數(shù)字化時(shí)代下的網(wǎng)絡(luò)安全戰(zhàn)略框架系列之三
規(guī)劃未來(lái)安全之路
數(shù)字化時(shí)代下對(duì)網(wǎng)絡(luò)安全規(guī)劃的要求
數(shù)字化變革,作為全球范圍內(nèi)炙手可熱的關(guān)注焦點(diǎn)��,要求企業(yè)從生產(chǎn)到服務(wù)等多方面進(jìn)行全方位變革�����。而由此帶來(lái)的大量且快速變換的數(shù)字和信息威脅�����,成為了企業(yè)迎接挑戰(zhàn)的過(guò)程中亟待解決的問(wèn)題����。不斷變化的網(wǎng)絡(luò)威脅環(huán)境和網(wǎng)絡(luò)攻擊模式�,使得企業(yè)無(wú)法在一個(gè)安全可靠的環(huán)境下持續(xù)響應(yīng)數(shù)字化變革的要求�����,甚至?xí)虼藫p失大量企業(yè)信息資產(chǎn)。正因如此�,如何擺脫數(shù)字化變革中的被動(dòng)地位,提前做好應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的規(guī)劃措施,將成為企業(yè)數(shù)字化戰(zhàn)略歷程中最具價(jià)值的一環(huán)����。
根據(jù) Risk Based Security (RBS) 2019年Q3季度報(bào)告,從2012年開(kāi)始�,數(shù)據(jù)泄露事件的數(shù)量整體呈現(xiàn)出遞增趨勢(shì)���,其中2019年泄露事件數(shù)量(5183)比2018年(3886)上漲33.3%���,而2019年泄露記錄數(shù)量(37.66億)比2018年(79.95億)上漲112%���。面對(duì)近年來(lái)愈加嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)���,企業(yè)對(duì)網(wǎng)絡(luò)安全規(guī)劃的需求也逐步提高���。據(jù)調(diào)查顯示��,自2015年起�����,企業(yè)對(duì)網(wǎng)絡(luò)安全規(guī)劃的高度重視以及大量投資促使我國(guó)網(wǎng)絡(luò)安全硬件市場(chǎng)規(guī)模逐年同比增漲20%,網(wǎng)絡(luò)安全軟件市場(chǎng)規(guī)模逐年同比擴(kuò)張12%���。
而隨著企業(yè)轉(zhuǎn)換視野���,加大對(duì)自身網(wǎng)絡(luò)安全的投資,如何使得企業(yè)不盲目投入�����,做好高投資回報(bào)率的網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃���,成為在日益激烈的網(wǎng)絡(luò)安全戰(zhàn)場(chǎng)上提前占據(jù)有利地勢(shì)的第一把“利刃”。
CSF: 一個(gè)面向未來(lái)的網(wǎng)絡(luò)安全戰(zhàn)略框架
德勤網(wǎng)絡(luò)安全戰(zhàn)略框架(CSF)是一個(gè)以企業(yè)業(yè)務(wù)為導(dǎo)向��、基于威脅管理的網(wǎng)絡(luò)安全戰(zhàn)略平臺(tái)�����。CSF是德勤在網(wǎng)絡(luò)安全戰(zhàn)略方面花費(fèi)了四年多研究和投資得到的產(chǎn)出成果,它所依靠的成熟方法論可以幫助企業(yè)確定其網(wǎng)絡(luò)安全的目前成熟度�,識(shí)別其網(wǎng)絡(luò)環(huán)境存在的威脅,并提供針對(duì)目標(biāo)成熟度的可視化戰(zhàn)略報(bào)告和高彈性的戰(zhàn)略路線�����,從而形成一個(gè)強(qiáng)大有效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)規(guī)劃平臺(tái)��,有預(yù)見(jiàn)性地幫助企業(yè)規(guī)避未來(lái)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��。
具體來(lái)說(shuō)�,依靠CSF平臺(tái)的核心方法論�����,戰(zhàn)略框架從企業(yè)業(yè)務(wù)�����,網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)能力三個(gè)維度對(duì)企業(yè)所需保護(hù)的業(yè)務(wù)資產(chǎn)進(jìn)行全方位的分析��,識(shí)別出資產(chǎn)所面臨的不同程度的風(fēng)險(xiǎn)�����,從而針對(duì)企業(yè)的網(wǎng)絡(luò)安全投資給出有建設(shè)性的戰(zhàn)略決策�����。而針對(duì)戰(zhàn)略規(guī)劃中��,最核心的網(wǎng)絡(luò)威脅識(shí)別和面向未來(lái)的網(wǎng)絡(luò)能力戰(zhàn)略性提升兩部分,我們的平臺(tái)在網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃市場(chǎng)上具有其自身獨(dú)特的優(yōu)勢(shì)�����。
