最近几年,“网络弹性”(Cyber Resilience,也有的人翻译为网络韧性)在国际上逐渐成为一个热词,尽管国内还未大流行。很多调研机构(譬如 Ponemon)和组织(譬如 NIST,MITRE)以及美国的 DHS 等等机构其实研究网络弹性已经有些年头了。 在 2020 年初,埃森哲发布了第三次网络弹性年度报告,从网络弹性的视角对全球企业和组织进行了一番调研,并总结了出其中领先(前 17%)的企业和组织的成功经验供其它企业和组织参考和对标。
首先,埃森哲对网络弹性给出了自己的定义: 什么是网络弹性? 定义 1:【埃森哲】具有网络弹性的业务汇集了网络安全,业务连续性和企业弹性的功能。它采用灵活的安全策略来快速响应威胁,从而最大限度地减少破坏并在受到攻击时继续运行。 可以看出,弹性 resilence 这个词还是很形象的,它反映了网络受到攻击、发生形变后恢复其原有状态的能力。
作为参考,我们可以再看看其它机构给网络弹性的定义: 定义 2:【MITRE】网络弹性是指预测、承受、恢复和适应网络资源面对不利条件,承受压力、攻击或者损害的能力。 MITRE 研究网络弹性颇有历史,甚至还还给出了一个网络弹性工程框架,涵盖 4 个目标(预测、承受、恢复和演进)以及衍生出来的主题和技术集合。
定义 3:【NIST SP800-53 修订版 4】信息系统弹性包含两种持续的能力:1)在面对不利条件、压力,甚至是退化或衰弱的状态下持续运行、维持必要操作功能的能力;2)在达成任务所能容忍的时间内恢复到有效操作状态的能力。
定义 4:【NIST SP800-160 第二卷】网络弹性(cyber resiliency)是指使用网络资源的系统,或者被网络资源使能的系统在面对不利条件,承受压力、攻击或者损害的时候所展现出来的预测、承受、恢复和适应能力。 The ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources.【注】NIST 认为 resilience 和 resiliency 有所不同。 NIST 对网络弹性的理解基本承袭了 MITRE 的观点,同时也是 DHS/CISA 实施网络弹性评审(CRR)的理论基础。NIST 基于网络弹性的理念,结合系统安全工程的理论,提出了网络弹性工程的理论。该理论其实就是 MITRE 的网络弹性工程框架的扩展版。
上图展示了 NIST 认为的降低网络威胁易感性的三个维度,弹性与加固、止损并列。也就是说,弹性不等于加固和止损。
言归正传。回到埃森哲的这个调研报告。 通过对来自全球 16 个国家、涵盖 24 个行业的大型企业和组织的 4644 位高管进行调研,埃森哲给出了 5 点洞察。 1)对创新技术的投入增加。对创新技术投入占 IT 预算比重超过 20% 的领先企业数量比过去三年增加了一倍(从 41% 到 82%),即更多的领先企业注重引进创新技术。 2)安全的基本面向好。企业和组织遭受的直接攻击下降了 11%,安全泄露下降了 27%。 3)进步掩盖了隐藏的威胁。利用脆弱的供应链发起的非直接攻击占安全泄露的 40%。如果计入这部分数据,实际上企业和组织在 2019 年遭受的攻击上升了 20%。 4)安全支出的增长恐难持续。更多要考虑提升安全的 ROI,降低应对网络威胁的单位投入。 5)安全投资失效情况愈发凸显。开支在增长,收效却不佳。
接着,报告总结了受访者中的领先者,把他们的调研结果进行了分析,立为所有企业和组织的标杆。调研显示,领先的企业和组织在 4 个方面表现出色:阻止高级攻击的数量、发现泄露的速度、修复泄露的速度、泄露影响面的遏制能力。 进一步分析这 4 个方面表现优秀的原因,又体现在对 6 个维度的技术投入上。
如上图所示,每个维度都将 SOAR 技术列为前三项选择。也就是说,领先的企业和组织在创新性技术投入这块特别重视 SOAR,将其视为提升网络弹性的关键技术和优先技术。
对领先的企业和组织进行更深入的分析,报告给出了三点成功经验供所有企业和组织参考: 1)对提升安全运营速度的的技术进行投资; 2)更注重创新技术投入之后的规模化、培训和协作,即更多考虑如何将创新技术的价值发挥出来,而非仅仅投资新技术本身; 3)持续性。持续的投入,持续的改进,基础打得更牢,而不是构建空中楼阁。
在提升安全运营速度这块,无外乎就是更快的检测、更快的响应,以及更短的修复时间。从这三个方面来看,SOAR 都是优选的创新技术,如下图所示:
这就是说,SOAR 是提升安全运营效率的倍增技术。
能看到这些个论调,笔者倍感兴奋。因为笔者当前从事 SOAR 产品开发也是看到了国内在实战化安全运营领域的实际需求。 当然,SOAR 是创新技术、是新技术,不属于基础性安全技术。对于大部分企业和组织而言,对创新技术的投入是一部分(正如本调研报告所重点关注的那样),但也不要忘了先打好安全基础。就像我们看 Gartner10 大项目,他们都是建立在一定的安全基础之上的。