成熟度評估正在改變網絡安全建設的游戲規則
責編:gltian |2024-03-22 11:19:01隨著數字化轉型的深入發展,加強網絡安全能力建設已經成為廣大企業的普遍共識。然而,大量的網絡安全投資并不等于真正的安全性。在實際工作中,很多企業安全建設的重點仍舊是由合規驅動的產品購買,在體系化和可持續性方面存在較大不足,對實際具備的安全能力缺乏了解。在此背景下構建的安全防護體系建設,在面對不斷演進的網絡攻擊時,往往會表現的不堪一擊。
為了更好地應對網絡安全發展挑戰,企業組織需要將網絡安全的建設重點轉向體系化的真實安全能力構建,并通過持續的網絡安全成熟度評估,識別和發現能力中的差距,進而針對性地強化問題整改,補齊防護短板。
網絡安全成熟度評估的必要性
網絡安全成熟度是一個專用術語,指的是一個組織應對網絡攻擊風險的能力和準備程度。而網絡安全成熟度評估則是指一套系統性的能力缺口分析和風險評估方法,通過利用網絡安全最佳實踐和公認的網絡安全框架來發現現有安全防護計劃中存在的問題。網絡安全成熟度評估的目標是為組織提供當前安全威脅態勢的完整視圖,對現有安全計劃的合理性和有效性進行客觀審查,以幫助組織制定更完善的戰術和戰略規劃,進一步加強自身的安全保障工作。
雖然目前有一種觀點認為,網絡安全成熟度評估對中大型企業組織的價值更加明顯,但研究數據表明,定期實施網絡安全成熟度評估的組織在安全漏洞和相關成本方面顯著減少,平均數據泄露成本降低了67%。因此,通過完善的成熟度評估可以使任何規模的組織都能獲益:
??識別安全缺口。組織將獲得有關公司網絡安全實踐及其在防止違規方面的有效性的重要見解。
??增強安全態勢。學到的信息可以用來改進當前的網絡安全措施,或者指導組織在哪里需要添加新的網絡安全措施。
??獲取行業情報。評估結果可以與類似的組織進行比較,以幫助確定安全趨勢。
??滿足合規性。提供對安全和合規缺口的洞察,允許組織處理這些問題并確保遵守相關需求。
??節省成本和優化資源分配。識別冗余或不必要的安全措施和技術,提高安全投資的有效性;并將安全投資與已識別的漏洞和風險結合起來,確保將資源優先分配到最需要關注的領域。
??促進溝通。通過提供評估文檔,改善員工、IT人員和高層管理人員之間的溝通。
網絡安全成熟度等級劃分
通過網絡安全成熟度評估,企業可以了解自身當前的真實能力水平,以及未來建設時應該重點采取的措施。網絡安全成熟度通常可以劃分為以下5個等級:
1?初始級(Initial)
網絡安全成熟度處于初始級別的組織往往缺乏正式的網絡安全政策、有效的網絡安全治理,或者在多個安全領域得分很低。在當今的網絡安全環境中,對于任何擁有和管理IT資產的組織,以及對股東、投資者、監管機構或人民負有任何責任的組織來說,初始級別的得分都是不可接受的。
完善建議:
??建立強有力的首席信息安全官(或類似職位)計劃;
??制定或更新統一的網絡安全管理章程;
??建立公司層面的網絡安全治理委員會;
??增加安全政策和安全基礎設施開發職位的人員。
2?管治級(Managed)
處于管治級的組織通常擁有了一個有效的安全計劃,包含一些有效運行的安全流程和基礎設施元素,以及正在開發的多個安全計劃。但它們在網絡分區/邊界等基本領域往往較弱,在整體身份和訪問管理(IAM)方面得分相對較低。在安全流程或技術中很難看到良好的問責制和自動化水平,在開發階段也極少運行高級漏洞管理、數據丟失預防(DLP)或安全信息和事件管理(SIEM)技術。
完善建議:
??及時修復評估過程中發現的安全缺口;
??實現統一的IT資產管理和身份安全治理;
