网络安全知识：什么是网络安全？

网络安全对于企业意味着什么？

网络安全是一个商业问题，多年来 一直在董事会会议上提出，但责任仍然主要在于 IT 领导者。

在 2024 年 Gartner 董事会调查中，93% 的董事会认为网络风险对利益相关者的价值构成威胁。此外，他们对董事会监管快速演变的网络风险威胁的能力也表达了类似的担忧，67% 的董事会认为当前的董事会实践和结构不足以监管网络风险。

由于数字信息和技术如今已深度融入日常工作， 组织机构更容易受到网络威胁的攻击。而针对信息和关键基础设施的攻击本身也变得越来越复杂。

网络风险事件可能对组织造成运营、财务、声誉和战略方面的影响，所有这些都会造成巨大的成本。这使得现有措施的效果大打折扣，这意味着大多数组织需要提升其网络安全水平。 

俄罗斯入侵乌克兰对网络安全有何影响？

俄罗斯入侵乌克兰，不仅带来了军事攻击，还带来了破坏性的恶意软件攻击。随着入侵的扩大，关键基础设施遭受攻击的威胁——以及造成致命中断的可能性——也随之增加。没有哪家企业能够幸免。 

许多组织已经面临一系列潜在的安全故障，但现在，依靠为组织量身定制的威胁情报并关注政府联系人的指导以了解如何应对可能尚未准备好处理的攻击尤为重要。 

在高管层制定应对俄罗斯入侵乌克兰的战略时，网络安全规划应优先考虑。专注于你能掌控的事情。确保你的事件响应计划是最新的。提高意识和警惕性，以发现和预防潜在的威胁增加，但也要留意你的组织正在承受的额外压力。由于这些因素导致的人为错误可能比实际的网络攻击对你的组织造成更大的影响。

关键基础设施的网络安全问题是什么？

关键基础设施领域包括能源生产和输送、供水和废水处理、医疗保健以及食品和农业。在许多国家，关键基础设施为国有，而在其他国家（例如美国），私营企业拥有并运营着更大比例的关键基础设施。

这些领域不仅对现代社会的正常运转至关重要，而且相互依存，对其中一个领域的网络攻击可能直接影响其他领域。攻击者越来越多地选择对信息物理系统(CPS) 进行攻击。

早在俄罗斯入侵乌克兰之前，这些风险就已真实存在。针对关键基础设施领域组织的攻击从2013年的不到10起增至2020年的近400起，增幅达3900%。因此，世界各国政府纷纷要求对关键任务型网络物理系统（CPS）实施更严格的安全控制措施也就不足为奇了。 

俄罗斯入侵乌克兰加剧了所有组织机构面临的网络攻击威胁。您需要制定全面、协调的CPS安全战略，同时将关键基础设施的新兴安全指令纳入治理。例如，美国《关于改进关键基础设施控制系统网络安全的国家安全备忘录》将电力和天然气管道行业列为优先事项，其次是水/废水处理和化工行业。

问题的关键在于，传统的以网络为中心、单点解决方案的安全工具已不足以应对当今网络攻击的速度和复杂性。尤其是在连接、监控和保护工业运营（机器）的运营技术(OT) 与处理组织信息技术(IT) 的技术骨干不断融合的情况下，这种情况尤为明显。

