《思科:安全成果报告(第3卷):打造安全弹性(45页).pdf》由会员分享,可在线阅读,更多相关《思科:安全成果报告(第3卷):打造安全弹性(45页).pdf(45页珍藏版)》请在三个皮匠报告上搜索。
1、安全成果报告 第 3 卷 目录前言.3引言.4主要研究结果.5什么是安全弹性?.8为何安全弹性至关重要?.9安全弹性意味着什么?.12安全弹性现状.16有助于提高弹性的 7 大成功因素.201.确立高管支持 .212.营造安全文化 .233.储备资源.254.简化混合云环境.265.最大限度地提高零信任采用率.296.扩展检测和响应能力 .327.将安全扩展至边缘.34网络安全(弹性)框架.36结论.39关于 Cisco Secure .39附录 A:受访者群体统计数据.40附录 B:安全弹性成果.432安全成果报告第 3 卷打造安全弹性前言 提到弹性一词,您会想到什么?我确信,您一定会想到某
2、人或某事曾遭受(借用莎士比亚的话)“命运暴虐的毒箭”,但他们坚韧不拔、无所畏惧,变得越来越强大。这个定义完全可以接受,这种精神也值得称赞。但是,涉及到保护大大小小的公司的安全时,仅仅具备弹性,能在业务中断后恢复正常,这可能还做得不够好。毕竟,勒索软件或知识产权盗窃等网络安全漏洞一旦得手,便会对公司及其员工、合作伙伴甚至客户造成不可估量的损失。根据2021 年安全成果报告,41%的受访公司表示在过去两年内曾遭遇过重大安全事件或损失,可见这一问题广泛存在。根据思科的定义,安全弹性是指能够保护企业各方面的完整性,让企业不仅能免遭攻击,更能抵御不可预测的威胁或变化,不断增强安全水平。安全成果报告第 3
3、 卷(即本报告)指出受访高管几乎一致认为,打造安全弹性对其业务至关重要。这丝毫不足为奇,因为如今越来越多的企业高度互联,价值链中任何一方出现漏洞,都会对其他方产生巨大的连锁反应。没有哪位高管希望被指责做得不到位。欢迎查阅本报告。希望本报告对您制定战略和解决方案有所帮助,能助您实现安全弹性指标,获得有效抵御威胁、灵活适应变化、从容应对未知事物的超强弹性。安全行业当然不乏各种时髦术语。但是,我觉得“弹性”一词绝非昙花一现,也许不像莎士比亚的伟大戏剧哈姆雷特那般长盛不衰,但也将成为一个长期主题。Shailaja ShankarCisco Secure 高级副总裁兼总经理来源:思科2021 年安全成果
4、报告:终端版3安全成果报告第 3 卷打造安全弹性引言保障安全绝非易事。但是,过去几年间,在保护企业免受网络事件影响方面,难度确实有所加大。如今,安全防御人员不仅要考虑日益增加的威胁和不断扩大的受攻击面,还要考虑更大层面的风险,例如战争、气候变化、金融动荡,当然还有全球疫情。在这种动荡不安的环境中,“弹性”这一概念已成为大多数企业工作的重中之重。公司如何迅速适应这些快速发生的颠覆性变化,不断增强安全水平?在安全成果报告第 3 卷中,我们将安全弹性分解为易于理解、切实可行的洞察。(我们认为您已然分身不暇,没有必要再孤军奋战去自行破解弹性的奥秘。)没有任何一份报告可以涵盖如此庞大的主题。我们列出了一
5、些要点供您参考,以便您制定和完善网络安全战略,为未来做好准备。根据从 26 个国家/地区 4,700 多名安全专业人员收集的数据,我们发现了有助提高网络弹性的 7 大成功因素。本报告还分析了安全弹性的确切含义、重要性以及企业心目中的弹性成果优先级。希望这些数据能为您所用,让您更加信心十足,助力您的组织从容应对未来挑战,实现蓬勃发展。化风险为机遇,开启安全弹性之旅。这一旅程有时会充满艰辛,我们可随时助您一臂之力。4安全成果报告第 3 卷打造安全弹性主要研究结果安全弹性是高管的头等大事;的高管认为安全弹性对业务至关重要。近三分之二 的组织表示曾经历过危及业务运营的重大安全事件。调查简介抽样方法思科
6、与专业调查研究公司签订了合同,在 2022 年的年中开展了采用分层匿名随机抽样技术的完全匿名调查。调查对象来自 26 个国家/地区的 4,751 名在职信息安全和隐私保护专业人员参与了调查。抽样调查对象特征统计数据详见附录。数据分析Cyentia Institute 代表思科对调查数据进行了独立分析,并生成本报告中呈现的所有结果。针对如何提升整体安全弹性,排在前两位的优先事项分别为预防安全事件和减轻损失。在安全弹性优先事项排名中,留住安全人才位居最后,但对各类组织而言也是最具挑战性的事项。最高优先级最低优先级 96%架构至关重要。实施成熟零信任、XDR 和 SASE 的组织都拥有更高的弹性得分
7、。安全文化至关重要。营造安全文化的组织,其弹性提高了 46%。我们确定了有助于提高弹性的 7 大成功因素。如果能够实现这些因素,则可将整体安全弹性从后 10%提升至前 10%。5安全成果报告第 3 卷打造安全弹性6安全成果报告第 3 卷打造安全弹性“安全成果报告思路缜密,给我留下了深刻印象。该报告基于翔实的数据提供相关指导,说明如何充分利用资源,以最大限度地发挥安全计划的影响。”Theresa Payton,Fortalice 首席执行官、前白宫首席信息官无论您是否认为“弹性”是一个时髦术语,不可否认的是,网络安全领域内外许多人脑海中都萦绕着这个词,甚至将其挂在嘴边。这个词究竟是什么意思?思科
