□记者 袁婉珺
日前,安永发布了主题为《网络弹性防御之路:感知、抵御与应对》的第19届全球信息安全调查报告,该报告采访了1735名企业首席信息官、首席信息安全官以及其他高管,代表了众多全球规模最大且最知名的企业。
报告显示,近年来,网络威胁的种类不断进化,形式日新月异,造成不同形式的挑战。历时数十载,金融服务机构在抵御网络攻击方面已经取得了巨大的进步。控制措施由抵挡简单的个别防御程式以至入侵病毒,进一步转为应对更精细、持久的攻击。尽管今年很多企业在网络安全上加大投资,50%的企业仍欠缺预测与侦查复杂网络攻击的能力。如果不能有效地保障网络安全,很多企业和政府将承受数据和知识产权被盗的风险,个人隐私也会受到相当大的威胁。
三个步骤实现网络弹性
从该报告中可以看到,企业的网络安全防护能力及其成熟度普遍处于什么水平,而企业还有不少更为具体的工作可以去完善。报告建议遵循感知、抵御、应对三个步骤实现网络弹性。
一.感知
企业需要通过网络威胁情报和主动防御来预测向其逼近的威胁或攻击,在攻击成功实施前将其发现。企业必须知道可能会发生的事,同时采取精确复杂的分析来获取针对中断事件的风险预警。
二.抵御
建立防御机制首先需要了解企业整个生态系统所能承受的风险,然后在此基础上建立三道防线:1.在日常操作中采取控制措施;2.部署监控职能部门,如内部控制、法务部门、风险管理与网络安全部门;3.实施强有力的内部审计。
三.应对
如果识别失效,抵御机制也出现问题,那么企业便需要为相关中断事件、故障响应措施以及危机管理做好准备。同时企业也需要开始保留有力的法律证据,并对安全事件进行调查以安抚关键利益关联方。此外,企业需要以最快的速度恢复日常业务,从中学习经验,并调整与重塑以逐步加强网络弹性。
具有网络弹性的企业应具备哪些特点
报告指出,具有网络弹性的企业应具备如下特点:
1.了解业务
企业首先需要对业务和运营状况有深入了解,才能知道在网络攻击中必须保护哪些业务流程,以便保持企业继续运营、保护人员、资产和整体品牌权益。
2.了解网络生态
规划并评估企业在网络生态中的生态关系,识别存在的风险。评估网络生态中企业所面临的风险,确定影响企业对其生态控制能力的因素。
3.确定重要资产
大部分企业对一些资产保护过度,但却忽略了另外一些重要资产。51%的受访者认为客户个人身份信息是企业中对于网络罪犯而言排名第一或第二的最有价值信息。只有11%的受访者认为专利知识产权是排名第一或第二位的宝贵信息。企业普遍认为高管/董事会成员的个人信息比研发信息、专利知识产权和非专利知识产权更为宝贵,并且总体上和企业战略计划处于同一高度。
4.确定风险因素
将所有业务职能中的风险和威胁状况分享出来才能够使企业了解其风险全貌,以及暴露出来的不足。企业需自问如下问题:管理残余风险,我们能做的有多少?我们是否准备好接受一定等级的风险?我们可以尝试控制的是什么,有哪些是超出我们控制范围但我们必须接受的?
5.用卓越的领导力管理人力因素
在企业受到网络攻击以后,员工应准备好且被训练好如何做出反应和行动。领导层明确的沟通、指导和示范是必不可少的,同时,员工明确的角色职责和能力所及的任务分工也能够帮助企业再次运转起来。
6.构建一个应变自如的企业文化
企业在演练的时候可以考验现有的危机管理、现行操作以及风险状况以确保它们与企业的经营战略和风险偏好相一致。企业也应开发并实施与自身状况相适应的对抗演习,将所有指挥和控制中心、网络弹性方针及计划纳入评估范围。
7.开展正式调查,准备应对诉讼
为了在重大网络攻击事件中保护企业的利益,首席信息官和首席信息安全官应准备好联合企业中负责安全的最高层管理人员、企业法律总顾问、外部法律顾问、调查机构以及合规机构。通过合作,可以收集强有力的法务证据以协助更大范围的调查,确定攻击者在企业的网络和系统中是否仍存在据点,以及有害的恶意软件或敲诈软件是否能够在将来继续实施破坏。进行更深入的调查以便找出攻击者、攻击方式、攻击幕后主使以及攻击原因。有能力对攻击者或者犯罪分子,以及协助或教唆攻击者的人或使攻击成为可能的人发起诉讼,要求赔偿。同时,如果产品及服务的供应商没能履行合同义务,建立、运行、测试或维护其网络安全,企业也可对其提出赔偿。