??部署特權訪問管理(PAM)方案。
3?定義級(Defined)
處于定義級的組織已經建立了一套全面的安全流程、策略和文檔化的管控制度。然而,它們通常仍然過于依賴人的工作。諸如變更管理、審計和供應鏈安全等流程仍然需要人工來完成。此外,組織還需要提高所有員工的安全知識和意識,以及提高安全監視、分析和特權訪問管理控制的復雜性。
完善建議:
??通過實施審計、變更管理、高級安全監控和度量來加強驗證和問責制;
??建立強有力的風險管理體系;
??實現全面的監控和審查,明確組織的關鍵績效指標(KPI)和關鍵風險指標(KRI)。
4?量化管理級(Quantitatively Managed)
這個級別的組織已經定義并構建了一套全面的人員、過程和技術控制。然而,面對威脅、監管、技術和業務環境的不斷變化,它們仍然依賴于手動流程,并面臨著維持安全計劃的挑戰。
完善建議:
??專注于提高網絡安全管控流程的自動化水平;
??擴展漏洞管理和安全監控等功能,以覆蓋各種類型的云環境;
??實施訪問管理,安全監控和高級DLP。
5?優化級(Optimized)
在此成熟度級別上,組織的安全管控流程幾乎完美。它們將組織范圍內的安全流程和技術基礎設施的標準提高到了相當高的水平,包括問責制、指標和自動化。但需要澄清的是,并非所有這個級別的組織都會專注于持續改進,并在保障安全性上投入更多的資金和資源。
完善建議:
??持續研究面向未來的新技術和新威脅;
??保障安全能力的可持續性和適應性;
??建立支持安全和風險管理相關的組織文化。
網絡安全成熟度評估實踐
?為了有效地完成網絡安全成熟度評估,并將其納入組織的整體網絡安全建設戰略,建議組織遵循以下4個評估步驟:
1?確定評估的范圍
第一步,組織需要定義評估的范圍。范圍將為漏洞測試提供指導方針和邊界。本部分的目標是確定組織的風險概況和基于風險的成熟度目標。首席信息安全官(CISO)應該負責這一步驟,并可以通過以下方式定義范圍:
??評估業務不同方面的風險概況;
??評估內部和外部威脅的嚴重程度;
??根據組織的風險偏好設定風險目標;
??設定并審查與網絡戰略相關的關鍵績效指標;
??建立內部風險控制措施和所有權結構;
2?確定合規性級別
評估必須以行業基準的方式進行。評估的結果可以與合規性需求保持一致,并且可以找到進一步的優先級缺口。本部分的目標是確定組織的最高風險缺口,并將當前解決方案與行業基準進行比較。運營部門應該負責這一步驟,并可以通過以下方式定義合規性級別:
??制定風險緩解措施和流程;
??測量控制彈性和數據所有權的成本;
??確定控制和風險之間的關系;
??根據KPI衡量結果并報告績效;
3?制定風險緩解路線圖
一旦定義了范圍并在操作上達成一致,組織就可以制定路線圖來緩解評估中發現的風險。本部分的目標是定義一個風險優先的投資路線圖。同樣地,首席信息安全官應該掌握這一步驟,并可以通過以下方式定義路線圖:
??確認成熟度目標并在需要時進行調整;
??根據風險目標審查擁有數據的成本;
??優先考慮補救和高影響差距;
??合并度量標準并使用報告來調整方法;
4?定義組織網絡安全工作的優先級
有了清晰而精心規劃的路線圖,首席信息安全官就可以向董事會提出進一步投資的業務案例。本節的目標是定義組織的安全優先級,并獲得網絡安全投資支持。組織管理層應該充分參與這一步驟,并可以通過以下方式確定優先級:
??確認企業的組織風險偏好;
??根據業務愿景批準優先事項;
??使用相關的指標和報告來加強決策。
網絡安全成熟度評估框架