8、对这个主题当然有自己的见解,但既然这是一项对 4,700 多名安全从业人员的调查,还是听听他们的想法吧。什么是安全弹性?被问及其组织如何看待安全(或网络)弹性时,受访者给出的答案五花八门。然而,我们确实发现他们提到了一些共性主题。在受访者心目中,诸如“承受”、“恢复”、“预期”、“适应”和“不利”等词语都是安全弹性概念的核心。如果这听起来莫名熟悉,很可能是因为这些词语与 NIST 对网络弹性的定义几乎一字不差。这没有任何问题;在此类调查中,没有作弊之说。但这确实表明,弹性的含义非常模糊,许多安全专业人员都得查找答案。在接下来的各部分中,我们将努力澄清这一概念。网络弹性:对于使用网络资源或由网络
9、资源提供支持的系统,预测其遭遇不利条件、压力、攻击或危害的风险并进行防御、使之实现恢复和适应的能力。来源:NIST SP 800-1727安全成果报告第 3 卷打造安全弹性有些人在看到这个标题时可能会嗤之以鼻,心想“我认为它没那么重要。”这种想法也合情合理。我们不是夸夸其谈,因此会在一开始就摆出证据。我们向受访者询问了其组织高管对安全弹性的关注程度和重视程度。答案中传达的信息非常清楚。96%的高管认为安全弹性非常重要。我们认为这担得上“至关重要”的名号。高管们之所以高度重视安全弹性,可能是因为他们大多数人都非常了解安全事件会带来的风险。近三分之二的受访者表示曾经历过危及业务运营的重大安全事件。
10、此外,调查结果显示,大多数此类事件都发生在过去两年内。我们由此推断,安全弹性不仅是思想领导者或高管认为的重要问题,也是对全球大多数组织都至关重要的概念。为何安全弹性至关重要?图 1:高管对安全弹性的关注程度和重视程度如何?图 2:您的组织是否曾经历过影响弹性的安全事件?8安全成果报告第 3 卷打造安全弹性我们还邀请受访者详述所经历的影响弹性的事件类型。如图 3 所示,在声称曾经历过安全事件的受访者中,一半以上提到“网络/数据泄露”和“网络/系统中断”。“勒索软件”和“分布式拒绝服务(DDoS)攻击”紧随其后,各影响约 46%的组织。几乎可以肯定,上述某些类型的事件源于员工成为攻击载体(例如,点
11、击网络钓鱼邮件),但仍有约 38%的组织表示安全事件是“内部人员公然恶意滥用”所致。受访者还提到了物理破坏和蓄意破坏行为,但比例远低于其他事件类型。图 3:影响弹性的安全事件类型 9安全成果报告第 3 卷打造安全弹性受访者还针对上述事件对组织的影响发表了自己的看法(见图 4)。超过 60%的受访者提到了“IT 和通信中断”以及 ICT 在安全弹性方面发挥的重要作用。至于业务层面的影响,“供应链中断”排在第二位。我们最近也经历过这种痛苦,受访组织深有同感,这丝毫不足为奇。对供应链运营的影响会波及受害组织之外的实体,但“内部运营受损”(约 41%的公司如是表示)会对内部造成严重破坏。对许多高管而言
12、,“品牌形象受损”是令其“夜不能寐”的首要问题。大约 40%的受访者表示安全事件会导致品牌形象受损。“丧失竞争优势”是另一个令人担忧的问题,在弹性影响中排名前五。图 4:安全事件造成的弹性影响类型 为避免此类事件并提高安全弹性,组织可以采取哪些措施?我们试图在本报告中回答这一主要问题。首先,很明显,除了其他各种措施之外,组织采取的第一项措施就是投入资金。高达 96%的受访者表示,其组织在最近经历重大事件后增加了在安全方面的投资。我们都知道,砸钱不一定能解决问题。但我们亦知道,天下没有免费的午餐。重要的是弄清楚,哪些投资会带来回报,哪些不会。稍后我们会分享自己的经验。在此之前,我们先来探讨一下安
13、全弹性的主要目标。10安全成果报告第 3 卷打造安全弹性11安全成果报告第 3 卷打造安全弹性“毕竟,安全之中会蕴藏风险。我们无法随时随地确保一切万无一失,否则业务无法完成。但是,有了安全弹性,便能够将安全资源集中在能为组织创造最大价值的业务领域,并确保这些价值得到妥善保护。”Helen Patton,思科安全业务事业部首席信息安全官 上一部分介绍了安全弹性对于高管而言至关重要,但安全弹性究竟意味着什么?哪些特征或成就表明组织具有弹性?在准备本次调查的过程中,我们询问了部分安全主管一些问题,了解他们在安全弹性方面的目标和目的。然后,我们查看了他们的回答,并将其归纳为 9 项主要安全弹性成果。在
14、本次全球调查中,我们询问受访者其组织认为这 9 项关键弹性成果中哪些最重要(至多可以选择 3 项)。他们的回答如图 5 所示。鉴于人们普遍认为弹性属于“战后清理”概念,但大多数受访者却认为预防安全事件最重要,这一结果有些出乎意料。排在第一位的“预防安全事件”与紧随其后的“减轻财务损失”这两项安全成果,都针对的是传统的风险定义,即概率和影响。“应对突发事件”排名第三,这呼应了之前分享的开放作答中介绍的主题。我们不禁想知道,这一选项之所以排名比较靠前,是否与最近在新冠疫情中的经历有关。我们暂不对所有 9 项成果发表评论,而是直接跳到最后一项成果。只有 3.8%的受访者认为“招募和留住安全人才”是安
