實現(xiàn)數(shù)字自由——克服網絡安全挑戰(zhàn),助力企業(yè)實現(xiàn)自己的數(shù)字夢想

數(shù)字革命正當時。它一直被稱為物聯(lián)網（IoT），甚至萬物網。應用于工業(yè)領域，則稱之為工業(yè)物聯(lián)網（IIoT）、工業(yè)4.0和數(shù)字化企業(yè)。無論名稱為何，據(jù)麥肯錫全球研究所（McKinsey Global Institute）預測，到2025年，可能會釋放11萬億美元的經濟價值。在這一過程中，眾多行業(yè)將會發(fā)生顛覆性變革，競爭力將被重新定義，就業(yè)機會重新洗牌，日常生活將發(fā)生奇妙的變化。

本博客探討有關實現(xiàn)數(shù)字自由的話題– 克服網絡安全挑戰(zhàn)，助力各組織追求實現(xiàn)自己的數(shù)字夢想。這是一個涉及眾多方面的重要話題。我的目標是幫助決策者理清頭緒，提高他們組織的網絡安全水平，助他們走向數(shù)字化。

“燃燒的平臺”– 生存之道。作為一名商界領袖，如果還沒有人問您如何“走向數(shù)字化”，那么很快就會被問到。目前正在發(fā)生數(shù)字化轉型，具體的示例不斷涌現(xiàn)：

享經濟 – Uber、Lyft、AirBnB；四次工業(yè)革命 – 工業(yè)0、數(shù)字化制造；互聯(lián)自動駕駛汽車 – Intelligent Mobility (Nissan)、Tesla；智能電網 – 技術、設備和控制系統(tǒng)通信以及協(xié)同合作；醫(yī)療保健互聯(lián)服務 – 從臨床轉向家庭護理數(shù)字平臺 – Amazon、Apple、Facebook、Google、Netflix

如果您是侏羅紀公園迷，就可以將其聯(lián)想為每家企業(yè)和組織的霸王龍BOOM, BOOM, BOOM時刻。哦，有大事要發(fā)生。

您必須實現(xiàn)數(shù)字化才能生存。實現(xiàn)數(shù)字化需要前所未有的數(shù)據(jù)生成能力、連接性和設備/系統(tǒng)自治水平。在這種環(huán)境下，網絡安全是成功的關鍵。

網絡安全終局 – 彈性取勝。最終是要提高彈性。這意味著順利渡過網絡事件，并盡快恢復正常運作。這是個很棒的概念，它以結果為導向。方法和策略需要根據(jù)它們對彈性的影響來進行評估。NIST框架為此提供了一個很好的模型：識別、保護、檢測、響應和恢復。后續(xù)文章將會詳細介紹。

至關重要的網絡安全 – 網絡經濟。基于投資回報率制定網絡安全決策涉及網絡經濟的概念。我們來運用這一概念。

如果彈性是目標，那么應優(yōu)先考慮時間和金錢投入，以對彈性產生最大的影響。擁有杰出成員的AFCEA國際網絡委員會發(fā)表的兩份報告非常清楚地闡述了這一點。2013年，AFCEA發(fā)表了The Economics of Cybersecurity: A Practical Framework for Cybersecurity Investment（網絡安全經濟：網絡安全投資的實用框架）。2014年，AFCEA發(fā)表了The Economics of Cybersecurity Part II: Extending the Cybersecurity Framework（網絡安全經濟第二部分：擴展網絡安全框架）。我翻出這些過去的報告，是因為這些建議迄今為止最實用。

在網絡經濟中，存在兩個主要考慮因素：

1)網絡攻擊的復雜程度

2) 所支持任務和/或正在存儲或傳輸數(shù)據(jù)的關鍵程度。

利用網絡經濟，主要投資以下方面：

應對大多數(shù)攻擊：很大比例的成功網絡攻擊并“不復雜”。其中包括釣魚攻擊，即員工收到看似合法（實際不合法）的電子郵件，點擊附件，不知不覺地發(fā)動了攻擊。因此，要防范這些攻擊，這是很容易關注到的一個環(huán)節(jié)。很多產品和服務都提供安全意識培訓，并衡量組織對這種攻擊的“天真無知”程度。引用AFCEA報告，

“原則#1：實施全面的安全控制基準，以應對中低水平的安全威脅至關重要，而且在經濟上是有利的?！边@第一步走得不錯，但是并沒有解決我們的實際目標 — 彈性。

保護重要的東西：要實現(xiàn)彈性目標，必須將第一筆投資用于保護關鍵任務功能；諸如人類生命、國家機密、關鍵基礎設施、知識產權和重要數(shù)據(jù)。其中任何一項遭受喪失或損害都將帶來災難性的后果?？紤]到這些目標的價值，您的投資應該同時應對復雜和簡單的攻擊。

“原則#2：關注安全控制范圍之外的安全投資，以應對組織中最關鍵的功能和數(shù)據(jù)面臨的更復雜的攻擊?！? AFCEA報告。

彈性 –“保護面”：對任何組織而言，“威脅面”都很大。重點關注威脅面后，我們下意識就會知道“它們會進入”，而事實上，它們已經在網絡中。隨它去，這聽起來很令人震驚。改變心態(tài)轉向“保護面”非常重要。我們關注的是彈性，不是零漏洞。（我對所有完美主義者表示歉意。）因此，投資于先進的安全控制系統(tǒng)和方法，以保護組織的重要職能和資產 - 保護面就小很多。

“原則#3：對于復雜的攻擊，組織應承擔不保護對組織任務影響最小且成本超過效益的職能和數(shù)據(jù)的安全風險?！? AFCEA報告。

這個網絡投資是投資于處理大多數(shù)簡單攻擊的安全控制系統(tǒng)，并應用先進的控制手段和方法來保護“最重要的資產”。

而市場反饋是：數(shù)字自由是當今的一個挑戰(zhàn)。德勤（Deloitte）最近對制造業(yè)高管進行的一項調查發(fā)現(xiàn)，超過一半的人認為工業(yè)4.0（數(shù)字化制造）對他們的業(yè)務具有戰(zhàn)略意義。在同一項調查中，網絡安全問題被認為是阻礙采用數(shù)字化制造的主要因素。如果能夠改進網絡安全，客戶就能加速采用。