2020 年 3 月,AT&T和ESG联合完成了《安全成熟度与业务支撑的关系报告》,该报告旨在发现网络安全与业务成功的关系,以及什么样的网络安全计划能成功支撑业务发展。《安全内参》对报告进行了翻译。

1、报告主要发现

1)成功企业的业务团队和安全团队都将安全视为业务推动因素,业务团队和安全团队之间存在富有成效的工作关系。

2)强大的安全可以为企业更积极地应对 IT 驱动的业务计划(如数字化转型)奠定基础。

3)事件响应规划很重要,需要整个组织的系统方法,在整个组织内进行协作、沟通和规划。

4)成功企业意识到,网络安全挑战和工作目标可能超出了内部安全团队的能力,通过选择服务提供商来减轻繁重工作,补充尖端经验和技能。

5)网络安全是一个永久的旅程,没有目的地,成功企业选择与服务提供商合作,持续进化。

6)成功企业更有可能在网络安全方面进行战略投资,而不是战术性投资,即网络安全投资旨在弥补现有差距或支持新的业务计划。

2、概述

受调查的 500 名安全专业人员对其流程、策略和控制的结果已映射到 NIST 网络安全框架 (CSF) 的五项基本网络安全功能:识别、保护、检测、响应和恢复。

研究的目的是验证组织是否以及在多大程度上符合 NIST CSF 规定的最佳实践,有助于运营更安全的环境并更好地实现其业务。

这是通过创建数据驱动模型实现的,该模型将受访者分为三个级别的网络安全成熟度:"新兴"组织、"跟随"组织和"领先"组织。

通过比较这些级别的调查结果,该模型允许我们使用数据来量化随着成熟度水平提高而存在的安全性和业务结果的差异。

AT&T 网络安全的成熟度模型使用调查中的 16 个问题作为模型中的输入,该模型决定了组织的成熟度分数。

这 16 个问题衡量了组织正在使用的一系列广泛的网络安全流程、策略和控制。

  • 组织的网络安全计划如何正规化?

  • 它向用户提供网络安全培训的频率如何?

  • 它如何努力地识别和确定威胁的优先级?

  • 威胁情报是如何承担的?

  • 数据和资产的分割和加密程度如何?

  • 事件识别和解决使用哪些技术?

  • 组织的安全状况多久评估和修订一次?

等等,根据对这些和其他问题的答案,受访者的组织可以获得 0 到 100 个成熟点。得分最低39%的组织被归为最不成熟的"新兴"类别,处于中间位置的组织属于"以下"类别,占最高 20% 的类别的组织被归为"领先"类别。

根据为该项目收集的数据,AT&T网络安全和ESG得出了以下结论:

这些数据表明业务成功与对强大安全性的承诺之间的关系。基于这项研究,ESG 认为"领先"组织可以将强大的网络安全融入到业务、IT 和组织文化中。

这有助于他们更积极地应对 IT 驱动的业务计划,因为他们知道他们可以依靠强大的安全基础。

"领先"组织往往在 NIST CSF 的五项职能中走得更远。在威胁检测和事件响应等领域尤其如此,许多"新兴"组织和"跟随"组织都在努力。

此外,"领先"组织了解其局限性,并积极寻求服务提供者的帮助,以补充内部工作人员和技能。

尽管"领先"组织取得了成功,但他们明白安全是一次旅程,而不是一个目的地。因此,他们不断评估进展,确定需要的领域,并努力持续改进。

因此,虽然"领先"组织在安全性上花费更多,但它们报告在安全投资方面的投资回报 (ROI) 更强。

"跟随"和"新兴"组织可以利用本报告中提供的数据更好地了解"领先"组织的经验教训和最佳做法。这可以作为安全改进和业务相关性的路线图。

成熟度不直接取决于公司规模。人们可能认为只有拥有最多资源的最大组织才能实施足够复杂的网络安全计划,以实现"领先"状态。然而,研究表明,在所有三个成熟度级别("领先"、"跟随"和"新兴"组织)中,公司规模中位数是相同的。

公司规模和成熟度水平之间没有相关性这一事实向我们表明,做好网络安全工作取决于资源,更是深思熟虑、规划和组织文化的结果。虽然技术和员工投资很重要,但研究表明,任何规模的组织都能实现高度成熟的网络安全计划。