15、全弹性的主要方面。也许受访者认为留住人才是人力资源部的职责或长期目标,对于影响弹性的事件不太重要。但是,数量充足且训练有素的安全人员是弹性组织的关键成功因素,我们稍后将详细说明。安全弹性意味着什么?图 5:受访者选择的最重要的安全弹性成果12安全成果报告第 3 卷打造安全弹性如您所想,经历会影响人们对安全弹性的看法。回想一下我们之前的表述,62%的受访者曾经历过影响弹性的安全事件。根据图 6,这些事件可能引发对优先事项的重新排序。13安全成果报告第 3 卷打造安全弹性图 6:先前未经历安全事件与已经历安全事件的组织根据自己认为的重要程度对安全弹性成果的排名。在未经历重大安全事件的组织中,“减轻
16、损失”排名第四;而对于经历过安全事件的组织,这一优先事项排名第一。“适应变化”和“紧跟业务发展步伐”排名都有所提升。“预防安全事件”和“成熟能力”则排名有所下降。您可能还想知道,对安全弹性的看法是否因受访者和公司统计学特征而异。数据再次证实了这一点。我们以受访者的职责为筛选条件,将首席信息安全官和安全主管与担任技术角色的安全专业人员进行了比较。意见分歧从一开始就出现了。安全主管优先考虑“减轻财务损失”,“遏制安全事件的蔓延和范围”,以及“不妨碍业务发展”。而技术和运营安全受访者则分别将上述三个方面排在第 2、5 和 6 位,他们认为“防范重大事件”最重要。这并没有是非对错之分;不同职责自然会关
17、注安全弹性的不同方面。但是,确定共同的优先事项,清楚划分职责,确保所有人团队合作以实现更好的成果,这不失为明智之举。14安全成果报告第 3 卷打造安全弹性图 7:不同工作角色根据自己认为的重要程度对安全弹性成果的排名 15安全成果报告第 3 卷打造安全弹性“我们曾试图打造性能可达到 99.999%的系统,但已放弃这一想法。涉及到安全弹性时,我们更倾向于打造能够承受故障的系统,即如果系统出现故障,面临技术问题,依然能继续运行。”Dave Lewis,Cisco Secure 首席信息安全官顾问 “如果组织当下发生(或可能发生)最糟糕的网络事件,您对组织的弹性状况信心如何?”我们向受访者询问了这一
18、问题。略多于三分之一的受访者表示非常有信心,其余三分之二的受访者对组织的表现表示一定程度的怀疑。之所以询问这样一个主观的问题,主要是想了解一下大家对安全弹性现状的真实看法。然而,如果我们想要实现目标,势必需要更具体、更谨慎。我们已经收到受访者对一系列预期安全弹性成果的意见,接下来我们来了解一下组织在实现这些成果方面的现状。我们请受访者使用四分制(不及格|勉强及格|表现良好|表现出色)对组织在每个目标的表现进行评分。为了帮助受访者更客观地评分,我们对每项成果进行了描述,并举例说明了不及格和/或表现出色的特征。相关描述和示例详见附录 B。如需了解详细信息或有兴趣加以调整以用于自己的组织,欢迎查阅。
19、安全弹性现状 图 8:受访者对于自身组织能否抵御最糟糕网络事件的信心 16安全成果报告第 3 卷打造安全弹性总体而言,大多数受访者针对组织的表现给出“表现良好”的评分。但是,不要认为这意味着安全弹性进展顺利。如图 9 所示,几乎一半的受访者表示,在 9 项安全弹性成果中,自己的组织至少有 1 项难以实现或完全无法实现。超过四分之一的受访者表示组织至少有 2 项成果难以实现,10%的受访者表示至少有 4 项成果给组织造成麻烦。我们由此推断,许多组织在安全弹性的关键领域表现不佳。图 9:在实现安全弹性成果方面存在困难的组织比例 17安全成果报告第 3 卷打造安全弹性如前所述,受访者对于这些安全弹性
20、成果的相对重要性持有不同的看法,因此不同类型的组织表现也不尽相同,这并不足为奇。比如,如图 10 所示,我们比较了不同规模的组织在实现各项成果方面存在困难的情况。各种规模的公司一致认为“招募和留住安全人员”是最大的挑战,但共识也仅限于此。我们发现这种观点特别有趣,因为这让人感觉困难领域会随着组织的发展而变化。例如,根据调查结果,对于规模较小的公司而言,“减轻财务损失”的难度最小。(可能是因为比起赔钱,此类组织更担心倒闭?)但是,对于拥有 1,000 至 9,999 名员工的组织,“减轻财务损失”这项成果在实现难度方面却连续跻身前三名。对于特大型企业而言,“减轻财务损失”的难度也跌至最后一名。(
21、也许是因为此类企业从高收入中获得了额外的财务保障?)另一方面,有些事情似乎不会随着企业发展而改变。如上所述,与其他成果相比,各种规模的组织在招募和留住安全人才方面似乎都面临更大的困难。这颇具讽刺意味,因为他们也一致认为该成果对安全弹性而言优先级最低。也许这是一种自我应验的预言?也可能只是直白的实用主义。(“当然,留住优秀人才很难,但我更关心的是如何避免重大安全事件和损失。”)图 10:最具挑战性的安全弹性成果(按组织规模排列)18安全成果报告第 3 卷打造安全弹性衡量整体安全弹性得分除了评估各组织在单项成果方面的表现之外,我们还希望给出一个总分,反映组织在所有 9 项成果中的表现,进而衡量其整