对贵组织内正在使用的 OT/物联网(IoT) 安全解决方案进行全面盘点。此外，还要评估独立或基于多功能平台的安全选项，以进一步加速 CPS 安全堆栈的融合。

什么是网络攻击？

最常见和最值得注意的网络安全攻击类型包括：

• 网络钓鱼和社会工程攻击。攻击者诱骗拥有适当访问凭证的合法用户采取行动，从而为未经授权的用户打开大门，允许他们将信息和数据传输出去（数据泄露）。
• 面向互联网的服务风险（包括云服务）。
  这些威胁与企业、合作伙伴和供应商未能充分保护云服务或其他面向互联网的服务（例如，配置管理故障）免受已知威胁有关。
• 与密码相关的帐户泄露。未经授权的用户部署软件或其他黑客技术来识别常用和重复使用的密码，以便利用这些密码访问机密系统、数据或资产。
• 信息滥用。
  授权用户无意或故意传播或以其他方式滥用他们有权访问的信息或数据。
• 网络相关攻击和中间人攻击。攻击者可能能够窃听不安全的网络流量，或者由于未能加密组织防火墙内外的消息而重定向或中断流量。
• 供应链攻击。合作伙伴、供应商或其他第三方资产或系统（或代码）受到攻击，从而形成攻击或窃取企业系统信息的载体。
• 拒绝服务攻击 (DoS)。攻击者会淹没企业系统，导致系统暂时关闭或速度变慢。分布式拒绝服务 (DDoS) 攻击也会淹没系统，但会利用设备网络。（另请参阅“什么是 DDoS 攻击？”）
• 勒索软件。这种恶意软件会感染组织的系统，并限制对加密数据或系统的访问，直到攻击者支付赎金为止。一些攻击者威胁说，如果不支付赎金，他们就会泄露数据。

什么是DDoS攻击？

网络攻击者利用设备网络来瘫痪企业系统，从而部署 DDoS 攻击。虽然这种形式的网络攻击能够导致服务瘫痪，但大多数攻击实际上旨在造成中断，而非完全中断服务。

如今，每天都有数千起 DDoS 攻击被报道，大多数攻击都被视为正常业务处理，无需特别关注。但网络攻击者能够扩大攻击范围，而且 DDoS 攻击的复杂性、数量和频率都在持续上升。即使是规模最小的企业，这也对网络安全构成了越来越大的威胁。

DDos 攻击也越来越多地直接针对应用程序。因此，要成功且经济高效地防御此类威胁，需要采取多层次的方法：

• 内部：防火墙后面的网络内部防御。
• 边缘：本地解决方案（企业防火墙和边缘路由器上或前面的物理设备）
• 外部/云提供商：企业外部，例如互联网服务提供商 (ISP)
• 人员和流程：包括事件响应和缓解策略以及阻止攻击所需的技能

DDoS 缓解所需的技能与防御其他类型的网络攻击所需的技能不同，因此大多数组织需要使用第三方解决方案来增强其能力。

什么是网络安全控制和网络防御？

一系列IT和信息系统控制领域构成了抵御网络攻击的技术防线。这些包括：

• 网络和边界安全。网络边界划定了组织内网与外部（或面向公众的）互联网之间的边界。漏洞会导致攻击者利用互联网攻击与其连接的资源的风险。
• 端点安全。端点是指连接网络的设备，例如笔记本电脑、手机和服务器。端点安全保护这些资产，并进而保护与这些资产相关的数据、信息或资产，使其免受恶意行为者或恶意活动的侵害。
• 应用程序安全。它可以在应用程序部署之前和之后保护基于云和传统的应用程序中的数据或代码。
• 数据安全。它包括保护敏感信息资产（无论是传输中还是静止状态）的流程和相关工具。数据安全方法包括加密（确保敏感数据被擦除）和创建数据备份。
• 身份和访问管理 (IAM)。IAM使合适的个人能够在合适的时间以合适的理由访问合适的资源。
• 零信任架构。
  它消除了隐性信任（“此用户在我的安全边界内”），并将其替换为自适应的显性信任（“此用户已通过配备正常运行的安全套件的公司笔记本电脑进行多因素身份验证”）。

技术控制并非抵御网络攻击的唯一防线。领先的组织会严格审视其网络风险文化和相关职能的成熟度，以增强其网络防御能力。这包括培养员工安全意识和安全行为。

网络安全为何会失败？

简而言之，网络安全的失败源于缺乏足够的控制。没有哪个组织能够做到 100% 安全，也无法控制威胁或不良行为者。组织能够掌控的只是安全准备的优先级和投资。 

要决定在何处、何时以及如何投资 IT 控制和网络防御，请对您的安全能力（人员、流程和技术）进行基准测试，并确定需要填补的差距和需要优先考虑的事项。

值得注意的是，人为因素在网络安全风险中占据重要地位。网络犯罪分子已成为社会工程学的专家，他们使用日益复杂的技术诱骗员工点击恶意链接。确保员工掌握信息和专业知识，更好地防御这些攻击至关重要。

