數(shù)字自由:至關(guān)重要的網(wǎng)絡(luò)安全

數(shù)字革命正當(dāng)時(shí)。它一直被稱為物聯(lián)網(wǎng)（IoT），甚至萬物網(wǎng)。應(yīng)用于工業(yè)領(lǐng)域，則稱之為工業(yè)物聯(lián)網(wǎng)（IIoT）、工業(yè)4.0和數(shù)字化企業(yè)。無論名稱為何，據(jù)預(yù)測(cè)，到2025年，可能會(huì)釋放11萬億美元的經(jīng)濟(jì)價(jià)值。在這一過程中，眾多行業(yè)將會(huì)發(fā)生顛覆性變革，競(jìng)爭(zhēng)力將被重新定義，就業(yè)機(jī)會(huì)重新洗牌，日常生活將發(fā)生奇妙的變化。

本博客探討有關(guān)實(shí)現(xiàn)數(shù)字自由的話題– 克服網(wǎng)絡(luò)安全挑戰(zhàn)，助力各組織追求實(shí)現(xiàn)自己的數(shù)字夢(mèng)想。這是一個(gè)涉及眾多方面的重要話題。我的目標(biāo)是幫助決策者理清頭緒，提高他們組織的網(wǎng)絡(luò)安全水平，助他們走向數(shù)字化。

“燃燒的平臺(tái)”– 生存之道。作為一名商界領(lǐng)袖，如果還沒有人問您如何“走向數(shù)字化”，那么很快就會(huì)被問到。目前正在發(fā)生數(shù)字化轉(zhuǎn)型，具體的示例不斷涌現(xiàn)：

享經(jīng)濟(jì) – Uber、Lyft、AirBnB；四次工業(yè)革命 – 工業(yè)0、數(shù)字化制造；互聯(lián)自動(dòng)駕駛汽車 – Intelligent Mobility (Nissan)、Tesla；智能電網(wǎng) – 技術(shù)、設(shè)備和控制系統(tǒng)通信以及協(xié)同合作；醫(yī)療保健互聯(lián)服務(wù) – 從臨床轉(zhuǎn)向家庭護(hù)理數(shù)字平臺(tái) – Amazon、Apple、Facebook、Google、Netflix

如果您是侏羅紀(jì)公園迷，就可以將其聯(lián)想為每家企業(yè)和組織的霸王龍BOOM, BOOM, BOOM時(shí)刻。哦，有大事要發(fā)生。

您必須實(shí)現(xiàn)數(shù)字化才能生存。實(shí)現(xiàn)數(shù)字化需要前所未有的數(shù)據(jù)生成能力、連接性和設(shè)備/系統(tǒng)自治水平。在這種環(huán)境下，網(wǎng)絡(luò)安全是成功的關(guān)鍵。

網(wǎng)絡(luò)安全終局 – 彈性取勝。最終是要提高彈性。這意味著順利渡過網(wǎng)絡(luò)事件，并盡快恢復(fù)正常運(yùn)作。這是個(gè)很棒的概念，它以結(jié)果為導(dǎo)向。方法和策略需要根據(jù)它們對(duì)彈性的影響來進(jìn)行評(píng)估。NIST框架為此提供了一個(gè)很好的模型：識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。后續(xù)文章將會(huì)詳細(xì)介紹。

至關(guān)重要的網(wǎng)絡(luò)安全 – 網(wǎng)絡(luò)經(jīng)濟(jì)?；谕顿Y回報(bào)率制定網(wǎng)絡(luò)安全決策涉及網(wǎng)絡(luò)經(jīng)濟(jì)的概念。我們來運(yùn)用這一概念。

如果彈性是目標(biāo)，那么應(yīng)優(yōu)先考慮時(shí)間和金錢投入，以對(duì)彈性產(chǎn)生最大的影響。擁有杰出成員的AFCEA國際網(wǎng)絡(luò)委員會(huì)發(fā)表的兩份報(bào)告非常清楚地闡述了這一點(diǎn)。2013年，AFCEA發(fā)表了The Economics of Cybersecurity: A Practical Framework for Cybersecurity Investment（網(wǎng)絡(luò)安全經(jīng)濟(jì)：網(wǎng)絡(luò)安全投資的實(shí)用框架）。2014年，AFCEA發(fā)表了The Economics of Cybersecurity Part II: Extending the Cybersecurity Framework（網(wǎng)絡(luò)安全經(jīng)濟(jì)第二部分：擴(kuò)展網(wǎng)絡(luò)安全框架）。我翻出這些過去的報(bào)告，是因?yàn)檫@些建議迄今為止最實(shí)用。

