網(wǎng)絡(luò)安全：發(fā)達(dá)國(guó)家“高彈性”關(guān)鍵基礎(chǔ)設(shè)施比例僅僅為36%

網(wǎng)絡(luò)彈性（cyber resilience）也稱為“運(yùn)維彈性”（Operational resilience），是指網(wǎng)絡(luò)在遇到災(zāi)難事件時(shí)快速恢復(fù)和繼續(xù)運(yùn)行的能力。災(zāi)難事件的范疇很廣泛，比如長(zhǎng)時(shí)間停電、網(wǎng)絡(luò)設(shè)備故障、惡意入侵以及技術(shù)新人不小心在服務(wù)器上灑了咖啡等等。在我們處理一些可能導(dǎo)致系統(tǒng)和公司業(yè)務(wù)崩潰且完全未知的運(yùn)營(yíng)變數(shù)時(shí)，網(wǎng)絡(luò)彈性可以保持網(wǎng)絡(luò)的正常運(yùn)行。

近日，德國(guó)網(wǎng)絡(luò)安全公司Greenbone Networks透露了一項(xiàng)研究結(jié)果，該研究評(píng)估了一些發(fā)達(dá)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施提供商在網(wǎng)絡(luò)攻擊期間或之后的運(yùn)營(yíng)能力。

關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)彈性并不樂觀

據(jù)悉，這項(xiàng)研究調(diào)查了世界上五個(gè)最大的經(jīng)濟(jì)體：英國(guó)、美國(guó)、德國(guó)、法國(guó)和日本的能源、金融、衛(wèi)生、電信、運(yùn)輸和水利行業(yè)的大型企業(yè)的網(wǎng)絡(luò)彈性。結(jié)果顯示，在接受調(diào)查的370家公司中，只有36%的公司具有很高的網(wǎng)絡(luò)彈性。

為了對(duì)這些關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)彈性進(jìn)行基準(zhǔn)測(cè)試，研究人員使用多個(gè)評(píng)估標(biāo)準(zhǔn)。其中包括企業(yè)管理重大網(wǎng)絡(luò)攻擊的能力，緩解攻擊影響的能力，是否具有在事件發(fā)生后快速恢復(fù)的必要技能以及最佳實(shí)踐，政策和企業(yè)文化等等。

調(diào)查結(jié)果顯示，美國(guó)的基礎(chǔ)設(shè)施提供商總體得分最高，其中50%的公司被認(rèn)為具有很高的網(wǎng)絡(luò)彈性。而在歐洲，這一數(shù)字卻較低，僅為36%。在日本，這一比例甚至僅為22%。

除了國(guó)家間的差距外，行業(yè)部門之間也存在明顯差異，其中金融和電信等受嚴(yán)格監(jiān)管的組織擁有最好的網(wǎng)絡(luò)彈性（均為46%）。運(yùn)輸行業(yè)彈性最差（22%），而能源服務(wù)行業(yè)（32%），醫(yī)療衛(wèi)生（34%）和水利行業(yè)（36%）都接近平均水平。

高彈性基礎(chǔ)設(shè)施提供商的突出特征

1. 他們能夠識(shí)別關(guān)鍵業(yè)務(wù)流程，相關(guān)資產(chǎn)及其漏洞

擁有“高彈性”的組織能夠全面分析其關(guān)鍵業(yè)務(wù)流程，并知道哪些數(shù)字資產(chǎn)是這些流程的基礎(chǔ)。他們還會(huì)不斷檢查漏洞，并采取適當(dāng)措施來(lái)緩解或關(guān)閉漏洞。

他們部署了適合其業(yè)務(wù)流程的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，這一關(guān)鍵步驟使他們處于有利地位，可以減輕攻擊所造成的破壞。

2. 他們擁有完善的、溝通良好的最佳實(shí)踐

績(jī)效考核最高的企業(yè)組織具有明確的政策和最佳實(shí)踐。例如，在95%的“高彈性”組織中，負(fù)責(zé)管理數(shù)字資產(chǎn)的人員也負(fù)責(zé)安全防護(hù)。這種專業(yè)知識(shí)和責(zé)任感使組織可以縮小差距并快速修復(fù)損壞。

3. 他們更愿意尋求第三方支持

擁有“高彈性”的企業(yè)更有可能與專業(yè)服務(wù)提供商合作，這些提供商不僅會(huì)幫助企業(yè)管理安全技術(shù)，而且還可以為企業(yè)提供建議和咨詢服務(wù)。

例如，這類企業(yè)組織可能會(huì)聘請(qǐng)安全顧問來(lái)幫助公司制定安全策略，選擇合適的技術(shù)，實(shí)施托管的安全服務(wù)，建立成功指標(biāo)或?yàn)榘踩?xiàng)目評(píng)估業(yè)務(wù)案例等等。

4. 他們更加重視響應(yīng)網(wǎng)絡(luò)事件以及緩解安全事件對(duì)關(guān)鍵業(yè)務(wù)流程影響的能力

防止網(wǎng)絡(luò)事件的能力對(duì)于“高彈性”的組織而言，只具有次要的重要性，因?yàn)樗麄円呀?jīng)清楚地意識(shí)到攻擊是不可避免的。他們更有可能專注于減輕攻擊影響或增強(qiáng)事件發(fā)生后恢復(fù)能力的程序。

5. 他們通過模擬訓(xùn)練為攻擊做準(zhǔn)備

他們會(huì)在培訓(xùn)課程中模擬各種假設(shè)情景，還會(huì)讓IT部門以外的利益相關(guān)者共同參與進(jìn)來(lái)。此外，他們還會(huì)將相同的網(wǎng)絡(luò)安全規(guī)則應(yīng)用于所有數(shù)字資產(chǎn)，盡力做到不留安全“衛(wèi)生死角”。

最后，Greenbone Networks的網(wǎng)絡(luò)彈性架構(gòu)師Dirk Schrader表示：

“網(wǎng)絡(luò)攻擊是不可避免的，因此首先能夠抵御網(wǎng)絡(luò)攻擊，然后再?gòu)墓糁谢謴?fù)過來(lái)至關(guān)重要。在關(guān)鍵的基礎(chǔ)設(shè)施行業(yè)中，服務(wù)的任何損失或弱化都可能在社會(huì)和經(jīng)濟(jì)方面造成毀滅性的影響，因此，只有三分之一以上的提供商具有高度的網(wǎng)絡(luò)彈性，確實(shí)是一件令人非常擔(dān)憂的事情。當(dāng)然，具有網(wǎng)絡(luò)彈性的能力遠(yuǎn)不止擁有足夠的IT安全預(yù)算或部署正確的技術(shù)。我們希望通過突出高彈性組織的一些關(guān)鍵特征，為其他組織提供安全規(guī)劃藍(lán)圖?！?/p>