网络安全的未来是什么？

环境本身正在以几个关键方式发生变化：

• 网络、基础设施和架构日益复杂，产生了更多数量和种类的连接，这些连接可能成为网络攻击的目标。
• 威胁日益复杂，威胁感知能力较差，使得跟踪日益增多的信息安全控制、要求和威胁变得困难。
• 随着组织继续努力为第三方建立最低限度但强大的控制，第三方漏洞将持续存在 - 特别是因为大多数供应商，特别是云供应商，本身都依赖第三方（成为您的第四方等等）。
• 由于在解决安全问题之前就部署了新的数字计划（通常基于公共云），网络安全债务已增长到前所未有的水平。
• 信息物理系统旨在协调传感、计算、控制、网络和分析，以便与物理世界（包括人类）进行交互。连接数字世界和物理世界（例如智能建筑）呈现出一个独特且日益增长的脆弱性领域。

谁负责管理网络安全？

网络安全与许多其他形式的企业风险息息相关，而且威胁和技术正在快速演变。鉴于此，多方利益相关者必须携手合作，确保适当的安全级别并防范安全盲点。尽管越来越多的人认为网络安全是一种商业风险，但网络安全的责任仍然主要落在IT领导者的肩上。 

Gartner 2021 年的一项调查发现，85% 的组织机构的首席信息官 (CIO)、首席信息安全官 (CISO) 或同等职位负责网络安全。在受访的组织机构中，只有 10% 的组织机构由非 IT 高级经理负责，只有 12% 的董事会设有专门的董事会级网络安全委员会。

为了确保足够的安全性，首席信息官应该与董事会合作，确保所有做出影响企业安全的商业决策的利益相关者共同承担责任、义务和治理。

我需要哪些网络安全指标？

当今使用的大多数网络安全指标都是组织无法控制的因素的滞后指标（例如，“上周我们遭受了多少次攻击？”）。相反，应该关注与具体结果相关的指标，以证明您的网络安全计划是可信且可防御的。

Gartner 预计，到 2024 年，网络安全漏洞发生后监管机构处以的罚款金额的 80% 将源于未能证明已履行适当注意义务，而不是漏洞的影响。

Gartner 倡导结果驱动指标 (ODM) 的“CARE”模型：

评估网络安全风险 

我应该在网络安全上花多少钱？

您在网络安全上花费的金额并不能反映您的保护水平，其他人的花费也不能反映您的保护水平与他们相比。

大多数以货币来表示风险和安全准备程度的方法（即“这是 500 万美元的风险还是 5000 万美元的风险？”）既不可信也站不住脚，而且，即使可信，它们也无法支持与安全优先事项和投资相关的日常决策。

使用结果驱动的指标，更有效地治理网络安全优先事项和投资。ODM 不会根据威胁类型衡量、报告或影响投资；您无法控制支出以应对勒索软件、攻击或黑客攻击。相反，您应该将投资与应对这些威胁的控制措施相匹配。 

例如，一个组织无法控制自己是否遭受勒索软件攻击，但可以将投资与三项关键控制措施相结合：备份和恢复、业务连续性和网络钓鱼培训。这三项控制措施的初始决策成本 (ODM) 反映了组织防御勒索软件的程度以及该级别的保护成本——这是一种基于业务的分析，可以为董事会和其他高层领导提供令人信服的依据。

请注意，控制措施可以是您拥有、管理和部署的人员、流程和技术的任意组合，旨在为组织提供一定程度的保护。采用成本优化方法来评估每项控制措施的成本（投资）、价值（收益）和风险管理水平。通常，更好的保护措施（更低的风险）成本更高。