随着国家安全战略的建立、《中华人民共和国网络安全法》等法律法规的颁布和实施、监管机构的推动、企业机构自身业务的发展,相信几乎所有的C Level级别的高管都认同网络安全的重要性和关键性。在这些新的形势下,很多机构的高管们都在思索和探讨如何持续改进和完善机构的网络安全治理,本文将根从企业网络安全的视角尝试提出以下六个建议供机构的高管们做参考。
高管们的安全观决定企业安全建设的成效
通过研读多家机构针对网络安全发起对全球高管们的调查报告,我们可以看到一些值得思考的现象。
- 高管们普遍都认同网络安全的重要性,同时也都认同网络安全是他们必须面对和解决的问题。但不少高管并不清楚和能说出安全风险来自什么地方,什么样的安全因素将带来最大风险,这种认知和理解上的不足表现在高管们心中的安全风险和现实中安全风险的比例没有呈现一致性。例如,根据现状来看,数据泄露的威胁中,55%的数据泄露事件来自内部人员,但调查显示仅有32% 的高管将目前/前雇员选入最主要的三大威胁 [1]。
- 高管们对自己机构网络安全现状的情况以及安全防护能力的自信心有所不同。CIO(CSO)由于职能情况,对网络安全现状最为了解同时拥有最高的安全防护自信心。CEO的了解程度和自信心次于CIO(CSO),CFO和CMO在了解程度和自信心上是最低的。这方面的原因在于CEO、CFO和CMO是机构中职员、财务和客户信息数据的拥有者,因对安全状况的不了解程度降低了他们的信心。
- 高管们和下层管理层以及具体工作的安全职员之间存在着对网络安全认知不一致性。这种不一致性体现在对机构整体安全性的认可程度以及对安全工作的重视程度。例如澳大利亚国立大学的研究表明只有58%的网络安全专业人员认为他们的董事会对网络风险有足够的了解。不到一半(46%)的网络安全专业人员表示,公司董事会很少或从来没有讨论过网络安全问题。几乎三分之一的网络安全专业人员(30%)甚至表示,他们的董事会没有收到关于网络安全威胁的报告[2]。
这些现象提示我们,机构的高管群需要改进他们的安全观,改变网络安全停留在口头重视的情况,需要切实深入的了解机构的网络安全现状、了解新的网络安全风险,只有这样,作为机构的最终决策者和负责人才能肩负好网络安全的责任。
良好的工作机制是机构中网络安全工作的关键之一
今天,关于网络安全应该是全员参与的企业安全理念早已被企业机构普遍所认同。但是高管们还需认真考虑如何将网络安全与机构的运营工作机制进行有机的融合,使其成为一个鲜活,立体的工作内容,而不只是停留在企业制度文档上苍白的文字。就目前而言,一些机构存在着以下工作机制方面的问题。
- 一方面,高层间缺乏专门的网络安全联席会议机制同时也较少将网络安全列入联席会议议题。而另一方面,CFO,CMO们也往往较少参与此类专门的网络安全联席会议,这使得他们对安全信息了解不畅并让他们对机构的网络安全计划抱有怀疑,认为这些计划不完善或者无法正确实施。因此,高管们存在着对网络安全意见的不一致情况并将有可能对机构的网络安全建设产生消极影响
- 有一些机构其各部门之间的安全工作开展缺乏联动协调机制,致使安全工作集中于IT部门,将本是全员参与的工作畸变为IT部门,甚至是机构安全小组的工作。在这种情况下,安全部门/人员和业务部门常存在安全职责不清、相互推诿、处理及反应滞后的情况。
- 不少机构虽然已建立内部的OA系统,但尚未将网络安全运维流程和OA系统进行集成以实现机构安全管理工作的电子化、流程化和自动化。现代网络安全管理要求强调安全快速响应与处置以及安全闭环管理以对付日趋复杂的安全威胁。显然那种依靠人工方式进行工作协调和沟通的处置方式无疑是落后的,亟需进行改变。
安全态势感知与情报分享将显著改变原有被动防御的局面
绝大部分网络攻击很少是孤立事件。攻击者在发动攻击时需要提前做很多的工作,例如寻找漏洞、制作工具、甚至对真实目标进行攻击前会对其它目标进行测试攻击。根据美国执法机构的调查研究表明在2014年一次针对摩根大通公司的攻击中,执法机构调查发现至少另有10家金融服务机构成为同一黑客组织的目标。又如,近期勒索病毒的猖獗就和黑客团体泄露并利用美国NSA的网络战武器有直接关系。因此,如果机构能够迅速获取到执法部门、安全企业发布的关于安全威胁和攻击的安全态势信息,则可以迅速的提升警戒程度,制定相应的预防和处置措施,减小受影响和受攻击的可能性。
除了外部的安全态势感知外,机构也有必要建立内部的安全态势感知。这种感知是建立在对内部安全信息的集中、整合、过滤、挖掘及分析之上。这样可以帮助机构时时知晓内部网络安全的运行动态并识别潜在的安全风险活动,并根据这些态势及时调整内部安全策略和展开相关的安全处置。
