1. 背景

网络攻击和对组织开展业务能力的其他威胁仍然是所有行业的首要关注点。根据《信息周刊》的 2023 年网络风险和弹性报告，近一半接受调查的 IT 和网络安全专业人员去年遭遇了重大业务威胁。然而，39% 的受访者将不到十分之一的 IT 预算用于网络安全。

虽然勒索软件位居榜首，但它并不是唯一令人担忧的威胁。去年，企业还遭遇了内部系统故障、自然灾害、第三方提供商事件以及社会政治骚乱等造成的干扰。

在此背景下，企业如何分配往往紧张的网络安全预算来应对日益增长的威胁？当今的现代企业的弹性如何？我们的网络安全冠军是精疲力竭还是满怀热情迎接挑战？既然有足够的时间来权衡有效性和成本，网络保险对投保人来说效果如何？

1. 网络风险备受关注，但缓解措施却模糊不清

尽管网络风险缓解投资是最重要的，但对大多数公司来说，网络风险缓解投资并不是预算拨款的主要部分。根据《信息周刊》2023年网络风险和弹性调查，超过三分之一(39%)的企业将不到10%的年度IT预算用于网络安全(图1)。然而，近三分之一(32%)的企业将10%至24%的预算用于网络安全，而16%的企业将25%至49%的预算用于保护公司免受网络威胁。

2. 损害调查

勒索软件在媒体头条和责任成本上都处于领先地位。这些攻击者潜伏在你的数据中，从内到外了解你的公司。在计算每个定制赎金金额之前，他们会仔细评估公司的网络、流动资产和整体支付能力。这种攻击的总成本不是以平均赎金金额来衡量的，而是以每家受害公司随之而来的严重后果来衡量的。换句话说，美元成本是相对的，但损害总是在公司勉强度过痛苦或屈服于打击的能力之间摇摆不定。这就是为什么顾问和咨询公司建议多层安全策略以及万一失败的多层生存计划。

四大会计师事务所之一普华永道(PwC)建议:“定义并测试你能容忍多大程度的破坏，这样如果攻击成功，你就能做出支付赎金的正确决定。”但是勒索软件并不是威胁任何公司的唯一威胁。18%的受访者表示，任何类型的网络攻击都造成了严重的业务中断，15%的受访者表示天气事件或自然灾害对其网络和系统可用性造成了最大的破坏(图2)。另有10%的受访者表示，对第三方供应商的攻击造成了严重的业务中断，而6%的受访者表示，他们的业务中断是在政治动荡、战争或内乱等暴力事件之后发生的。

顺便提一下，在17名报告因攻击第三方服务供应商而造成中断的受访者中，10名(59%)受访者表示攻击来自云基础设施提供商(IaaS)，如AWS、谷歌云、IBM云或微软Azure(图3)。几乎一半(8名受访者)认为受攻击的内容交付网络(如Cloudflare、Akamai或Fastly)是造成中断的第三方。

也许令人惊讶的是，上述17名受访者中有41%表示，对Okta等第三方认证供应商的攻击为他们的公司造成破坏打开了大门。只有不到三分之一(29%)的公司遭遇了针对支付处理器的攻击。受攻击的电信(18%)和电话会议服务(12%)是攻击者通常发起攻击的第三方提供商行业。

并不是所有的威胁都来自公司外部，12%的受访者表示内部错误或内部系统故障，如配置错误或软件更新错误，是造成重大中断的原因。另有3%的受访者表示，其他类型的颠覆性力量并不完全符合上述任何一类。也许这可以归咎于墨菲定律、神秘的电脑小精灵，或者纯粹是运气不好。即便如此，超过一半(51%)的受访者表示，他们的公司没有经历任何形式的重大颠覆。目前还不清楚有多少人受益于强大的防御和恢复策略，又有多少人可能只是幸运而已。

3. 防守vs恢复

高视角显示了网络安全支出的总体增长。Gartner预测，今年在信息安全和风险管理产品和服务上的支出将超过1883亿美元。然而，仔细分析就会发现，在任何特定组织中，资金的使用地点和方式都有相当大的波动。“不同行业的优先级不同。例如，由于金融和医疗保健处理的数据的敏感性，它们传统上更加重视网络安全。尽管如此，在某些情况下，网络安全和弹性工作可能落后于最佳水平，特别是在规模较小的组织或资源有限的组织中。

在任何情况下，一个是防守，另一个是恢复。技术和人才支出属于国防范畴。弹性恢复包括业务连续性(BC)、灾难恢复(DR)、数据备份、网络保险，甚至包括赎金。我们的网络风险和弹性调查发现，平均而言，在70/30的预算分配中，公司倾向于防御而不是恢复(图4)。

