近年来,针对企业的网络攻击事件层出不穷,大量的网络安全投入收效甚微,似乎呈现出“越治理越严峻”的困境。究其原因,数据代沟问题是关键:一方面是政府层面的监管机构未形成网络安全的整体防御态势,感知风险的能力较弱;另一方面,各企业在网络安全上仍是“各扫门前雪”的基本情况,基于各方原因不愿共享网络攻击数据。对此,行业专家献计献策,今日分享一篇来自标普全球市场财智产品开发负责人Marc Barrachin与世界经济论坛网络安全中心行业解决方案项目负责人Algirde Pipikaite共同撰写的关于建立全球性网络攻击通报标准的文章,主要内容如下:

网络威胁由于其快速变化、无边界、非对称的本质特点,使其非常难以预测和管理。也正因为如此,世界经济论坛(World Economic Forum)多次将网络安全列为其全球风险清单的前几位。有一种传统的观点认为,“您所在组织成为网络攻击的目标只是时间问题”。虽然我们同意爱达荷州国家实验室(Idaho National Lab)高级网络安全分析师安迪·博奇曼(Andy Bochman)的观点,即“无论在防御上花多少钱,都无法完全保护你免受黑客的攻击”,但我们认为,“你可以加固自己的防御,以大幅降低风险”。

在这篇文章中,我们关注的是网络安全管理中的主要挑战:数据代沟。也就是说当前可获得的网络数据非常少,导致很难客观地评估事件的潜在影响。通过与跨地区和跨行业的利益相关者的合作,我们提出了一种方法来确定要具体参考什么、如何捕获所需的数据以及如何使其有用。

为什么我们要分享数据?

数据就是力量。在网络安全领域,数据就是阻止其他类似事件发生的力量。如果一个组织出现了数据泄露,我们有理由相信,在不久的将来,同样的恶意策略也会被用于另一个组织。如果首个受害组织的漏洞数据是可用的,其他组织可以对此提前做好准备,并确保不会因为相同漏洞出现事故。共享数据还允许监管机构和执法部门客观地管理激励措施,以指导企业的网络安全治理、数据收集和信息共享。

当务之急是弄清楚具体参考标准是什么。为此,我们必须就网络事件的标准分类达成一致,以便我们能够跟踪和了解任何攻击的后果。具体分类应该包括:

(1)与事件相关的数据(事件发生的时间、最初检测到的时间、通报的时间)

(2)事件类型(泄露、恶意软件、分布式拒绝服务[DDoS]等)

(3)对财务结果或经营能力的影响类型和程度(数据泄露、经济损失、运营、法律、声誉、知识产权等)

(4)用于入侵网络或数据的方法(钓鱼、勒索软件、病毒、零日攻击等)

(5)解决该事件的举措(补丁、更新防火墙配置或软件等)和解决成本

当然,没有组织愿意公开他们所遭受的攻击,一方面是不希望向恶意行为者披露漏洞,另一方面也不想因为这样的披露而招致声誉或经济损失。为了鼓励与数据泄露相关的信息共享,保证通报事件的组织的匿名性就变得非常重要。但是,为了使网络泄露数据具有参考性,每个事件都应该按照公司谱图来标记,例如组织的行业类型、盈利范围、员工人数、业务范围,这样具有相似配置的组织就可以据此识别出潜在的威胁和影响。有了足够的通报事件,我们也可以更好地了解在行业、国家和区域层面最有可能发生的事件的频率和类型。这样的数据也可以让类似企业优化网络安全投资。但是也应该注意,网络安全投资不是“一劳永逸”的事情,网络威胁形势不断演变,监管要求也是如此。网络防范必须定期进行审查和调整。

合规和沟通

全球各地的监管机构都要求企业披露事故,但我们的研究显示,这些监管机构所得到的公开披露的数据太少,基本没什么用——如果它们有共享的话。更重要的是,大多数监管机构并没有要求提供正确有用的信息。例如,美国证券交易委员会(Securities and Exchange Commission,简称SEC)要求公开交易公司披露它们的网络风险数据,但并没有要求提供我们在上面描述的那些具体数据。因此,大多数公司只是简单地提供一份法律免责声明,对风险暴露或防范没有提供任何信息就不足为奇了。当前的合规监管状况相当不完善,也没有任何激励措施可促使组织分享它们拥有的有关网络入侵和漏洞的数据。为了解决这个问题,我们建议建立一个公私合作伙伴关系,为组织提供它们监控安全以及资源共享所需的操作支持。

Cyber Net就是一个典型的例子,该组织是由以色列国家计算机应急响应小组(CERT)开发和运行的在线平台,是以色列国家网络安全指导委员会(INCD)的一部分。Cyber Net的宗旨是获得可以帮助组织识别潜在威胁并可作为同行参考的基准数据。向Cyber Net提供的所有数据都是匿名共享的,Cyber Net不与包括执法和调查机构在内的其他政府实体共享报告数据。

我们相信,这些方法将使我们在管理网络风险方面取得长足进展。一旦我们采用一种标准的方法来计算、度量和沟通网络风险,所有利益相关者将最终能够做出基于事实的战略决策,以确保其企业、合作伙伴和客户的数据安全。

声明:本文来自网安布谷鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。