点击“”按钮,即表示您同意Gartner使用条款和隐私政策。
网络安全是部署人员、政策、流程和技术来保护组织及其关键系统和敏感信息免受数字攻击的实践。
网络安全是一个商业问题,在会议室但责任仍主要落在IT领导者身上。
在2022年Gartner董事会调查88%的董事会成员将网络安全列为商业风险;只有12%的人认为这是一种技术风险。尽管如此,2021年的一项调查显示,85%的组织都要求CIO、首席信息安全官(CISO)或同等职位的人对网络安全负责。
企业在面对网络威胁时变得更加脆弱,因为数字信息和技术现在已经与日常工作紧密结合。但针对信息和关键基础设施的攻击本身也变得更加复杂。
网络风险事件可能会对组织的运营、财务、声誉和战略造成影响,所有这些后果都需要付出巨大的代价。这使得现有的措施不那么有效,这意味着大多数组织需要提高他们的网络安全游戏。
俄罗斯对乌克兰的入侵在军事和军事上都有破坏性恶意软件攻击.随着入侵的扩大,袭击的威胁关键基础设施而且致命断电的可能性越来越大。没有任何企业可以幸免。
许多组织已经面临一系列的潜伏的安全故障但现在,依赖于为您的组织量身定制的威胁情报,并从您的政府联系人那里获得关于如何为您可能还没有准备好处理的攻击做准备的指导尤为重要。
随着高层制定应对俄罗斯入侵的战略优先考虑网络安全规划。专注于你能控制的事情。确保您的事件响应计划是最新的。提高意识和警惕性,以发现和预防潜在的增加的威胁,但要注意您的组织所感受到的额外压力和压力。一个人为错误由于这些力量可能会对您的组织产生比实际的网络攻击更大的影响。
关键基础设施行业包括能源生产和传输、水和废水、医疗保健以及粮食和农业。在许多国家,关键基础设施是国有的,而在美国等其他国家,私营企业拥有并运营的基础设施比例要大得多。
这些部门不仅对现代社会的正常运作至关重要,而且相互依存,对其中一个部门的网络攻击可能会对其他部门产生直接影响。攻击者越来越多地选择对cyber-physical系统(CPS)。
风险是非常真实的甚至在俄罗斯入侵乌克兰之前。攻击关键基础设施部门的组织从2013年的不到10家增加到2020年的近400家,增长了3,900%。因此,世界各地的政府都在强制实施更多的安全控制也就不足为奇了关键任务CPS.
俄罗斯入侵乌克兰增加了威胁针对所有组织的网络攻击.你需要建立一个全面的,协调CPS安全策略同时还将关键基础设施的新兴安全指令纳入治理。美国。”关于改善关键基础设施控制系统网络安全的国家安全备忘录例如,该公司优先考虑电力和天然气管道行业,其次是水/废水和化工行业。
问题的关键在于,传统的以网络为中心的点解决方案安全工具已经不足以应对当今网络攻击的速度和复杂性。这尤其适用于操作技术(OT)连接、监控和保护工业操作(机器),继续与处理组织信息的技术骨干融合信息技术(它)。
进行完整的加班盘点物联网(IoT)安全解决方案在您的组织中使用。同时执行评价的独立或多功能平台的安全选项,以进一步加快CPS安全堆栈的收敛。
最常见和最显著的类型网络安全攻击包括:
网络攻击者部署DDoS攻击通过使用设备网络来压倒企业系统。虽然这种形式的网络攻击能够关闭服务,但大多数攻击实际上是为了造成中断,而不是完全中断服务。
现在每天都有成千上万的DDoS攻击被报告,其中大多数被作为正常的业务过程缓解,不需要特别注意。但网络攻击者有能力扩大攻击范围——DDoS攻击在复杂性、数量和频率上持续上升。这对即使是最小的企业的网络安全也构成了越来越大的威胁。
DDos攻击也越来越多地直接针对应用程序。因此,成功且具有成本效益的防御此类威胁需要多层方法:
DDoS缓解需要不同于防御其他类型网络攻击所需的技能,因此大多数组织将需要使用第三方解决方案增强其能力。
一系列IT和信息系统控制领域构成了抵御网络攻击的技术防线。这些包括:
技术控制并不是抵御网络攻击的唯一防线。领先的组织严格审查其网络风险文化和相关职能的成熟度,以扩大其网络防御。这包括建立员工意识和安全行为。
简单地说,网络安全失败是因为缺乏足够的控制。没有组织是100%安全的,组织不能控制威胁或不良行为者。组织只控制安全准备方面的优先级和投资。
要决定在何处、何时以及如何投资IT控制和网络防御,请对您的安全能力(人员、流程和技术)进行基准测试,并确定需要填补的空白和目标优先级。
值得注意的是,人为因素在网络安全风险中占据重要地位。网络犯罪分子已经成为社会工程方面的专家,他们使用越来越复杂的技术来诱骗员工点击恶意链接。确保员工有资讯及专有技术更好地防御这些攻击是至关重要的。
环境本身是不断发展的在以下几个关键方面:
网络安全与许多其他形式的企业风险相互关联,威胁和技术正在迅速发展。鉴于此,多个利益相关者必须共同努力,以确保适当的安全性,并防范盲点。但是,尽管越来越多的人认为网络安全是一种商业风险,但网络安全的责任仍然主要落在IT领导者的肩上。
高德纳公司2021年的一项调查发现,85%的组织中,首席信息官、首席信息官或同等职位的人对网络安全负责。在接受调查的组织中,只有10%的非it高级管理人员承担责任,只有12%的董事会设有专门的董事会级网络安全委员会。
为了确保足够的安全性,首席信息官们应该与董事会合作,确保所有做出影响企业安全的业务决策的利益相关者都能分担责任、问责制和治理。
大多数网络安全指标今天使用的是组织无法控制的因素的跟踪指标(例如,“我们上周被攻击了多少次?”)。相反,关注与特定结果相关的指标,证明您的网络安全计划是可信的和可防御的。
高德纳(Gartner)预计,到2024年,监管机构在网络安全违规事件后开出的罚款金额中,80%将来自未能证明公司履行了应有的注意义务,而不是违规事件本身的影响。
Gartner提倡“CARE”模式的结果驱动指标(odm):
一致性 |
一致性指标评估控制是否在整个组织中始终如一地工作。 |
充分性 |
充分性指标评估控制是否符合业务需求,是否令人满意和可接受。 |
合理性 |
合理性指标评估控制是否适当、公平和适度。 |
有效性 |
有效性指标评估控制是否成功和/或有效地产生期望或预期的结果。 |
你在网络安全上的支出并不能反映你的保护水平,其他人的支出也不能反映你与他们相比的保护水平。
风险和安全准备的大多数货币表示(例如,“这是500万美元的风险还是5000万美元的风险?”)既不可信也不可靠,而且,即使它们是可信的,它们也不支持与优先级和安全投资相关的日常决策。
使用结果驱动的度量标准来实现对网络安全优先事项和投资的更有效治理。odm不会根据威胁类型来衡量、报告或影响投资;调整支出以解决勒索软件、攻击或黑客攻击是你无法控制的。相反,要将投资与应对这些威胁的控制措施结合起来。
例如,一个组织不能控制它是否遭受ransomware攻击但它可以将投资对准三个关键控制:备份和恢复、业务连续性和网络钓鱼培训。这三种控制的odm反映了组织对勒索软件的保护程度以及这种保护级别的成本——基于业务的分析为董事会和其他高级领导讲述了一个令人信服的故事。
请注意,控件可以是您拥有、管理和部署的人员、流程和技术的任何组合,以便为组织创建一定级别的保护。采用成本优化方法来评估每个控制的成本(投资)、价值(效益)和风险管理水平。一般来说,更好的保护(风险更小)会更昂贵。