3、研究表明强大的安全与业务成功之间有关联

研究指出业务成功与网络安全敏锐性之间的关系。这种联系可能由来自业务线 (LOB) 和网络安全团队的人员、经理和员工之间的信任、沟通和协作为基础。

略高于四分之一 (26%)受访者表示,业务线利益相关者将安全视为推动因素。但是,当通过成熟度模型查看此数据时,在 55% 的"领先"组织中,LOB 将安全团队视为"推动者"。

而28% 新兴组织中,LOB 将安全视为“组织的麻烦/障碍"(参见图 2)。显然,"领先"组织正在做正确的事。

还值得注意的是,73% 的"领先"组织强烈同意这样的观点,即其组织的安全状况使其整体业务成功的可能性更大(参见图 3)。当然,这是一个主观的评估,但这个意见似乎得到了为这个研究项目收集的其他数据的支持。"领先"组织中的安全专业人员往往认为自己是业务推动者,业务团队和安全团队之间存在富有成效的工作关系。在此方案中,安全团队将注意力集中在了解业务流程,然后识别、缓解和监控相关的网络风险上。

研究还表明,致力于安全的组织往往取得更大的成功。这不是暗示因果关系,而是强大的安全可以为组织更积极地应对 IT 驱动的业务计划(如数字化转型)奠定基础。例如,57% 的"领先"组织称已超出收入目标 7%*(参见图 4)。除了安全之外,ESG 还假设这些组织具有积极但管理良好的业务计划,并由正式定义的流程提供支持。

4、是什么造就了领先者?

研究表明,强大的安全与业务成功之间关联。这就提出了一个问题:安全"领先者"的特征是什么?

换句话说,"领先"组织采取了哪些行动,使它们脱颖而出,超过"跟随"和"新兴"组织,并帮助它们实现甚至超越业务目标?研究表明,"领先"组织在关键领域表现优异,包括:

将安全策略与关键业务资产保持一致。"领先"组织了解其网络上的所有资产,因此他们更可能了解威胁和漏洞的业务影响。

这种可见性和知识级别可帮助"领先"组织加强对关键业务资产的保护,并在威胁检测时确定事件响应操作的优先级(参见图 5)。

"领先"组织遵循将威胁情报与关键业务资产联系起来的类似策略,将威胁情报分析重点放在网络对手、事件以及针对组织、行业、位置等的定向攻击中使用的战术、技术和程序 (TSP)。

然后,将这种威胁情报分析与关键应用程序的访问模式、向主管分发文件或用于在网络钓鱼活动中模拟组织网站的"排错"域等内容仔细进行比较。

"领先"组织也可能在威胁狩猎过程中使用威胁情报分析进行回顾性调查。通过这种方式,"领先"组织可以更有效地识别 NIST CSF 中所述的风险。

整合和处理安全事件数据。超过半数的“领先”组织(56%)声称其安全事件数据(来自网络、端点、基于云的工作负载、威胁情报源等)已“得到广泛整合”(见图6)。

这意味着他们正在使用通用数据管道和数据管理基础设施(即日志管理、SIEM、数据湖等)以一致的方式收集和处理实时和历史安全监测数据。

然后,可以将整合的安全数据提供给各种安全分析引擎,用于威胁检测和网络风险监控。

通过整合安全事件数据,"领先"组织往往会生成比"跟随"或"新兴"组织每月更多的安全事件和报警。然而,"领先"组织并没有被每月的报警所淹没。

事实上,数据正好相反。超40%的"领先"组织声称其安全团队每月忽略不到 10% 的安全事件/报警(参见图 7)。

数据表明,即使是"领先"组织也并非完美无缺。尽管他们关注细节,但他们无法对所有安全事件/报警进行评估、调查或确定优先级。

但是,每月有40%的“领先”组织可以成功解决大约90%的安全事件/报警。除了整合其安全数据外,“领先”的组织可能还开发了事件/警报处理的脚本,将工作委托给多层SOC分析人员。