在網(wǎng)絡(luò)經(jīng)濟(jì)中，存在兩個(gè)主要考慮因素：

1)網(wǎng)絡(luò)攻擊的復(fù)雜程度

2) 所支持任務(wù)和/或正在存儲(chǔ)或傳輸數(shù)據(jù)的關(guān)鍵程度。

利用網(wǎng)絡(luò)經(jīng)濟(jì)，主要投資以下方面：

應(yīng)對(duì)大多數(shù)攻擊：很大比例的成功網(wǎng)絡(luò)攻擊并“不復(fù)雜”。其中包括釣魚攻擊，即員工收到看似合法（實(shí)際不合法）的電子郵件，點(diǎn)擊附件，不知不覺地發(fā)動(dòng)了攻擊。因此，要防范這些攻擊，這是很容易關(guān)注到的一個(gè)環(huán)節(jié)。很多產(chǎn)品和服務(wù)都提供安全意識(shí)培訓(xùn)，并衡量組織對(duì)這種攻擊的“天真無知”程度。引用AFCEA報(bào)告，

“原則#1：實(shí)施全面的安全控制基準(zhǔn)，以應(yīng)對(duì)中低水平的安全威脅至關(guān)重要，而且在經(jīng)濟(jì)上是有利的?！边@第一步走得不錯(cuò)，但是并沒有解決我們的實(shí)際目標(biāo) — 彈性。

保護(hù)重要的東西：要實(shí)現(xiàn)彈性目標(biāo)，必須將第一筆投資用于保護(hù)關(guān)鍵任務(wù)功能；諸如人類生命、國家機(jī)密、關(guān)鍵基礎(chǔ)設(shè)施、知識(shí)產(chǎn)權(quán)和重要數(shù)據(jù)。其中任何一項(xiàng)遭受喪失或損害都將帶來災(zāi)難性的后果。考慮到這些目標(biāo)的價(jià)值，您的投資應(yīng)該同時(shí)應(yīng)對(duì)復(fù)雜和簡(jiǎn)單的攻擊。

“原則#2：關(guān)注安全控制范圍之外的安全投資，以應(yīng)對(duì)組織中最關(guān)鍵的功能和數(shù)據(jù)面臨的更復(fù)雜的攻擊?！? AFCEA報(bào)告。

彈性 –“保護(hù)面”：對(duì)任何組織而言，“威脅面”都很大。重點(diǎn)關(guān)注威脅面后，我們下意識(shí)就會(huì)知道“它們會(huì)進(jìn)入”，而事實(shí)上，它們已經(jīng)在網(wǎng)絡(luò)中。隨它去，這聽起來很令人震驚。改變心態(tài)轉(zhuǎn)向“保護(hù)面”非常重要。我們關(guān)注的是彈性，不是零漏洞。（我對(duì)所有完美主義者表示歉意。）因此，投資于先進(jìn)的安全控制系統(tǒng)和方法，以保護(hù)組織的重要職能和資產(chǎn) - 保護(hù)面就小很多。

“原則#3：對(duì)于復(fù)雜的攻擊，組織應(yīng)承擔(dān)不保護(hù)對(duì)組織任務(wù)影響最小且成本超過效益的職能和數(shù)據(jù)的安全風(fēng)險(xiǎn)?！? AFCEA報(bào)告。

這個(gè)網(wǎng)絡(luò)投資是投資于處理大多數(shù)簡(jiǎn)單攻擊的安全控制系統(tǒng)，并應(yīng)用先進(jìn)的控制手段和方法來保護(hù)“最重要的資產(chǎn)”。

而市場(chǎng)反饋是：數(shù)字自由是當(dāng)今的一個(gè)挑戰(zhàn)。德勤（Deloitte）最近對(duì)制造業(yè)高管進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn)，超過一半的人認(rèn)為工業(yè)4.0（數(shù)字化制造）對(duì)他們的業(yè)務(wù)具有戰(zhàn)略意義。在同一項(xiàng)調(diào)查中，網(wǎng)絡(luò)安全問題被認(rèn)為是阻礙采用數(shù)字化制造的主要因素。如果能夠改進(jìn)網(wǎng)絡(luò)安全，客戶就能加速采用。