22、体安全弹性。我们将这个分数称为“安全弹性得分”,本报告中会多次出现这一称呼。我们使用了一种名为“项目反应理论”的统计技术来计算此得分。(在上一卷中,安全成果得分亦是采用这种方法。)凭借此技术,我们能够根据组织在实现所有成果时的表现为其评分,同时考虑获得不同成果的难度不一这个事实。这种经过验证的技术也用于给出我们熟悉的标准化测试分数。得分的绝对值没有特别含义,但确实为比较各种安全计划提供了一个可靠的参考点。安全弹性得分的分布情况如图 11 所示,平均值正好为 500 分。除了评估各参与组织在单项成果方面的表现外,我们还希望全面衡量其安全弹性。因此,我们根据各组织在所有 9 项成果中的成绩,得出其
23、安全弹性分数。如需了解具体评分细则,请查看下文图注。简而言之,分数越高,在更多安全弹性成果方面的表现越好。在下一部分,我们将广泛使用此得分衡量各种成功因素对于提高安全弹性的成效。图 11:各参与组织安全弹性得分的分布情况19安全成果报告第 3 卷打造安全弹性接下来是大家期待已久的部分。根据 4,700 多家组织在 9 项成果方面的整体安全弹性得分,我们来探讨一下如何提高安全弹性。为此,我们分析了一系列潜在的组织、IT 和安全因素,测试它们与提升安全弹性之间的关联。通过这一过程,我们基于数据确定了 7 大安全弹性成功因素。这些因素造成多大影响?很高兴您有此一问。表现出这些因素的组织得分在本报告各
24、参与组织的所有安全弹性得分中排名前 10%。相比之下,未表现出大部分因素的组织则排名后 10%。所有组织都不希望是这一结果。有助于提高弹性的 7 大成功因素图 12:遵守 7 大成功因素的要求对整体安全弹性得分的影响 那么,这 7 项能够增强安全弹性的幸运因素究竟是什么?组织如何能够从中受益?请注意,真的没有运气可言!正如 Denzel Washington 曾经所言:“好运就是当机会来临时,你早已做好了准备。”本节其余部分有助于您为迎接好运做好准备。20安全成果报告第 3 卷打造安全弹性1.确立高管支持 图 13:高管支持对安全弹性的影响诚然,这个因素在网络安全领域相当老套,但其影响不容小觑
25、。对于高管支持不力的组织,其安全弹性得分比获得高管得力支持的组织低 39%。当然,真正的难题在于如何获得高管支持。数据表明,与企业核心使命紧密契合的安全计划可以获得更有力的高管支持以及更高的启动弹性(总体得分提高 32%)。因此,要想与企业高管有效沟通,需对业务如何运作以及安全计划如何更好地发挥作用有充分的了解。毕竟,在任何关系中,支持都是双向的。既然谈到关系这一主题,就不得不提到分析中的另一观察结果。我们向受访者询问了安全弹性职责在其组织结构图中的位置。在大多数情况下,上下级关系似乎不会造成太大区别。但我们确实注意到,与其他高管(例如首席信息官、首席运营官、首席技术官、首席财务官)密切参与的
26、组织相比,首席执行官、首席风险官和首席信息安全官密切参与的组织安全弹性得分明显更高。21安全成果报告第 3 卷打造安全弹性22安全成果报告第 3 卷打造安全弹性“首席信息安全官必须加强与高管团队的关系。如果组织能够进行业务调整并获得高管对预算和员工的支持,则有望提高其安全弹性。良好的关系会促成优秀的安全计划,进而带来更好的关系。”Wolfgang Goerlich,思科首席信息安全官顾问 2.营造安全文化 希望提高安全弹性的领导者可能会采取自上而下的方式,提供高管支持,但他们不应该止步于此。他们应该努力在整个组织中培养安全文化,因为数据显示,如果能够做到这一点,则组织的弹性得分比安全文化较差的
27、组织高出 46%。46%安全文化较差的组织与安全文化优秀的组织之间的平均弹性得分差异但是,知易行难。怎样才算强大的安全文化?本报告如何评估安全文化?这些问题都值得一问。我们为受访者提供了以下指导,帮助他们评估组织安全文化的影响并给予评分:在强大的安全文化中,员工被视为能助力解决问题,而不是问题所在。安全人员了解自己在组织中的作用,非安全人员也知道自己可以发挥作用,比如定期报告所发现的网络钓鱼企图、潜在恶意软件和其他事件。在员工满意度调查或离职会谈中,安全不是影响员工满意度或导致其离职的负面因素。相反,如果频繁出现安全策略违规和变通办法,则表明安全文化不佳。以上并不是对强大安全文化的详尽描述,因
28、为每个组织的安全文化都不尽相同。但这至少在一定程度上反映了受访者在评价其组织安全文化影响时的想法,希望这对您在衡量自己组织的安全文化时有所启发。以上描述的字里行间可能会令您觉得,必须与组织其他部门明确沟通安全计划的政策和理由。与安全计划无法阐明具体内容以及原因的组织相比,在这方面获得高分的组织在安全弹性方面的得分高出 27%。每个人都各自为营时,很难建立强大的文化。23安全成果报告第 3 卷打造安全弹性24安全成果报告第 3 卷打造安全弹性“安全意识这一主题正逐渐消失,取而代之的是对安全文化的重视,这会令整个组织脱胎换骨,确保每位员工都成为安全大家庭的一员。许多首席信息安全官现在将简单的培训视