“领先的”组织也有可能使用流程自动化,将平淡无奇的任务分配给机器,而不是人员。

最后,“领先”的组织可能将安全事件/警报管理的流程精心设计为直接与缓解措施的安全控制联系在一起(例如,隔离系统、更改规则、向IT操作发送电子邮件等)。

虽然“领先”的组织似乎在安全事件管理方面更胜一筹,但这是否真的可以改善威胁防范能力?数据表明确实如此。

在过去的12个月中,有39%的“领先”组织没有因内部威胁而遭受数据丢失,而22%“跟随”组织和18%的“新兴”组织减少了数据丢失。

同样,有33%的“领先”组织没有经历过因网络攻击而导致无法访问数据或数据中断的安全事件(相比之下,“跟随”组织中有20%,“新兴”组织中有15%),并且33%的“领先”组织没有因外部攻击而遭受数据丢失(相比之下,“跟随”组织为23%和“新兴”组织为18%,见图8)。

虽然这些数据显示了"领先"组织的出色表现,但值得再次指出的是,大多数组织仍然受到图 8 中描述的所有三种类型的威胁的影响。

事实上,三分之二的"领先"组织经历过安全事件,导致无法访问数据或因网络攻击导致数据中断,对于外部攻击导致数据丢失的事件也是如此。

一个坚定而复杂的网络对手通常可以找出方法,穿透即使是最有准备的组织的防守。

"领先"组织了解这一点,并在系统遭到破坏后继续表现出色。事实上,"领先"组织有很大的优势,因为 82% 的组织在事件响应方面非常有效,84% 的组织在恢复时非常有效(参见图 9)。

ESG 认为,强劲的恢复能力与多年的业务连续性/灾难恢复 (BC/DR) 经验有关,这些经验可能通过多年的灾难响应经验(即 9/11、飓风等)和合规中得到磨练。鉴于 2020 年安全事件对业务连续性提出了挑战,这些知识尤为重要。

关于事件响应 (IR),ESG 认为"领先"组织之所以优秀,有几个原因:

IR计划有详细的记录和测试。"领先"组织从头到尾记录 IR 计划,从而处理所有详细信息。一旦安全事件升级,IR 计划就会启动,所有参与者都知道该怎么做。

为了获得实际经验,"领先"组织也倾向于通过桌面推演、攻防演习等来测试他们的IR计划。这可以帮助他们暴露和微调薄弱环节或解决意外问题。

"领先"组织寻求帮助。制定和执行IR计划需要经验和深奥技能,因此"领先"组织通常会向具有IR专业知识的服务提供商寻求帮助。

IR程序跨越技术范畴。"领先"组织定义整个组织的角色和职责。业务领导者参与应急计划,法律团队有与合规审核员合作的计划,公共关系 (PR) 人员准备与媒体交谈,并且组织有一个正式的沟通计划,确保所有内部和外部利益相关者都得到适当的信息。

IR 规划、测试和持续改进可帮助组织减少安全事件的影响并加快业务运营恢复。例如,研究表明,"领先"组织在处理 IR 的公关和品牌声誉方面非常有效(参见图 10)。

这强化了这样一个事实,即 IR 被视为业务,而不仅仅是整个团队具有明确角色和责任(即针对高管、法律、人力资源、公关等)的技术流程,并遵循定义的行动手册、测试和实践计划等。

网络安全可能很困难,因为它需要持续改进和高级技能。"领先"组织认识到,迎接挑战和目标可能超出了内部工作人员的能力。

因此,有94%的人在网络安全的某些方面使用托管服务提供商。通常,服务用于减少内部人员工作或在需要尖端经验和技能的领域提供帮助(参见图 11)。

通过这种方式,服务提供商通过扩展员工的技能和能力,成为“领先”组织的力量倍增器。

5、成功的关键

强大的网络安全需要不断的培训、流程改进和持续投资。为了强化此闭环流程,NIST CSF 使用四层分类法(部分、风险通报、可重复、可调整),CIO 可用于评估其当前和目标配置文件 -他们所处的位置和想要的位置。

例如,成熟的组织可能具有安全活动的可重复过程,如漏洞管理。这将是他们根据 NIST CSF 的当前配置文件。同一组织可能通过使用机器学习算法持续将软件漏洞与已知的漏洞和攻击模式进行比较,从而寻求改进其漏洞管理程序。此目标配置文件将与 NIST CSF"可适应"层对齐。

数据显示,"领先"组织的行为体现了对持续网络安全改进的承诺。例如,"领先"组织在过去两年中在网络安全状况方面取得了巨大进步(参见图 12)。它它们很可能沿着期限连续性发展,从而在所有五个NIST CSF功能中均得到了改进。

