別再一味地向C級高管灌輸“網(wǎng)絡(luò)安全”概念，先集中精力讓他們了解什么是“網(wǎng)絡(luò)彈性”吧。

[[246136]]

網(wǎng)絡(luò)彈性(cyber resilience)也稱為運維彈性(operational resilience)，是指網(wǎng)絡(luò)在遇到災(zāi)難事件時快速恢復(fù)和繼續(xù)運行的能力。災(zāi)難事件的范疇很廣泛，比如長時間停電、網(wǎng)絡(luò)設(shè)備故障、惡意入侵和技術(shù)新人不小心在服務(wù)器上灑了咖啡等等。當(dāng)我們在處理一些可能導(dǎo)致系統(tǒng)和公司業(yè)務(wù)崩潰且完全未知的運營變數(shù)時，網(wǎng)絡(luò)彈性可以保持網(wǎng)絡(luò)的正常運行。

一家CISO和商業(yè)顧問公司總結(jié)稱，企業(yè)領(lǐng)導(dǎo)者之所以一直未能理解網(wǎng)絡(luò)安全問題所帶來的風(fēng)險大小和類型，主要還得歸咎于網(wǎng)絡(luò)安全團隊。

該CISO咨詢公司的首席執(zhí)行官兼創(chuàng)始人Phillimon Zongo，在最近的ISACA OceaniaCACS會議上發(fā)表了關(guān)于網(wǎng)絡(luò)彈性問題的演講，并表示，董事會成員和高級商業(yè)領(lǐng)袖對參與網(wǎng)絡(luò)安全決策的興趣肯定會越來越高，但是他們中的很多人仍然在“興趣高漲卻認識有限”的困境中苦苦掙扎。

造成這一困境的原因固然是雙方面的，但是主要責(zé)任方還是網(wǎng)絡(luò)安全團隊。因為對于他們來說，如何向不懂專業(yè)術(shù)語的高管們傳達網(wǎng)絡(luò)安全問題，并將網(wǎng)絡(luò)安全問題與關(guān)鍵業(yè)務(wù)需求相結(jié)合，仍然是一個巨大的挑戰(zhàn)。由于安全團隊上報安全問題的方式不當(dāng)，導(dǎo)致商業(yè)領(lǐng)袖并未能真正地了解他們的(業(yè)務(wù))風(fēng)險是什么，以及他們需要做些什么才能改善這些風(fēng)險等等。

根據(jù)ISACA最近進行的一項調(diào)查發(fā)現(xiàn)，只有54%的ANZ(澳新銀行)商業(yè)技術(shù)專業(yè)人士認為他們公司的領(lǐng)導(dǎo)者具備數(shù)字化文化。

第二個問題在于“不斷擴展的網(wǎng)絡(luò)安全攻擊面”，這種現(xiàn)象主要歸咎于外包業(yè)務(wù)的增長，以及這些第三方服務(wù)商所引入的未經(jīng)檢測的安全漏洞。

安全專家表示，如果貴公司已經(jīng)外包了數(shù)百個項目，擁有了數(shù)百個第三方服務(wù)商，那么再想要具備一個強大到足夠保護自身安全的防護項目就是很難實現(xiàn)的事了。

此外，ISACA調(diào)查還發(fā)現(xiàn)，數(shù)字化轉(zhuǎn)型的步伐也呈現(xiàn)非常復(fù)雜的局面，因為根據(jù)調(diào)查顯示只有不到1/4的受訪者認為他們組織的高級管理者非常愿意采用新興技術(shù)——這也使得改善網(wǎng)絡(luò)安全的努力變得異常艱難。

如今，應(yīng)用程序、數(shù)據(jù)以及業(yè)務(wù)流程統(tǒng)統(tǒng)都被遷移至了基于云的平臺上，但企業(yè)通常并不具備管理這些新環(huán)境所必需的合適技能的員工——這進一步加劇了CISO轉(zhuǎn)型(將網(wǎng)絡(luò)安全與業(yè)務(wù)安全相協(xié)調(diào))的難度，同時也損害了他們與高級領(lǐng)導(dǎo)者進行有意義討論的能力。

