角并決定在哪里投資是非常困難��。
CSF可以為企業(yè)提供最好的并且可定制化的服務(wù)���,以滿足其特定需求��。它也是一種獨特的解決方案�,可以滿足每個內(nèi)部或外部投資利益相關(guān)方的需求�����。
