別再一味地向C級高管灌輸“網(wǎng)絡(luò)安全”概念，先集中精力讓他們了解什么是“網(wǎng)絡(luò)彈性”吧。

[[246136]]

網(wǎng)絡(luò)彈性(cyber resilience)也稱為運(yùn)維彈性(operational resilience)，是指網(wǎng)絡(luò)在遇到災(zāi)難事件時(shí)快速恢復(fù)和繼續(xù)運(yùn)行的能力。災(zāi)難事件的范疇很廣泛，比如長時(shí)間停電、網(wǎng)絡(luò)設(shè)備故障、惡意入侵和技術(shù)新人不小心在服務(wù)器上灑了咖啡等等。當(dāng)我們在處理一些可能導(dǎo)致系統(tǒng)和公司業(yè)務(wù)崩潰且完全未知的運(yùn)營變數(shù)時(shí)，網(wǎng)絡(luò)彈性可以保持網(wǎng)絡(luò)的正常運(yùn)行。

一家CISO和商業(yè)顧問公司總結(jié)稱，企業(yè)領(lǐng)導(dǎo)者之所以一直未能理解網(wǎng)絡(luò)安全問題所帶來的風(fēng)險(xiǎn)大小和類型，主要還得歸咎于網(wǎng)絡(luò)安全團(tuán)隊(duì)。

該CISO咨詢公司的首席執(zhí)行官兼創(chuàng)始人Phillimon Zongo，在最近的ISACA OceaniaCACS會(huì)議上發(fā)表了關(guān)于網(wǎng)絡(luò)彈性問題的演講，并表示，董事會(huì)成員和高級商業(yè)領(lǐng)袖對參與網(wǎng)絡(luò)安全決策的興趣肯定會(huì)越來越高，但是他們中的很多人仍然在“興趣高漲卻認(rèn)識(shí)有限”的困境中苦苦掙扎。

造成這一困境的原因固然是雙方面的，但是主要責(zé)任方還是網(wǎng)絡(luò)安全團(tuán)隊(duì)。因?yàn)閷τ谒麄儊碚f，如何向不懂專業(yè)術(shù)語的高管們傳達(dá)網(wǎng)絡(luò)安全問題，并將網(wǎng)絡(luò)安全問題與關(guān)鍵業(yè)務(wù)需求相結(jié)合，仍然是一個(gè)巨大的挑戰(zhàn)。由于安全團(tuán)隊(duì)上報(bào)安全問題的方式不當(dāng)，導(dǎo)致商業(yè)領(lǐng)袖并未能真正地了解他們的(業(yè)務(wù))風(fēng)險(xiǎn)是什么，以及他們需要做些什么才能改善這些風(fēng)險(xiǎn)等等。

根據(jù)ISACA最近進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn)，只有54%的ANZ(澳新銀行)商業(yè)技術(shù)專業(yè)人士認(rèn)為他們公司的領(lǐng)導(dǎo)者具備數(shù)字化文化。

第二個(gè)問題在于“不斷擴(kuò)展的網(wǎng)絡(luò)安全攻擊面”，這種現(xiàn)象主要?dú)w咎于外包業(yè)務(wù)的增長，以及這些第三方服務(wù)商所引入的未經(jīng)檢測的安全漏洞。

安全專家表示，如果貴公司已經(jīng)外包了數(shù)百個(gè)項(xiàng)目，擁有了數(shù)百個(gè)第三方服務(wù)商，那么再想要具備一個(gè)強(qiáng)大到足夠保護(hù)自身安全的防護(hù)項(xiàng)目就是很難實(shí)現(xiàn)的事了。

此外，ISACA調(diào)查還發(fā)現(xiàn)，數(shù)字化轉(zhuǎn)型的步伐也呈現(xiàn)非常復(fù)雜的局面，因?yàn)楦鶕?jù)調(diào)查顯示只有不到1/4的受訪者認(rèn)為他們組織的高級管理者非常愿意采用新興技術(shù)——這也使得改善網(wǎng)絡(luò)安全的努力變得異常艱難。

如今，應(yīng)用程序、數(shù)據(jù)以及業(yè)務(wù)流程統(tǒng)統(tǒng)都被遷移至了基于云的平臺(tái)上，但企業(yè)通常并不具備管理這些新環(huán)境所必需的合適技能的員工——這進(jìn)一步加劇了CISO轉(zhuǎn)型(將網(wǎng)絡(luò)安全與業(yè)務(wù)安全相協(xié)調(diào))的難度，同時(shí)也損害了他們與高級領(lǐng)導(dǎo)者進(jìn)行有意義討論的能力。