針對(duì)網(wǎng)絡(luò)安全威脅識(shí)別����,我們的網(wǎng)絡(luò)安全戰(zhàn)略框架目前覆蓋了包括ISO,NIST和SANS在內(nèi)的多個(gè)行業(yè)安全標(biāo)準(zhǔn)�,并持續(xù)更新自身的數(shù)據(jù)庫(kù)�����,以滿(mǎn)足多方位不斷升級(jí)的未來(lái)網(wǎng)絡(luò)安全要求���。而在幫助企業(yè)進(jìn)行網(wǎng)絡(luò)戰(zhàn)略規(guī)劃上�����,我們的平臺(tái)可以在幫助企業(yè)了解自身所處行業(yè)的網(wǎng)絡(luò)安全水平的基礎(chǔ)上��,為企業(yè)的獨(dú)特情況進(jìn)行定制化評(píng)估。對(duì)于評(píng)估中的每一項(xiàng)�����,我們都會(huì)定義其當(dāng)前所處網(wǎng)絡(luò)環(huán)境的安全水平和目標(biāo)安全水平并分析兩者間差距���,同時(shí)參考網(wǎng)絡(luò)環(huán)境的變化趨勢(shì)���,從而得到著手于當(dāng)下且放眼于未來(lái)的企業(yè)戰(zhàn)略轉(zhuǎn)型路線圖��,幫助企業(yè)迎合不斷變化的科技市場(chǎng)�����。
如何制定企業(yè)網(wǎng)絡(luò)安全規(guī)劃 �?
在日新月異的科技創(chuàng)新大環(huán)境下����,現(xiàn)代化企業(yè)既需要及時(shí)識(shí)別自身目前存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���,更需要認(rèn)識(shí)到企業(yè)網(wǎng)絡(luò)安全能力需要保持不斷升級(jí)�,防止在優(yōu)勝劣汰的未知競(jìng)爭(zhēng)中處于險(xiǎn)惡地位�����。規(guī)劃企業(yè)未來(lái)網(wǎng)絡(luò)安全之路���,可以幫助企業(yè)從長(zhǎng)遠(yuǎn)的角度確立自己的優(yōu)先項(xiàng)目清單,并且基于平臺(tái)的精細(xì)化領(lǐng)域劃分和不間斷捕捉最新行業(yè)規(guī)范和標(biāo)準(zhǔn)����,持續(xù)精準(zhǔn)地優(yōu)化企業(yè)網(wǎng)絡(luò)安全投資,以應(yīng)對(duì)潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��。
而CSF作為一個(gè)成熟的網(wǎng)絡(luò)安全戰(zhàn)略框架�,得益于以下幾個(gè)方面:
面向不斷變化的潛在網(wǎng)絡(luò)安全威脅——威脅評(píng)估模型
默認(rèn)情況下,我們的威脅評(píng)估模型基于MITRE通用攻擊模式枚舉和分類(lèi)(CAPEC)模型。該模型包含基于威脅攻擊者和威脅技術(shù)的通用分類(lèi)法����,可用于對(duì)企業(yè)重要資產(chǎn)的最相關(guān)威脅進(jìn)行建模,并根據(jù)固有風(fēng)險(xiǎn)優(yōu)先級(jí)�����,建立具有組織固有暴露評(píng)分的威脅情景列表�����,從而為我們的網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃精準(zhǔn)找出需要著手處理的威脅根源��。
面對(duì)不斷提升的網(wǎng)絡(luò)安全能力要求——網(wǎng)絡(luò)安全能力模型
德勤網(wǎng)絡(luò)安全能力模型涵蓋了多個(gè)行業(yè)的標(biāo)準(zhǔn)���,如FFIEC��、ISO/IEC 27001/2、NIST網(wǎng)絡(luò)安全框架�、CMMC、GDPR��、SANS/CIS 20關(guān)鍵安全控制和工控安全等�����。并且�����,安全能力模型每季度都會(huì)更新最新行業(yè)經(jīng)驗(yàn)��,來(lái)確保平臺(tái)所覆蓋的各行業(yè)范圍都準(zhǔn)確更新了最新安全標(biāo)準(zhǔn)�����。
