實現(xiàn)數(shù)字自由——克服網(wǎng)絡(luò)安全挑戰(zhàn),助力企業(yè)實現(xiàn)自己的數(shù)字夢想

數(shù)字革命正當(dāng)時。它一直被稱為物聯(lián)網(wǎng)（IoT），甚至萬物網(wǎng)。應(yīng)用于工業(yè)領(lǐng)域，則稱之為工業(yè)物聯(lián)網(wǎng)（IIoT）、工業(yè)4.0和數(shù)字化企業(yè)。無論名稱為何，據(jù)麥肯錫全球研究所（McKinsey Global Institute）預(yù)測，到2025年，可能會釋放11萬億美元的經(jīng)濟價值。在這一過程中，眾多行業(yè)將會發(fā)生顛覆性變革，競爭力將被重新定義，就業(yè)機會重新洗牌，日常生活將發(fā)生奇妙的變化。

本博客探討有關(guān)實現(xiàn)數(shù)字自由的話題– 克服網(wǎng)絡(luò)安全挑戰(zhàn)，助力各組織追求實現(xiàn)自己的數(shù)字夢想。這是一個涉及眾多方面的重要話題。我的目標(biāo)是幫助決策者理清頭緒，提高他們組織的網(wǎng)絡(luò)安全水平，助他們走向數(shù)字化。

“燃燒的平臺”– 生存之道。作為一名商界領(lǐng)袖，如果還沒有人問您如何“走向數(shù)字化”，那么很快就會被問到。目前正在發(fā)生數(shù)字化轉(zhuǎn)型，具體的示例不斷涌現(xiàn)：

享經(jīng)濟 – Uber、Lyft、AirBnB；四次工業(yè)革命 – 工業(yè)0、數(shù)字化制造；互聯(lián)自動駕駛汽車 – Intelligent Mobility (Nissan)、Tesla；智能電網(wǎng) – 技術(shù)、設(shè)備和控制系統(tǒng)通信以及協(xié)同合作；醫(yī)療保健互聯(lián)服務(wù) – 從臨床轉(zhuǎn)向家庭護理數(shù)字平臺 – Amazon、Apple、Facebook、Google、Netflix

如果您是侏羅紀公園迷，就可以將其聯(lián)想為每家企業(yè)和組織的霸王龍BOOM, BOOM, BOOM時刻。哦，有大事要發(fā)生。

您必須實現(xiàn)數(shù)字化才能生存。實現(xiàn)數(shù)字化需要前所未有的數(shù)據(jù)生成能力、連接性和設(shè)備/系統(tǒng)自治水平。在這種環(huán)境下，網(wǎng)絡(luò)安全是成功的關(guān)鍵。

網(wǎng)絡(luò)安全終局 – 彈性取勝。最終是要提高彈性。這意味著順利渡過網(wǎng)絡(luò)事件，并盡快恢復(fù)正常運作。這是個很棒的概念，它以結(jié)果為導(dǎo)向。方法和策略需要根據(jù)它們對彈性的影響來進行評估。NIST框架為此提供了一個很好的模型：識別、保護、檢測、響應(yīng)和恢復(fù)。后續(xù)文章將會詳細介紹。

至關(guān)重要的網(wǎng)絡(luò)安全 – 網(wǎng)絡(luò)經(jīng)濟?；谕顿Y回報率制定網(wǎng)絡(luò)安全決策涉及網(wǎng)絡(luò)經(jīng)濟的概念。我們來運用這一概念。

如果彈性是目標(biāo)，那么應(yīng)優(yōu)先考慮時間和金錢投入，以對彈性產(chǎn)生最大的影響。擁有杰出成員的AFCEA國際網(wǎng)絡(luò)委員會發(fā)表的兩份報告非常清楚地闡述了這一點。2013年，AFCEA發(fā)表了The Economics of Cybersecurity: A Practical Framework for Cybersecurity Investment（網(wǎng)絡(luò)安全經(jīng)濟：網(wǎng)絡(luò)安全投資的實用框架）。2014年，AFCEA發(fā)表了The Economics of Cybersecurity Part II: Extending the Cybersecurity Framework（網(wǎng)絡(luò)安全經(jīng)濟第二部分：擴展網(wǎng)絡(luò)安全框架）。我翻出這些過去的報告，是因為這些建議迄今為止最實用。