"领先"组织倾向于确定需要改进的领域,例如获得更详细的可见性、主动发现/缓解网络风险以及查找与服务提供商合作的领域(参见图 13)。因此,他们愿意更积极地增加网络安全预算(参见图 14)。

此数据可能说明 NIST CSF 功能的进展。例如,提高对组织 IT 和数据资产状态的可见性,可能代表从可重复层到适应性层的演变。

可重复层由正式、有文档记录和采用的风险管理流程突出显示。然后,通过添加强大的数据分析来提供可用于微调控件、缓解操作和策略的见解,从而增强了可重复层。"领先"组织可能会增加数据收集、处理和分析,以追求此类进步。

"领先"组织还了解攻击面以及随着数字转型应用、物联网设备采用和在家工作 (WHF) 计划的变化而变化。如前所述,"领先"组织的民间社会组织也认识到它们的长处和短处。

"领先"组织也了解他们在 NIST CSF 框架上的立场,即其当前和目标配置文件。

有了这些知识和对其网络安全要求的彻底评估,"领先"组织更有可能在网络安全方面进行战略投资,而不是战术性投资。

换句话说,网络安全投资旨在弥补现有差距或支持新的业务计划。此外,"领导"组织可能已经发展到 NIST CSF 的"适应性"层,根据经验教训和数据分析更改了政策和控制措施。

这或许可以解释为什么 100% 的"领先"组织强烈同意或同意,在时间上的投资回报率及其安全组织和控制措施的投资非常积极(参见图 15)。

6、结论

自 2014 年推出以来,NIST CSF 已广受欢迎,现在用作全球标准,帮助组织识别和缓解网络风险,同时为网络安全计划改进提供路线图。此外,NIST CSF 具有普遍价值,因为它专为各种规模的组织而设计。

在评估本研究项目的数据时,ESG 认为,NIST CSF 的所有五个功能仍有工作要做。特别是以下五点:

组织必须识别不断变化的攻击面的风险。随着组织采用 SaaS 应用程序、将工作负载迁移到公有云以及采用新的数字化转型应用程序,IT 正在发生变化。

随着5G的普及,未来的变化速度只会加快。这意味着风险识别和缓解必须成为基于对 IT 环境和威胁情报的实时了解的动态流程。为此组织必须采取积极的战略,以达到 NIST CSF 的"适应性"层。

事件预防必须基于反馈循环。虽然始终需要防病毒 (AV) 签名和防火墙规则等预防技术,但静态防御必须支持动态控制,这些动态控制根据环境因素(如网络流量模式、用户位置和不断变化的威胁参与者市场)进行微调。

威胁检测必须与业务上下文和事件合并保持一致。监视所有流量、敏感数据访问和用户行为超出了大多数网络安全团队的“能力”范围。

为了应对这一现实,组织必须将精力集中在事件整合上,尤其是对于业务关键型个人、应用程序和数据。本报告提供的数据显示,"领先"组织已经在推行这些类型的战略。

事件响应规划确实很重要。IR 需要整个组织的系统方法,这种方法可能难以创建和管理。解决这些困难的唯一方法是在整个组织内进行协作、沟通和规划。成功的 IR 团队包括活跃的 CEO 和其他部门主管,他们愿意投入工作,测试他们的计划,并努力持续改进。

恢复必须包含新方案。如前所述,恢复计划通常根据多年的业务连续性和灾难恢复 (BC/DR) 要求而成熟。这是一个良好的开端,但各组织最近了解到,它们必须不断拓宽视野,以考虑全球大流行等新类型情景中的恢复行动。

网络安全是一个永久的旅程,没有目的地,因此,组织在五个 NIST CSF 层中有更多的工作要做也就不足为奇了,所以“领先”组织选择与服务提供商合作,持续进化。

最后,研究还表明,强大的安全与业务成就之间存在关系。显然,安全不会直接使业务成功,但本报告中提供的数据显示,成功的组织愿意在安全方面进行投资,并在网络安全与业务使命和目标之间架起一座桥梁。基于此研究项目,这种对强大安全的承诺可以带来商业利益。

本文翻译自《安全成熟度与业务支撑的关系报告》,关注“互联网安全内参”公众号并后台私信,即可索取报告全文。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。