除此之外���,最新版本的CSF平臺(tái)同時(shí)也具備創(chuàng)建自定義內(nèi)容包的功能��。因此���,我們能夠以德勤網(wǎng)絡(luò)能力模型為通用標(biāo)準(zhǔn)�����,為客戶(hù)提供符合當(dāng)?shù)貥?biāo)準(zhǔn)或法規(guī)甚至內(nèi)部定制框架的專(zhuān)屬評(píng)估���,從而持續(xù)提升我們網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃的靈活性和可塑性�����,以適應(yīng)不斷變更的網(wǎng)絡(luò)安全市場(chǎng)要求。
面臨極為激烈的未來(lái)網(wǎng)絡(luò)安全市場(chǎng)競(jìng)爭(zhēng)——可視化目標(biāo)管理
基于網(wǎng)絡(luò)安全能力模型對(duì)企業(yè)安全能力的現(xiàn)狀評(píng)估,以及根據(jù)客戶(hù)暴露于潛在的特定威脅情境下的建議目標(biāo)成熟度�。最終在我們的平臺(tái)內(nèi)可生成可視化的報(bào)告儀表盤(pán),以動(dòng)態(tài)管理的形式���,顯示當(dāng)前企業(yè)資產(chǎn)網(wǎng)絡(luò)安全成熟度��、目標(biāo)成熟度和整體網(wǎng)絡(luò)彈性����。
同時(shí)��,您也可以利用平臺(tái)不斷搜集的豐富的基線數(shù)據(jù),將企業(yè)的網(wǎng)絡(luò)安全成熟度與特定地區(qū)����、行業(yè)或部門(mén)的平均成熟度進(jìn)行多維度比較���,從而及時(shí)了解企業(yè)在行業(yè)內(nèi)所處的水平���,以對(duì)比定位的方式��,及時(shí)更新調(diào)整企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略導(dǎo)向����。
案例分析
某科技企業(yè)需要了解企業(yè)當(dāng)前的安全能力是否能為自身的核心資產(chǎn)提供可靠保障,并且自身的網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃是否與企業(yè)戰(zhàn)略規(guī)劃相吻合�����。高管們清楚地意識(shí)到��,高速發(fā)展的網(wǎng)絡(luò)安全領(lǐng)域和迭代更新過(guò)程中暴露出的大量信息威脅,都在推動(dòng)著企業(yè)客觀評(píng)估自身的網(wǎng)絡(luò)安全能力���。
可是,什么樣的方法論可以全面覆蓋企業(yè)核心資產(chǎn)安全��,什么樣的數(shù)據(jù)庫(kù)能夠持續(xù)不斷地追蹤安全領(lǐng)域的技術(shù)升級(jí)和法規(guī)更替����,什么樣的動(dòng)態(tài)分析平臺(tái)能夠針對(duì)企業(yè)需求提供精準(zhǔn)客觀的網(wǎng)絡(luò)安全行業(yè)數(shù)據(jù)分析報(bào)告,什么樣的戰(zhàn)略流程規(guī)劃能夠支撐企業(yè)����,使其保持高度的風(fēng)險(xiǎn)防范意識(shí)及時(shí)防御風(fēng)險(xiǎn)�,成為行業(yè)內(nèi)網(wǎng)絡(luò)安全正確防范的業(yè)界標(biāo)桿,這些問(wèn)題無(wú)一不困擾著企業(yè)高管們��。
這時(shí)���,企業(yè)高管中有人想起了前段時(shí)間參加了“數(shù)字化轉(zhuǎn)型���,安全先行”的網(wǎng)絡(luò)安全宣講會(huì)�,會(huì)議介紹了多功能動(dòng)態(tài)化的CSF平臺(tái)會(huì)針對(duì)各個(gè)行業(yè)的網(wǎng)絡(luò)安全發(fā)展趨勢(shì),持續(xù)不斷地捕獲網(wǎng)絡(luò)上的相關(guān)數(shù)據(jù)���,并更新在平臺(tái)共享數(shù)據(jù)庫(kù)中���,幫助企業(yè)對(duì)標(biāo)當(dāng)前行業(yè)平均網(wǎng)絡(luò)安全水平���。