29、为常规的合规性工作,而将沟通和改变组织的价值观视为核心目标。”Richard Archdeacon,思科首席信息安全官顾问3.储备资源 如前所述,招募和留住优秀的安全人才被广泛认为是最不重要的安全弹性成果,但也是最具挑战性的成果。前几卷安全成果报告指出了与网络安全计划人员支柱相关的几项可衡量益处,本报告也不例外。令人惊讶的是,在控制组织员工总数的情况下,我们未发现安全人员的总体规模与安全弹性水平之间存在强相关性。然而,配备额外内部员工和资源以便更好地应对突发网络事件,似乎确实能起到作用。与没有“灵活”资源以备不时之需的组织相比,能够做到这一点的组织的安全弹性得分平均高出 15%。在难以招募和留
30、住基本安全人员的情况下,组织究竟如何维持额外的内部资源?遗憾的是,我们在此次调查中没有询问这些细节,但在未来研究中肯定会涉及这方面。如果组织无法维持额外的内部员工来处理突发事件,也不会因此而失去一切。我们的分析还表明,保留外部事件响应(IR)服务的公司,其安全弹性平均提高 11%。不妨考虑与可靠的 IR 服务提供商签订预聘合同,只需一个电话即可获得帮助。您可能会想,如果额外的内部资源或外部 IR 服务都能提供好处,将二者结合是否会带来更好的结果。事实似乎确实如此。如果组织同时拥有应对重大网络事件的内部和外部资源,其安全弹性得分比单独拥有一种资源的组织高出 13%。15%配备与未配备额外内部员工
31、以响应事件的组织之间的平均弹性得分差异11%采用与未采用外部事件响应服务的组织之间的平均弹性得分差异25安全成果报告第 3 卷打造安全弹性4.简化混合云环境云架构和迁移一直是 IT 和安全团队关注的重要话题。许多企业已经从基础设施到软件全面采用云,而有些企业仍然坚守其本地环境。但是,哪一种策略更有利于提高安全弹性?您是否相信答案是需结合使用这两种策略?我们询问受访者其 IT 基础设施通常是托管在本地还是云中(或采用不同程度的混合模式)。然后,我们将这些答案与各组织的安全弹性得分进行关联分析。以云为主的组织平均得分为 526,而以本地为主的组织平均得分为 525。换言之,我们认为以本地部署为主的
32、环境与以云为主的环境之间,安全弹性成果没有差异。不过,我们发现,处于从本地环境向云环境迁移阶段的组织在安全弹性方面确实表现相对较弱。处于早期混合模式的组织,其安全弹性得分比主要采用本地部署的组织平均低 14%。用土拨鼠之日中 Ned Ryerson 的话说就是:“小心上云第一步,很麻烦!”然而,有证据表明,我们有可能让上云第一步不那么困难。根据另一个问题的答案,认为其混合环境更易于管理且安全可靠的组织似乎可以缓解云迁移早期阶段对弹性造成的负面影响。他们的弹性得分仅下降了 8.5%,而不是 14%。此外,随着云采用水平的提高,简化混合环境管理的优势也在增多。如果拥有更广泛混合环境的组织能够简化管
33、理,从统计学意义而言,其安全弹性得分与本地(或纯云)环境基准相当。否则,随着组织陷入难以管理的混合状态,这些弹性优势就会消失。总体而言,难以管理的早期混合云环境与易于管理的高级云部署之间的弹性得分相差 15%。15%混合云环境易于管理与难以管理的组织之间的平均弹性得分差异 26安全成果报告第 3 卷打造安全弹性我们由此推断,保持简单和顺畅是迁移到云的关键成功因素。由于混合云部署是这一旅程的必经之路,因此确保拥有合适的工具和服务来管理这些复杂的环境,将有助于组织在整个旅程中保持安全和弹性。值得注意的是,此处描述的一般模式适用于各种规模的组织。不管组织规模大小,纯云环境与纯本地环境之间的安全弹性没
34、有太大差异。但是,无论是中小企业还是大型企业,在提高混合云基础设施的弹性方面都面临困难。我们注意到一个区别,即大型组织认为其环境复杂且难以管理的可能性是中小企业的三倍,这意味着如果管理不当,迁移到云可能会对安全弹性造成更大的影响。27安全成果报告第 3 卷打造安全弹性图 14:云采用和易管理性对安全弹性的影响 28安全成果报告第 3 卷打造安全弹性“挑战在于,大多数情况下,安全从业人员无法左右组织从本地迁移到云的速度。如果无法改变技术,那么您唯一可以利用的其他杠杆就是人员和流程。”Helen Patton,思科安全业务事业部首席信息安全官 5.最大限度地提高零信任采用率在当今商业环境中,工作可