新環(huán)境催生新思維

雖然CISO們主要處理技術(shù)問題，但企業(yè)領(lǐng)導(dǎo)者更多的則是關(guān)注服務(wù)交付和流程等問題——而且他們的網(wǎng)絡(luò)安全投資需要通過將焦點從“保護心態(tài)”轉(zhuǎn)移到基于確保網(wǎng)絡(luò)彈性的強大機制上來反映這一點。

如今，越來越多的企業(yè)已經(jīng)意識到，一旦他們成為“厲害角色”(組織有素且技能超群)的攻擊目標(biāo)，他們早晚會受到攻擊破壞。問題在于，一旦出現(xiàn)了這種情況，他們應(yīng)該如何迅速地恢復(fù)其關(guān)鍵系統(tǒng)，以便最大限度地降低對股東、客戶以及員工的后續(xù)影響呢?

目前，想要解決這一問題是十分困難的，因為大多數(shù)公司仍在試圖解決IT領(lǐng)域內(nèi)網(wǎng)絡(luò)安全漏洞對業(yè)務(wù)的影響：我們幾乎每周所聽到的一些規(guī)模龐大的數(shù)據(jù)泄露事件數(shù)量已經(jīng)清楚地表明，之前在IT領(lǐng)域內(nèi)管理此類風(fēng)險的模型已經(jīng)宣告失敗，不再適應(yīng)當(dāng)前的網(wǎng)絡(luò)安全環(huán)境。

大多數(shù)企業(yè)確實在網(wǎng)絡(luò)安全方面投入了大量資金，但事實上，這些錢并不一定花在了正確的事情上。

規(guī)模較小的企業(yè)在解決這些問題方面面臨著尤為艱巨的挑戰(zhàn)，因為他們的資源本就十分有限，且長期的網(wǎng)絡(luò)安全技能短缺通常也使他們難以獲取所需的網(wǎng)絡(luò)彈性技能。

這使得許多小型企業(yè)的IT組織無法推動重新構(gòu)建網(wǎng)絡(luò)安全對話所需的思維轉(zhuǎn)型(將焦點從“保護心態(tài)”轉(zhuǎn)移到基于確保網(wǎng)絡(luò)彈性的強大機制上)——更困難的是，該對話通常是圍繞“組織可以通過接受來自NIST，ISO等的龐大標(biāo)準(zhǔn)來解決其彈性問題”的想法而構(gòu)建的。

如果您嘗試在小型企業(yè)中使用這些思維模型，該框架可能會壓得安全團隊喘不過氣來。因為在這種規(guī)模的企業(yè)中，網(wǎng)絡(luò)安全團隊通常只會配置1到3名員工，想要依靠如此有限的資源來減輕威脅勢必是“沒開始就注定失敗”的策略。

企業(yè)需要重新思考自身的網(wǎng)絡(luò)安全策略并評估自身的網(wǎng)絡(luò)安全成熟度，以便清楚地了解自身的優(yōu)勢和劣勢在哪里——ISACA于2016年所收購的CMMI Institute就能提供這樣一種合適的成熟度模型。據(jù)悉，CMMI Institute是能力成熟度集成模型(CMMI)的管理機構(gòu)，CMMI是全球廣泛使用的能力改善框架，能夠幫助機構(gòu)實現(xiàn)高績效運營。CMMI Institute為各大機構(gòu)提供工具和支持，將其運營與最佳實踐相比較，并發(fā)現(xiàn)績效差距，從而藉此衡量其能力并打造成熟度。

如今，威脅行為者的攻擊能力與我們的防守能力之間的差距正在不斷擴大，因為我們的曝光度和攻擊面都已經(jīng)遠勝從前。但是一旦你了解了什么才是關(guān)鍵所在，你就可以將這些資源集中在圍繞這些資產(chǎn)所實施的關(guān)鍵控制措施上，做到有的放矢。

ISACA調(diào)查報告原文地址：

https://www.cso.com.au/mediareleases/32864/isaca-research-only-4-in-10-tech-professionals/

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文