進(jìn)而����,根據(jù)行業(yè)大環(huán)境的網(wǎng)絡(luò)安全要求����,企業(yè)可以結(jié)合自身的業(yè)務(wù)戰(zhàn)略規(guī)劃,利用平臺(tái)將離散的企業(yè)核心資產(chǎn)項(xiàng)目集中整合到戰(zhàn)略流程規(guī)劃圖中�����。對(duì)于每一個(gè)企業(yè)核心資產(chǎn)項(xiàng)目����,平臺(tái)都會(huì)為企業(yè)進(jìn)行現(xiàn)狀成熟度分析�,再結(jié)合行業(yè)網(wǎng)絡(luò)安全環(huán)境波動(dòng)趨勢(shì)����,平臺(tái)會(huì)綜合考量,對(duì)目標(biāo)成熟度提出建議�,最終進(jìn)行可靠的差異分析生成執(zhí)行報(bào)告��,以匹配出最優(yōu)的戰(zhàn)略規(guī)劃流程圖�,建立完善的網(wǎng)絡(luò)安全規(guī)劃。并且��,在得出戰(zhàn)略規(guī)劃路徑之后�����,平臺(tái)也會(huì)定期提供可視化進(jìn)度報(bào)告,持續(xù)不斷地提高企業(yè)網(wǎng)絡(luò)安全成熟度和網(wǎng)絡(luò)彈性總體水平���,滿(mǎn)足企業(yè)對(duì)網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃的所有要求�。
在平臺(tái)展示的環(huán)節(jié),CSF平臺(tái)給高管們留下最深刻印象的就是網(wǎng)絡(luò)安全成熟度差異分析模塊和網(wǎng)絡(luò)安全戰(zhàn)略路徑規(guī)劃模塊�。并且這兩個(gè)環(huán)節(jié),也正是企業(yè)在實(shí)施面向未來(lái)的網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃中��,最為關(guān)注的部分���。
如下圖所示:針對(duì)所評(píng)估的安全領(lǐng)域�,CSF平臺(tái)可提供清晰的差異分析報(bào)告���。這使得用戶(hù)能夠準(zhǔn)確識(shí)別自身的優(yōu)勢(shì)和短板����,以戰(zhàn)略性的眼光���,從源頭調(diào)整企業(yè)的整體網(wǎng)絡(luò)資源分布���。
基于CSF平臺(tái)清晰明了的差異分析報(bào)告�,平臺(tái)最終交付給企業(yè)的可視化戰(zhàn)略路線規(guī)劃圖可以幫助企業(yè)對(duì)比行業(yè)的網(wǎng)絡(luò)安全水平,對(duì)企業(yè)目標(biāo)實(shí)時(shí)動(dòng)態(tài)化管理���。
更重要的是�����,CSF平臺(tái)是一個(gè)和網(wǎng)絡(luò)安全領(lǐng)域共同進(jìn)步的存在��,在得到初次的網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃后�����,客戶(hù)就可以根據(jù)戰(zhàn)略流程圖,對(duì)企業(yè)的網(wǎng)絡(luò)安全資源�,做戰(zhàn)略性調(diào)整。并在每季度末,根據(jù)CSF平臺(tái)數(shù)據(jù)庫(kù)對(duì)行業(yè)內(nèi)最新安全規(guī)范和安全標(biāo)準(zhǔn)的更新���,及持續(xù)捕捉到的行業(yè)內(nèi)網(wǎng)絡(luò)安全趨勢(shì)�����,對(duì)行業(yè)要求升級(jí)的部分重新進(jìn)行檢測(cè)�,再對(duì)原本的網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃進(jìn)行精細(xì)化調(diào)整����,使得企業(yè)的網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃總是準(zhǔn)確可靠����,且具有前瞻性。
結(jié)語(yǔ)
數(shù)字化時(shí)代下,每個(gè)企業(yè)都在享受數(shù)字化技術(shù)給企業(yè)帶來(lái)的便利��,但與此同時(shí),企業(yè)也必須要預(yù)見(jiàn)到數(shù)字化進(jìn)程下潛在的網(wǎng)絡(luò)安全固有威脅����。為了在激烈的競(jìng)爭(zhēng)環(huán)境下存活,每家公司都應(yīng)該找到目前形勢(shì)下�,企業(yè)存在的網(wǎng)絡(luò)安全問(wèn)題是什么��,針對(duì)問(wèn)題的可行解決方案需要投入多少資源����,且資源該如何去有效分配。但是事實(shí)上�����,來(lái)自網(wǎng)絡(luò)的攻擊是大量且隨機(jī)的�����,如何從長(zhǎng)遠(yuǎn)發(fā)展的角度決定企業(yè)投資的優(yōu)先級(jí)是非常困難的。
而針對(duì)大部分企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃不足的現(xiàn)狀�,CSF平臺(tái)可以為企業(yè)提供最好的定制化服務(wù),以滿(mǎn)足企業(yè)內(nèi)部和外部利益相關(guān)者的需求�����。