现实中,黑客们往往在地下通过诸如暗网(dark web)这种地下资讯和交易网络进行黑产协作以提高攻击成功的可能性并获取最大的经济利益。然而,机构们之间对安全共享和协作却保持相当谨慎的态度。据调查,68%的CEO们表示不愿意对外共享发生在己方内部的安全事故。诚然,处在一个市场竞争如此激烈的时代,CEO们的顾虑无可厚非。但是,反过来说,我们是否可以多分享在网络安全方面的建设经验呢?高管们可以商议并建立企业之间的分享和学习机制,通过这种方式了解和学习彼此之间优秀的网络安全建设经验,提升己方安全管理水平。此外,高管们还可尝试在机构内部建立部门之间的分享和汇报机制,通过引入集体智慧,形成更优的安全解决思路和解决方案。
持续和理性的安全建设是保障机构网络安全有效性的重要基础
在一些机构中,高管们常依据自己对特定网络风险的认知来决定安全建设的方向、建设重点和投入成本。但由于他们的安全威胁认知存在一定的局限性、滞后性和偏差性。因此在开展网络安全的建设过程中,常出现以下多种现象:
- 安全建设满足合规要求就好。一些高管们认为机构安全仅需要遵从合规要求就够了,并不愿意在安全上进行过多的投入。在实践中,合规要求是帮助机构建立良好的网络安全基线并解决已知的漏洞。但合规要求没有能充分解决和应对新的、动态的安全威胁或对复杂的攻击对手。正确的做法应该是使用基于风险评估的方法来应用最新的网络安全标准和业界最佳实践,这样比仅遵从合规能更全面和更有效地管理网络风险[3]。
- 过于轻信己方的安全防护能力。事实上,这些年来发生的诸多攻击事件表明,机构的网络安全防护并不是想象中的钢铁长城,在外部APT攻击以及恶意内部人员的面前,机构的网络处于巨大的威胁中。幸运的是,很多企业CISO们认为威胁形势其实十分严峻,国外公司的研究报告表明83% 的 CISO 表示,过去三年外部威胁带来的挑战不断攀升,42% 的表示外部威胁显著增加; 59% 的 CISO 强烈赞同,攻击者的水平超过了企业的防御水平[1]。因此建议通过定期和全面的安全评估来检查真实的安全防护能力。
- 不觉得己方将遭受到攻击,认为攻击的几率和可能性非常低。这种考虑有些基于国情的考虑,认为国内处罚严厉,黑客不敢发起攻击。有些则认为己方属于小型机构或非关键基础信息设施行业,不会引起黑客的注意。但是,最近发生的勒索病毒事件以及国外机构对境内金融机构进行DDOS攻击并进行勒索的事件证明了上诉观点的错误。
- 期望通过某种解决方案解决绝大部分的安全问题。网络安全是一个内容涵盖非常广泛的领域,因此在网络安全建设中,不存在银子弹的解决方案,每一种方案都只能提供一定范围和一定程度上的安全防护。在这其中尤其要注意两种错误的观念,一个是认为只要有完善的外网安全防护,内网就安全;另一个是认为业务生产网和其它网络已实现物理或逻辑隔离,因此业务网是安全的。实践中,因持有这两种观点而遭遇惨重损失的企业机构案例非常之多,值得高管们警惕。
- 重视技术层面的投入而忽略对人员的投入。战争中,决定战争胜负的是人的因素,网络安全建设也遵循同样的道理。内部人员的安全技能、对设备工具的使用熟悉情况、人员的数量、工作的积极性和主动性都将直接影响安全工作的质量和执行效率。因此高管们应该考虑进行安全人力资源的评估、招募或引进足够的安全人员数量(包括安全外包)、开展定期的安全培训以提升人员技能、优化KPI绩效考核以提升人员工作积极性。
基础的安全管理和防护手段发挥着最大的功效
目前,高管们在度量己方机构内部网络安全建设的时候,往往会受到互联网新技术新业务的应用和开展,黑客攻击技术和手段日益先进和复杂,以及安全厂家不断推出的新产品这三个因素的影响,将资源投入到这类热点领域而忽视了企业机构最为基础的安全管理和防护。事实上,在安全领域,最为基础的安全管理防护措施发挥着最为重要的作用,国外咨询机构的研究报告中就显示超过75%的安全漏洞可以通过基础的控制措施进行防护[4],因此高管们应该把如何做好基础的控制措施放在首要和优先的位置 (在机构有更多资源的情况下可进一步扩充和提升全面安全防护能力)。一般来说,这些基础控制措施包括:
- 有效和更新的管理制度和流程机制
- 有效的网络边界隔离与防护
- 定期/不定期的安全评估
- 严格的权限账户管控
- 配置操作规范和安全审计
- 安全漏洞的发现与修补
- 桌面终端安全防护
- 持续的内部人员安全培训
- 第三方服务及供应链的安全管控
- 安全应急预案编制与应急演练