“重点仍然是防御技术，而不是预防和预测。这种做法必须改变，因为它助长了新出现的威胁的增加。投资于预测能力，例如红队和威胁情报小组是非常重要的，即使公司选择将其外包给有能力的MSSP。但一个强大的防御策略可能不足以阻止攻击者。当这种情况发生时，该公司必须依靠其弹性计划的力量。拥有一个定义良好且定期测试的事件响应计划可以显着减少响应攻击并从攻击中恢复所需的时间。这包括明确定义的角色和责任，建立沟通渠道，以及预定义的步骤来控制、根除和从事件中恢复。令人惊讶的是，调查发现，12%的受访者从未通过桌面演习或其他测试措施测试过他们团队的网络事件响应程序(图5)。另外11%的受访者不确定他们的公司何时或是否曾经运行测试来评估公司的弹性。

在更勤奋的公司中，11%的公司每月测试其团队的网络事件响应程序一次以上，15%的公司每月测试一次，近三分之一(29%)的公司每季度测试一次。只有2%的人每隔一年测试一次他们的回应程序，而20%的人每年测试一次。严重依赖防御技术可能是网络安全人员持续短缺的结果。近四分之一(24%)的受访者表示他们的安全团队人员配备充足，而高达65%的受访者表示人员短缺(图6)。在上一句话中引用的65%中，39%的人表示他们可以从外包商或服务提供商那里获得一些帮助，26%的人表示人手不足，以至于在某种程度上受到威胁。幸运的是，只有6%的受访者表示，由于人才短缺，他们的安全工作完全处于水下。目前尚不清楚，持续和长期的人员短缺是否也阻碍了对网络事件响应措施的测试。但我们不难推断，事实就是如此。

4. 赎金支付

通过随时准备赎金来对冲勒索软件的损失，正迅速成为一种公认的规范。虽然73%的受访者表示他们的公司没有遭受过勒索软件攻击，但近四分之一(20%)的受访者表示至少遭受过一次此类攻击，其中13%的人表示成功击退了攻击。

在那些未能成功阻止勒索软件攻击并支付赎金以恢复文件的人中，67%的人表示他们全额支付了赎金，另有8%的人表示他们无法透露。

所有受访者都表示，他们聘请了第三方与勒索软件运营商进行谈判。在支付了赎金的极少数受访者中，大多数(88%)报告说，勒索软件运营商提供的加密密钥和修复程序起作用了。

这组人能够恢复90%或更多的数据。但少数人报告说，使用勒索软件运营商的密钥和程序，他们只能恢复大约75%到90%的数据。

5. 网络责任保险

退路往往是网络责任保险，这本身就是一个雷区。近一半(46%)的公司报告称，他们要么将网络责任保险作为独立保单，要么将其作为大型商业保单的附加条款(18%)(图11)。然而，只有58%的索赔者(15%)表示他们成功获得了付款，而33%的人表示他们只是部分成功，9%的人表示他们没有获得一分钱(图12和13)。

保险公司和保单之间的差异可能会让买家感到困惑，他们可能会认为勒索软件保险意味着攻击造成的损失也会得到赔偿。调查发现，只有48%的受访者的网络责任政策和条款涵盖了勒索软件，另有36%的受访者涵盖了“一些勒索软件影响”，但绝对不包括赎金支付(图14)。只有4%的受访者表示他们的保单不包括勒索软件，但令人震惊的是，12%的受访者根本不知道勒索软件是否包括在内。

尽管存在固有的混乱和复杂性，但近一半(49%)的受访者表示，网络责任保险的成本“绝对至关重要”(图15)。略高于三分之一(35%)的人表示，这是必要的，但“没有我们希望的那么多”。其余16%的人要么相信，要么不确定成本是否值得。

6. 是否应用chatGPT

额外的自动化和人工智能支持可能是解决这些问题的有效考虑，至少在一定程度上是这样。除非公司在预算范围内实施Chat GPT-4来处理和解决网络安全问题，否则他们将继续远远落后于最佳水平。但是像ChatGPT这样的新技术虽然非常受欢迎，但也还没有经过测试。即便如此，在这一点上，不承认这些技术将成为攻击的下一个进化进步是愚蠢的。由于目前的防御技术和方法是否能在与恶意人工智能的比赛中获胜是值得怀疑的，因此评估新技术和战术以保持领先于这些新威胁是谨慎的。攻击必须通过人工智能找到源头，这样可预防性就避免了恢复的需要。

参考资料：