在網(wǎng)絡(luò)經(jīng)濟中，存在兩個主要考慮因素：

1)網(wǎng)絡(luò)攻擊的復(fù)雜程度

2) 所支持任務(wù)和/或正在存儲或傳輸數(shù)據(jù)的關(guān)鍵程度。

利用網(wǎng)絡(luò)經(jīng)濟，主要投資以下方面：

應(yīng)對大多數(shù)攻擊：很大比例的成功網(wǎng)絡(luò)攻擊并“不復(fù)雜”。其中包括釣魚攻擊，即員工收到看似合法（實際不合法）的電子郵件，點擊附件，不知不覺地發(fā)動了攻擊。因此，要防范這些攻擊，這是很容易關(guān)注到的一個環(huán)節(jié)。很多產(chǎn)品和服務(wù)都提供安全意識培訓(xùn)，并衡量組織對這種攻擊的“天真無知”程度。引用AFCEA報告，

“原則#1：實施全面的安全控制基準，以應(yīng)對中低水平的安全威脅至關(guān)重要，而且在經(jīng)濟上是有利的?！边@第一步走得不錯，但是并沒有解決我們的實際目標(biāo) — 彈性。

保護重要的東西：要實現(xiàn)彈性目標(biāo)，必須將第一筆投資用于保護關(guān)鍵任務(wù)功能；諸如人類生命、國家機密、關(guān)鍵基礎(chǔ)設(shè)施、知識產(chǎn)權(quán)和重要數(shù)據(jù)。其中任何一項遭受喪失或損害都將帶來災(zāi)難性的后果?？紤]到這些目標(biāo)的價值，您的投資應(yīng)該同時應(yīng)對復(fù)雜和簡單的攻擊。

“原則#2：關(guān)注安全控制范圍之外的安全投資，以應(yīng)對組織中最關(guān)鍵的功能和數(shù)據(jù)面臨的更復(fù)雜的攻擊?！? AFCEA報告。

彈性 –“保護面”：對任何組織而言，“威脅面”都很大。重點關(guān)注威脅面后，我們下意識就會知道“它們會進入”，而事實上，它們已經(jīng)在網(wǎng)絡(luò)中。隨它去，這聽起來很令人震驚。改變心態(tài)轉(zhuǎn)向“保護面”非常重要。我們關(guān)注的是彈性，不是零漏洞。（我對所有完美主義者表示歉意。）因此，投資于先進的安全控制系統(tǒng)和方法，以保護組織的重要職能和資產(chǎn) - 保護面就小很多。

“原則#3：對于復(fù)雜的攻擊，組織應(yīng)承擔(dān)不保護對組織任務(wù)影響最小且成本超過效益的職能和數(shù)據(jù)的安全風(fēng)險?！? AFCEA報告。

這個網(wǎng)絡(luò)投資是投資于處理大多數(shù)簡單攻擊的安全控制系統(tǒng)，并應(yīng)用先進的控制手段和方法來保護“最重要的資產(chǎn)”。

而市場反饋是：數(shù)字自由是當(dāng)今的一個挑戰(zhàn)。德勤（Deloitte）最近對制造業(yè)高管進行的一項調(diào)查發(fā)現(xiàn)，超過一半的人認為工業(yè)4.0（數(shù)字化制造）對他們的業(yè)務(wù)具有戰(zhàn)略意義。在同一項調(diào)查中，網(wǎng)絡(luò)安全問題被認為是阻礙采用數(shù)字化制造的主要因素。如果能夠改進網(wǎng)絡(luò)安全，客戶就能加速采用。