35、随时随地进行,这意味着必须提供无处不在的安全,才能充分保护企业安全。传统安全方法信任企业网络内部的一切(设备、用户、基础设施等),无法提供这种级别的保护。因此,杜绝盲目信任的方法应运而生。零信任模式可以利用自定义安全策略保护所有应用,对每次访问尝试进行身份验证和持续监控,从而在用户和设备中建立信任。这带来一个显而易见的问题,即是否有证据表明零信任模式可以提高安全弹性。对于这个问题,我们非常高兴地表示答案是肯定的。与尚未开始零信任之旅的组织相比,实施成熟零信任的组织,其安全弹性得分提高了 30%!此外,在我们之前讨论的 9 项安全弹性成果中,其中 8 项可通过零信任显著提高成功率。实施成熟零信任
36、,不能一蹴而就;弹性优势也很难在一朝一夕之间全部获得。这需要一个过程。本报告囿于篇幅,无法绘制该旅程的详细路线图,但我们确实可以提供大量资源,为那些有兴趣实施零信任的组织提供帮助。我们将重点介绍一些关键步骤,展示逐步采用零信任模式的优势。对许多组织而言,零信任之旅的第一步是通过多因素身份验证(MFA)验证用户和设备。根据受访者的回答,部署 MFA 可将安全弹性得分提高 11%。30%未实施零信任与已完善地实施零信任的组织之间的平均弹性得分差异 29安全成果报告第 3 卷打造安全弹性许多继续零信任之旅的组织还会对用户和设备进行持续验证,对工作负载进行微分段。数据显示,这些组织的安全弹性得分提升了
37、 6%。切勿忽视这些提升,请记住随着基本分数的提高,大比例提升的难度会越来越大。我们来了解一下零信任之旅中的另一个里程碑,这个里程碑已接近终点。在这一里程碑阶段,组织通过自适应策略、广泛监控以及协调用户工作流程,加强了 MFA、持续验证和微分段。这就引出我们所谓的“成熟”零信任实施,可将上述安全弹性得分提高 30%。图 15:零信任实施里程碑对安全弹性的影响 30安全成果报告第 3 卷打造安全弹性31安全成果报告第 3 卷打造安全弹性“归根结底,零信任是一种适用于任何技术的理念。光有技术远远不够,为达到所选择的目标,各组织在这一旅程中会采取不同的路线。找到实施其核心原则的正确技术,才能最终获得
38、零信任安全的全部优势,从而提高企业的弹性。”Wendy Nather,思科首席信息安全官顾问主管 6.扩展检测和响应能力只需浏览一下最近的新闻标题,即可感受到现代网络威胁的载体多种多样。但是,如果您对此持怀疑态度,需要更有说服力的证据,不妨深入研究 MITRE ATT&CK 框架中列出的数百种攻击技术和细分具体技术。关键是,所有这些策略和技术都需要多个观测点才能有效地检测和响应。扩展检测和响应(XDR)提供跨网络、云、终端和应用的数据可视性,同时应用分析和自动化功能来检测、分析、搜索当前和未来的威胁并采取补救措施。您大概可以猜到发展趋势。随着检测和响应能力的扩展,可以覆盖更多入侵载体和企业资产
39、,安全弹性是否得到显著改善?让我们拭目以待。为了对此进行测试,我们将针对尚未在 XDR(或其前身“终端检测和响应 EDR”)方面取得进展的组织确定基准。这些组织的平均安全弹性得分为 393分。换言之,在所有参与组织中,只有 14%的组织比自己的安全弹性得分低。显然,大多数组织都不希望是这一排名。由于许多组织将 EDR 视为 XDR 的基本组成部分,因此我们认为这是旅程中的第一个里程碑。声称实施 EDR 的组织的整体安全弹性得分比基准高出 23%。不算太糟糕,但也不是真正的 XDR,我们继续往下看。45%未实施 XDR 和已完善地实施 XDR 的组织之间的平均弹性得分差异32安全成果报告第 3
40、卷打造安全弹性声称已部署 XDR 基本要素的组织,其安全弹性得分又增加了 10%,比未部署 EDR 或 XDR 的组织高出 33%。所谓“基本”,是指在终端和网络上具有检测和响应能力,但尚未全部集成在一起。扩展能力固然很好,但任何从事过安全运营的人都知道,更广泛、更深入的可视性也会带来更大的挑战。必须分类和响应的事件数量不断增加,因此,新闻中频频出现安全事件。在我们看来,要想将 XDR 基本组件集成到统一解决方案中,可通过两大因素,即网络威胁情报和自动化/协调。如果检测和响应能力知道要查找的内容以及如何找到这些内容,则能发挥最佳效果。为此,许多企业寻求高质量的网络威胁情报。安全自动化和协调是成
41、熟 XDR 实施的纽带。上述两个因素共同成就了前所未有的 XDR。具备这些能力的组织在所有 9 项弹性成果方面的表现都显著提高,总体弹性得分比在 XDR 方面未取得进展的组织高出 45%。图 16:XDR 实施里程碑对安全弹性的影响 33安全成果报告第 3 卷打造安全弹性7.将安全扩展至边缘 混合办公(包括移动办公、设备激增以及应用在多个云提供商上的高度分散)快速发展,保护这种广泛的互联面临着越来越大的挑战,超出人类极限。当前流行的安全连接模式不足以应对这些挑战。因此,最终用户和 IT 专业人员都面临着这样一个现实:体验支离破碎,且没有保障。安全接入服务边缘(SASE)提供了一种策略,可将网络