新環(huán)境催生新思維

雖然CISO們主要處理技術(shù)問題，但企業(yè)領(lǐng)導(dǎo)者更多的則是關(guān)注服務(wù)交付和流程等問題——而且他們的網(wǎng)絡(luò)安全投資需要通過將焦點(diǎn)從“保護(hù)心態(tài)”轉(zhuǎn)移到基于確保網(wǎng)絡(luò)彈性的強(qiáng)大機(jī)制上來反映這一點(diǎn)。

如今，越來越多的企業(yè)已經(jīng)意識(shí)到，一旦他們成為“厲害角色”(組織有素且技能超群)的攻擊目標(biāo)，他們早晚會(huì)受到攻擊破壞。問題在于，一旦出現(xiàn)了這種情況，他們應(yīng)該如何迅速地恢復(fù)其關(guān)鍵系統(tǒng)，以便最大限度地降低對股東、客戶以及員工的后續(xù)影響呢?

目前，想要解決這一問題是十分困難的，因?yàn)榇蠖鄶?shù)公司仍在試圖解決IT領(lǐng)域內(nèi)網(wǎng)絡(luò)安全漏洞對業(yè)務(wù)的影響：我們幾乎每周所聽到的一些規(guī)模龐大的數(shù)據(jù)泄露事件數(shù)量已經(jīng)清楚地表明，之前在IT領(lǐng)域內(nèi)管理此類風(fēng)險(xiǎn)的模型已經(jīng)宣告失敗，不再適應(yīng)當(dāng)前的網(wǎng)絡(luò)安全環(huán)境。

大多數(shù)企業(yè)確實(shí)在網(wǎng)絡(luò)安全方面投入了大量資金，但事實(shí)上，這些錢并不一定花在了正確的事情上。

規(guī)模較小的企業(yè)在解決這些問題方面面臨著尤為艱巨的挑戰(zhàn)，因?yàn)樗麄兊馁Y源本就十分有限，且長期的網(wǎng)絡(luò)安全技能短缺通常也使他們難以獲取所需的網(wǎng)絡(luò)彈性技能。

這使得許多小型企業(yè)的IT組織無法推動(dòng)重新構(gòu)建網(wǎng)絡(luò)安全對話所需的思維轉(zhuǎn)型(將焦點(diǎn)從“保護(hù)心態(tài)”轉(zhuǎn)移到基于確保網(wǎng)絡(luò)彈性的強(qiáng)大機(jī)制上)——更困難的是，該對話通常是圍繞“組織可以通過接受來自NIST，ISO等的龐大標(biāo)準(zhǔn)來解決其彈性問題”的想法而構(gòu)建的。

如果您嘗試在小型企業(yè)中使用這些思維模型，該框架可能會(huì)壓得安全團(tuán)隊(duì)喘不過氣來。因?yàn)樵谶@種規(guī)模的企業(yè)中，網(wǎng)絡(luò)安全團(tuán)隊(duì)通常只會(huì)配置1到3名員工，想要依靠如此有限的資源來減輕威脅勢必是“沒開始就注定失敗”的策略。

企業(yè)需要重新思考自身的網(wǎng)絡(luò)安全策略并評估自身的網(wǎng)絡(luò)安全成熟度，以便清楚地了解自身的優(yōu)勢和劣勢在哪里——ISACA于2016年所收購的CMMI Institute就能提供這樣一種合適的成熟度模型。據(jù)悉，CMMI Institute是能力成熟度集成模型(CMMI)的管理機(jī)構(gòu)，CMMI是全球廣泛使用的能力改善框架，能夠幫助機(jī)構(gòu)實(shí)現(xiàn)高績效運(yùn)營。CMMI Institute為各大機(jī)構(gòu)提供工具和支持，將其運(yùn)營與最佳實(shí)踐相比較，并發(fā)現(xiàn)績效差距，從而藉此衡量其能力并打造成熟度。

如今，威脅行為者的攻擊能力與我們的防守能力之間的差距正在不斷擴(kuò)大，因?yàn)槲覀兊钠毓舛群凸裘娑家呀?jīng)遠(yuǎn)勝從前。但是一旦你了解了什么才是關(guān)鍵所在，你就可以將這些資源集中在圍繞這些資產(chǎn)所實(shí)施的關(guān)鍵控制措施上，做到有的放矢。

ISACA調(diào)查報(bào)告原文地址：

https://www.cso.com.au/mediareleases/32864/isaca-research-only-4-in-10-tech-professionals/

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文