网络安全中的基础防护犹如建筑中承担抗震关键的柱子和房梁。做好基础防护则意味着企业机构达到了应有的安全基线,同时也获得了最大程度的安全投入回报。
积极的应对和恰当的改进可帮助建立更为有效的网络安全
正如网络攻击者不断的寻找漏洞,不断的改进其攻击手段以提高攻击成功率一样,企业机构也需要针对网络风险的变化及时的进行调整。在这种情况下,高管们应该主动开展和进行一些有利的变革改进以适应新的合规、新的法律框架、以及新的风险应对要求。这些变革改进包括组织架构、企业安全策略、安全管理机制、安全技术等层面,下面给出一些变革的方向和内容以供高管们参考。
改变并提升对网络安全的支持程度。网络安全的问题会威胁到企业的各个层面,并带来商业和声誉的双重损失,因此,企业机构的网络安全不再只是 IT 部门的问题,仅有CSO或CISO的支持是不够的。高管们均有责参与到企业安全管理中。离开了高管决策层领导的集体支持,则难以建立一个有效的网络安全防护。调查表明自2013年起,有31%—32%的受访者称,管理层意识和支持的缺乏对网络安全的有效性产生了不利影响[5]。
提升安全管理层的发言权重。一些机构并没有设立CSO或CISO的职位,或者CSO和CISO并没有能够进入到公司的决策层(或董事会)(国外著名咨询机构的研究报告表明约有75%的受访者表示其负责网络安全的人没有进入董事会[5])。这样将导致网络安全的问题和建议没有能够被决策层给予足够的重视,从而没有获得对网络安全应有的建设支持。
改进管理层汇报报告的质量和内容。研究表明在给决策层呈报的报告中,存在着两个突出的问题。一个是网络安全的内容偏低,约25%的报告会阐述提及威胁等级;另一个问题是网络安全的内容没有能够以决策层能看懂的业务语言来进行描述。因此导致决策层不能完全了解和理解当前机构所面临的风险,进而对网络安全建设产生了不利影响。
提升应对危机的处置能力。现在绝大多数的企业机构普遍均建立了基于技术层面的网络安全应急预案。然而,很多机构缺乏以下三种应急预案。第一种是对于发生事件之后如何邀请执法机构介入的应急预案,第二种是如何配合监管和执法机构进行事件调查与处置的应急预案,第三种是如何在媒体上发布应对消息以缓解或消除造成的社会影响及公众质疑的应急预案。建议高管们考虑增加以上应急处置内容和程序,确保企业机构更加有效地应对安全危机。
提升对客户信息的保护水平。随着国家《网络安全法》的颁布实施,国家在法规层面显著提升了对个人信息的保护要求。高管们需要重新认真审视己方机构内对此类数据的安全防护水平。建议通过加强管理和技术两个层面的安全内控,降低内部人员恶意窃取或无意泄露客户信息的几率。建议通过加强第三方管控,减少经由第三方人员和机构泄露客户信息而给企业机构带来的直接和间接损失。
结束语
网络安全对企业机构的高管们而言不是一个单纯管理或技术层面的战术问题,而是一个关系到企业生存的战略问题。网络安全需要高管们对其有清晰、正确和全面的认识,通过主动和积极方式将其作为组织治理、风险管理和业务连续性框架的必不可少的一部分。随着网络安全形势的日益严峻,国家和行业网络安全监管的日益严厉,建议企业机构的高管们加强对网络安全的工作协同、改善工作机制、保持持续有效的建设投入、以灵活和恰当的方式构建和形成具有弹性的企业网络安全治理。
参考文献:
[1] http://www-03.ibm.com/security/cn/zh/ciso/index.html
[2] http://nsc.anu.edu.au/news-events/news-20161102
[3] https://www.us-cert.gov/sites/default/files/publications/DHS-Cybersecurity-Questions-for-CEOs.pdf
[4] KPMG 《Cyber security: a failure of imagination by CEOs》, https://assets.kpmg.com/bh/en/home/insights/2016/04/cyber-security-ceo-cyber-outlook-study.html。
[5] 《安永第19届全球信息安全调查报告》,http://www.ey.com/Publication/vwLUAssets/ey-global-information-security-survey-2016-cn/$FILE/ey-global-information-security-survey-2016-cn.pdf
张, 凯