42、和安全融合到云交付服务中,简化运营,在面对不断变化的业务需求时保持弹性。本报告中是否有证据表明 SASE 确实能提高弹性?是的!我们没有深入探讨 SASE 实施传统组件的具体细节(请参阅 Gartner 的定义),但我们确实询问了参与组织在这方面的总体进展情况。与未在 SASE 方面制定计划或取得进展的组织相比,声称已部署 SASE 的组织的整体安全弹性得分高出 15%。我们还发现,在 9 项安全弹性成果中,其中有 8 项可通过实施 SASE 提高成功率。27%未实施 SASE 与已完善地实施 SASE 的组织之间的平均弹性得分差异 34安全成果报告第 3 卷打造安全弹性图 17:安全弹性主要
43、举措 主动出击,采取举措 在开展此次大型调查的同时,我们还邀请了一个由 IT 和安全高管组成的焦点小组,分享他们目前为提高组织网络弹性而采取的三大举措。以下是他们的看法。别急,敬请往下看!思科扩展了 Gartner 对 SASE 的定义,纳入了高级威胁检测和响应能力等组件。我们确实询问了组织在这些能力方面的情况,因此很想知道既具备这些能力又实施 SASE 的组织是否更具弹性。事实证明,此类组织的安全弹性确实达到新的高度,比尚未开始部署 SASE 的组织的基准高出 27%。35安全成果报告第 3 卷打造安全弹性NIST网络安全框架最初为顺应 2013 年美国行政命令“保护关键基础设施的安全”而制
44、定,现如今已被全球各种不同类型的组织用于降低网络风险、提高弹性。网络安全框架广泛使用,我们认为评估其中定义的相关活动对 9 项安全弹性成果的影响会非常有用。网络安全框架中定义的活动涉及 13 项能力,我们要求每个受访者对这些能力的实施水平进行评分。我们的专家之所以选择这些能力,是基于其与安全弹性的潜在相关性。然后,我们对数据进行了分析,确定各项能力与安全弹性成果之间的相关性。具体结果如下列影响表所示,所有数据由 Nerdery 倾情提供。网络安全(弹性)框架 图 18:NIST网络安全框架活动与安全弹性成果的相关性 36安全成果报告第 3 卷打造安全弹性蓝色方块表示 NIST 能力和安全弹性成
45、果具有统计学显著相关性。这些蓝色方块中的百分比表示,在有效实施相应 NIST 能力的组织中,成功实现相应安全弹性成果的可能性增加情况。比如,能够很好地“跟踪关键系统和数据”的组织,在“遏制安全事件的蔓延和范围”方面表现出色的可能性要高出近 11%(左上角方框)。所有其他方框都可以用同样的方式解释。与本系列第 1 卷最初的安全成果表一样,您可利用此图“自行打造安全计划”。如需了解如何提高特定弹性成果,请从左侧选择该成果,然后横向浏览,根据数据查找对应选项。另一方面,如需了解网络安全框架中的某项活动如何增强组织的弹性,请从顶部选择该活动,然后纵向浏览与之交叉的成果列表。我们根据这一方法在表中自行选
46、择安全计划,得出下列观察结果。这些绝不是唯一的要点,我们不想破坏或影响您自己的探索。如果不想受到我们想法的左右,请直接跳到结论部分。是的,这是安全领域的老生常谈,类似于“为系统安装补丁”。是的,许多演示文稿中都充斥着这一概念,提到了“保护核心资产”和孙子语录。也许这事出有因。我们很难忽视这些数据所传达的信息。“跟踪关键系统和数据”排名第 1,是整体而言最有效的活动。“识别主要网络风险情形”排名其后。也就是说,在 NIST网络安全框架中,与检测、响应和恢复等通常与弹性相关的功能相比,属于识别功能的两项活动更能提高安全弹性。值得深思(和行动!),对吧?了解您要保护的资产以及要防御的威胁观察结果 1
47、37安全成果报告第 3 卷打造安全弹性观察结果 3配置人员和制定计划会带来高投资回报率 最后一点结尾处提到了人员,这就引出了上表中的另一个主题,即网络安全框架中多项活动都涉及到人员或计划(在制定计划时要考虑到人员)。其中一项活动是制定事件响应计划并将其传达给员工。另一活动要求定期更新计划,而不是将其束之高阁(或置于共享驱动器)。我们已经提过响应计划(包括与外部各方的协调)的重要性。当然,如果响应人员没有经过充分培训,不知道如何实施这些计划,那么这些计划毫无价值。组织可以通过多项技术解决方案提高安全弹性。但是,在每项解决方案的背后,都离不开在网络危机期间配置、维护和操作这些解决方案的人员。帮助这
48、些人员了解该做什么以及如何做,就是在帮助组织。观察结果 4关键不在于资金,而在于.对于过去经历过重大事件的首席信息安全官和组织而言,“减轻安全事件造成的财务损失”是最重要的弹性成果。请注意,我们的分析显示,在网络安全框架定义的 13 项活动中,其中 8 项可提高成功实现该成果的几率。我们不会列出所有相关活动,您可以自行完成,然后参考 NIST 文档了解更多详细信息,获取实施指南。需要强调的是,表中突出显示的有效活动涵盖了监管、人员、流程和基于技术的控制。这证实了一个主题,即要想尽量减少损失,充分提高弹性,一维单点解决方案远远不够。网络弹性不仅关乎您自己 在回顾与弹性成果相关的网络安全框架活动时