管理和實施一個強大的網絡安全成熟度評估計劃是非常復雜的過程。而一些行業公認的網絡安全框架,可以通過標準化、流程驅動的方法幫助組織應對這一挑戰。當企業組織開展網絡安全成熟度評估時,可以根據組織的建設目標、行業特性和成熟度級別,選擇相應的網絡安全控制框架作為評估參考依據。
NIST框架
NIST網絡安全成熟度評估框架是由美國國家標準與技術研究院(NIST)開發的一個靈活、全面的框架。該框架由五個核心功能組成——識別、保護、檢測、響應和恢復。由于固有的靈活性,它被應用于IT,工業控制系統(ICS),網絡物理系統(CPS),甚至物聯網連接設備。
ISO / IEC框架
ISO系列標準是目前國際公認的成熟度評估標準,適用于各種規模和類型的組織。對于在歐盟或國際上運營的組織,ISO成熟度評估框架可以是確保全面風險評估和降低的理想選擇。但是與NIST安全框架所不同的是,參考ISO框架需要承擔一定的評估成本。除了網絡安全成熟度評估外,它還包含更加廣泛的標準來管理隱私性、機密性和技術等方面。
COBIT框架
信息相關技術控制目標(COBIT)框架最初由ISACA于1996年開發,用于組織的IT管理和治理。與NIST框架和ISO / IEC框架相比,COBIT成熟度評估框架是一個更簡單的選擇。特別是對于規模較小的企業組織,COBIT框架更易于訪問和實現。
CIS框架
CIS框架也稱為CIS 20,是由國際互聯網安全中心開發的。它包括20條主要指導方針,以確保數字彈性。CIS 20通過實施最佳實踐技術措施,直接幫助組織改善其網絡安全態勢。與上述的其他框架不同,CIS 20提供了直接的、可操作的應用指導信息。因此,它目前成為了許多組織開展網絡安全建設時的熱門選擇。CIS框架還提供了一個自我評估工具來幫助組織評估和跟蹤他們對CIS控制的實施。
網絡安全成熟度提升策略
根據2020年的一項網絡安全調查顯示,只有57%的IT運營和安全決策者認為其組織的網絡安全功能已經成熟。在這個關鍵時刻,組織可以遵循以下五個關鍵步驟,以提高網絡安全成熟度。
1?采用基于風險的建設方法
盡管組織不斷投資于網絡安全工具,但這并不意味著所有潛在的安全漏洞都得到了解決。隨著安全工具成本的上升和預算的縮減,組織必須采用基于風險的方法,并優先考慮能夠解決關鍵問題和漏洞的安全投資。投資于非常成熟、具有成本效益和能力的網絡安全措施,而非單純地追逐最新的解決方案,可以推動網絡安全成熟度。
2?實現網絡安全能力自動化
部署人工智能和機器學習等技術,自動執行網絡安全任務,如識別潛在威脅、檢測未經授權的訪問以及在執行前遏制攻擊。自動化網絡安全解決方案有助于評估安全指標,減少事件響應時間并限制網絡攻擊足跡。此外,自動化允許安全團隊將精力集中在高風險威脅上,而不是重復乏味的任務上。
3?以網絡安全成熟度模型為參照
許多組織試圖通過計算他們已經解決的漏洞數量,或對框打勾以滿足法規遵從性來驗證和衡量其網絡安全成熟度。然而,這些方法遠遠不能真正表明組織的網絡安全成熟度或提供一個改進的框架。因此,組織必須采用網絡安全成熟度模型來衡量安全計劃的成熟度,并知道如何達到下一個級別。
4?加強網絡安全意識教育
技術本身并不能增強組織的網絡安全態勢。隨著網絡攻擊的復雜性和危害不斷升級,組織必須專注于建立多層防御。所有員工和合作伙伴的網絡安全培訓和意識可以幫助組織為當今的許多威脅建立“最后一道防線”。教育員工并幫助他們理解網絡安全挑戰是一個業務問題,而不僅僅是一個IT問題,這一點非常重要。隨著網絡威脅的不斷發展,組織應該定期開展培訓和意識項目,真誠地教育員工。