49、,很难忽视组织的成功与外部各方有很大干系。“拥有充足的网络保险为防御提供后盾”总排名第 4。“管理事件响应和恢复过程中的 PR”排名第 5。“测试基本第三方服务”排名第 6,“确保发生网络事件时能继续提供服务”排名第 8。“与外部各方协调响应计划”排名第 9。因此,请尽一切办法,确保准备妥当,以应对突发破坏性网络事件。但是,这一天真正到来时,不要孤军奋战。实践经验以及本报告中的数据清楚表明,网络弹性远远超出您自己和周围人的范畴。观察结果 238安全成果报告第 3 卷打造安全弹性至此,想必大家已经心中有数。您是否感觉更具弹性了?或者至少感觉已踏上弹性之旅?建立安全弹性需要投入大量的工作,但首先要
50、制定计划。如果您希望确保组织在任何情况下都能蓬勃发展,我们愿随时提供支持,助您制定和执行计划,帮您拨云见日,找到清晰的方向。无论您是在努力应对风险评估、勒索软件、监管合规性、响应和恢复还是其他安全挑战,您都不必孤军奋战。如需了解更多信息,请访问:查看我们一系列以数据为基础、基于调研的研究报告 深入了解如何借助安全弹性为企业保驾护航 结论 关于 Cisco SecureCisco Secure 秉持不断优化、简化的安全原则。我们提供以客户为中心的精简安全方法,可确保各产品不仅易于部署、易于管理、易于使用,而且可以协同工作。我们通过最广泛、集成度最高的平台,帮助所有财富百强企业随时随地保障工作安全
51、。如需详细了解我们如何简化体验,促进您取得成功并提供面向未来的安全保护,请访问 3 卷打造安全弹性附录 A:受访者群体统计数据 图 A1:受访者主要所在市场 40安全成果报告第 3 卷打造安全弹性图 A2:参与调查的组织代表的行业 41安全成果报告第 3 卷打造安全弹性图 A4:受访者的主要安全职务和职责 图 A3:参与调查的组织员工人数 42安全成果报告第 3 卷打造安全弹性附录 B:安全弹性成果 1.遏制安全事件的蔓延或控制其范围:发生安全事件时,采取控制措施和流程遏制其蔓延,比如限制横向移动,阻止权限提升,缩短停留时间,避免传播到其他部门。能够有效控制事件以避免进一步恶化,或者近期有执行
52、测试以验证这些能力,则表明组织在这一成果方面取得了成功。2.减轻安全事件造成的财务损失:发生安全事件时,通过控制措施和流程降低其影响程度和相关损失,进而降低成本。比如制定计划和程序,以实现快速恢复、避免品牌形象受损、减少下游其他各方的损失、规避诉讼、通过网络保险转移风险等。寄希望于最好的结果,或者采取“兵来将挡水来土掩”的策略,则表明组织在实现这一成果方面存在困难。3.适应外部突发变化事件或趋势:安全计划非常灵活,能够有效应对组织外部不可预见、无法掌控的事件所引发的变化情况。在新冠疫情期间,能够很好地适应向远程办公的突然过渡,应对随后的混合办公趋势,加快全数字化转型,则表明组织在这一成果方面取
53、得成功。4.紧跟业务需求和业务发展的步伐:安全计划能够充分应对不断变化的业务需求,而且不会阻碍通过新的来源获得收入。在某些情况下,安全解决方案可以提供竞争优势,甚至可以创造净收入。如果企业高管将安全部门视为业务障碍或单纯的成本中心,则表明组织在实现这一成果方面存在困难。5.不断完善并提升安全能力:通过安全计划制定目标,跟踪进度,寻求不断提高其有效性。安全计划可能并非在所有方面都很成熟,但应了解最需改进之处,并制定相应计划。如果安全计划停滞不前,无法抵御现代威胁,或者未做好充分准备,无法实施下一次控制,则表明组织在实现这一成果方面存在困难。43安全成果报告第 3 卷打造安全弹性6.防范重大网络安
54、全事件并减少损失:我们认为,在实现这一目标方面非常成功的组织在过去几年中未曾经历重大或极具影响力的安全事件(内部和/或外部高度关注的事件)。此外,我们没有理由怀疑,组织迟早会发生重大损失事件。预计组织会出现轻微甚至中等程度的事件,但关键是组织是否已经并将继续保持杜绝重大安全事件。7.通过中断事件确保业务连续性:系统故障、网络中断和其他技术中断对关键业务运营的影响极小。即便发生需要广泛或快速变更架构和/或流程的突发事件,组织也能成功应对。8.实行具有成本效益的安全计划:高管认为安全计划具有良好的投资回报率。没有因为安全成本过高而怨声载道。购买的产品闲置率较低。人员配备精简,但不至于出现短缺。高管
55、和安全主管共同制定了相应计划,可在不增加风险的情况下减少安全预算,这是一个良好的成功标志。9.招募和留住优秀的安全人员:组织在安全行业有口皆碑,是许多人梦寐以求的工作场所。空缺的安全职位通常会得到快速填补,而无需提供额外的激励。人才不断晋升发展而不是纷纷离职,人才流失率较低。员工满意度一直很高。44安全成果报告第 3 卷打造安全弹性45安全成果报告第 3 卷打造安全弹性欧欧欧欧 Cisco Systems International BV,荷兰阿姆斯特丹欧欧欧欧 Cisco Systems(USA)Pte.Ltd.新加坡欧欧欧欧 Cisco Systems,Inc.加州圣荷西发布日期:2022 年 12 月 2022 思科和/或其附属公司。版权所有。Cisco 和 Cisco 徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。要查看思科商标的列表,请访问 11/22