随着数字化转型的深入发展,加强网络安全能力建设已经成为广大企业的普遍共识。然而,大量的网络安全投资并不等于真正的安全性。在实际工作中,很多企业安全建设的重点仍旧是由合规驱动的产品购买,在体系化和可持续性方面存在较大不足,对实际具备的安全能力缺乏了解。在此背景下构建的安全防护体系建设,在面对不断演进的网络攻击时,往往会表现的不堪一击。
为了更好地应对网络安全发展挑战,企业组织需要将网络安全的建设重点转向体系化的真实安全能力构建,并通过持续的网络安全成熟度评估,识别和发现能力中的差距,进而针对性地强化问题整改,补齐防护短板。
网络安全成熟度评估的必要性
网络安全成熟度是一个专用术语,指的是一个组织应对网络攻击风险的能力和准备程度。而网络安全成熟度评估则是指一套系统性的能力缺口分析和风险评估方法,通过利用网络安全最佳实践和公认的网络安全框架来发现现有安全防护计划中存在的问题。网络安全成熟度评估的目标是为组织提供当前安全威胁态势的完整视图,对现有安全计划的合理性和有效性进行客观审查,以帮助组织制定更完善的战术和战略规划,进一步加强自身的安全保障工作。
虽然目前有一种观点认为,网络安全成熟度评估对中大型企业组织的价值更加明显,但研究数据表明,定期实施网络安全成熟度评估的组织在安全漏洞和相关成本方面显著减少,平均数据泄露成本降低了67%。因此,通过完善的成熟度评估可以使任何规模的组织都能获益:
• 识别安全缺口。组织将获得有关公司网络安全实践及其在防止违规方面的有效性的重要见解。
• 增强安全态势。学到的信息可以用来改进当前的网络安全措施,或者指导组织在哪里需要添加新的网络安全措施。
• 获取行业情报。评估结果可以与类似的组织进行比较,以帮助确定安全趋势。
• 满足合规性。提供对安全和合规缺口的洞察,允许组织处理这些问题并确保遵守相关需求。
• 节省成本和优化资源分配。识别冗余或不必要的安全措施和技术,提高安全投资的有效性;并将安全投资与已识别的漏洞和风险结合起来,确保将资源优先分配到最需要关注的领域。
• 促进沟通。通过提供评估文档,改善员工、IT人员和高层管理人员之间的沟通。
网络安全成熟度等级划分
通过网络安全成熟度评估,企业可以了解自身当前的真实能力水平,以及未来建设时应该重点采取的措施。网络安全成熟度通常可以划分为以下5个等级:
1 初始级(Initial)
网络安全成熟度处于初始级别的组织往往缺乏正式的网络安全政策、有效的网络安全治理,或者在多个安全领域得分很低。在当今的网络安全环境中,对于任何拥有和管理IT资产的组织,以及对股东、投资者、监管机构或人民负有任何责任的组织来说,初始级别的得分都是不可接受的。
完善建议:
• 建立强有力的首席信息安全官(或类似职位)计划;
• 制定或更新统一的网络安全管理章程;
• 建立公司层面的网络安全治理委员会;
• 增加安全政策和安全基础设施开发职位的人员。
2 管治级(Managed)
处于管治级的组织通常拥有了一个有效的安全计划,包含一些有效运行的安全流程和基础设施元素,以及正在开发的多个安全计划。但它们在网络分区/边界等基本领域往往较弱,在整体身份和访问管理(IAM)方面得分相对较低。在安全流程或技术中很难看到良好的问责制和自动化水平,在开发阶段也极少运行高级漏洞管理、数据丢失预防(DLP)或安全信息和事件管理(SIEM)技术。
完善建议:
• 及时修复评估过程中发现的安全缺口;
• 实现统一的IT资产管理和身份安全治理;
• 部署特权访问管理(PAM)方案。
3 定义级(Defined)
处于定义级的组织已经建立了一套全面的安全流程、策略和文档化的管控制度。然而,它们通常仍然过于依赖人的工作。诸如变更管理、审计和供应链安全等流程仍然需要人工来完成。此外,组织还需要提高所有员工的安全知识和意识,以及提高安全监视、分析和特权访问管理控制的复杂性。
完善建议:
• 通过实施审计、变更管理、高级安全监控和度量来加强验证和问责制;
• 建立强有力的风险管理体系;
• 实现全面的监控和审查,明确组织的关键绩效指标(KPI)和关键风险指标(KRI)。
4 量化管理级(Quantitatively Managed)
这个级别的组织已经定义并构建了一套全面的人员、过程和技术控制。然而,面对威胁、监管、技术和业务环境的不断变化,它们仍然依赖于手动流程,并面临着维持安全计划的挑战。
完善建议:
• 专注于提高网络安全管控流程的自动化水平;
• 扩展漏洞管理和安全监控等功能,以覆盖各种类型的云环境;
• 实施访问管理,安全监控和高级DLP。
5 优化级(Optimized)
在此成熟度级别上,组织的安全管控流程几乎完美。它们将组织范围内的安全流程和技术基础设施的标准提高到了相当高的水平,包括问责制、指标和自动化。但需要澄清的是,并非所有这个级别的组织都会专注于持续改进,并在保障安全性上投入更多的资金和资源。
完善建议:
• 持续研究面向未来的新技术和新威胁;
• 保障安全能力的可持续性和适应性;
• 建立支持安全和风险管理相关的组织文化。
网络安全成熟度评估实践
为了有效地完成网络安全成熟度评估,并将其纳入组织的整体网络安全建设战略,建议组织遵循以下4个评估步骤:
1 确定评估的范围
第一步,组织需要定义评估的范围。范围将为漏洞测试提供指导方针和边界。本部分的目标是确定组织的风险概况和基于风险的成熟度目标。首席信息安全官(CISO)应该负责这一步骤,并可以通过以下方式定义范围:
• 评估业务不同方面的风险概况;
• 评估内部和外部威胁的严重程度;
• 根据组织的风险偏好设定风险目标;
• 设定并审查与网络战略相关的关键绩效指标;
• 建立内部风险控制措施和所有权结构;
2 确定合规性级别
评估必须以行业基准的方式进行。评估的结果可以与合规性需求保持一致,并且可以找到进一步的优先级缺口。本部分的目标是确定组织的最高风险缺口,并将当前解决方案与行业基准进行比较。运营部门应该负责这一步骤,并可以通过以下方式定义合规性级别:
• 制定风险缓解措施和流程;
• 测量控制弹性和数据所有权的成本;
• 确定控制和风险之间的关系;
• 根据KPI衡量结果并报告绩效;
3 制定风险缓解路线图
一旦定义了范围并在操作上达成一致,组织就可以制定路线图来缓解评估中发现的风险。本部分的目标是定义一个风险优先的投资路线图。同样地,首席信息安全官应该掌握这一步骤,并可以通过以下方式定义路线图:
• 确认成熟度目标并在需要时进行调整;
• 根据风险目标审查拥有数据的成本;
• 优先考虑补救和高影响差距;
• 合并度量标准并使用报告来调整方法;
4 定义组织网络安全工作的优先级
有了清晰而精心规划的路线图,首席信息安全官就可以向董事会提出进一步投资的业务案例。本节的目标是定义组织的安全优先级,并获得网络安全投资支持。组织管理层应该充分参与这一步骤,并可以通过以下方式确定优先级:
• 确认企业的组织风险偏好;
• 根据业务愿景批准优先事项;
• 使用相关的指标和报告来加强决策。
网络安全成熟度评估框架
管理和实施一个强大的网络安全成熟度评估计划是非常复杂的过程。而一些行业公认的网络安全框架,可以通过标准化、流程驱动的方法帮助组织应对这一挑战。当企业组织开展网络安全成熟度评估时,可以根据组织的建设目标、行业特性和成熟度级别,选择相应的网络安全控制框架作为评估参考依据。
NIST框架
NIST网络安全成熟度评估框架是由美国国家标准与技术研究院(NIST)开发的一个灵活、全面的框架。该框架由五个核心功能组成——识别、保护、检测、响应和恢复。由于固有的灵活性,它被应用于IT,工业控制系统(ICS),网络物理系统(CPS),甚至物联网连接设备。
ISO / IEC框架
ISO系列标准是目前国际公认的成熟度评估标准,适用于各种规模和类型的组织。对于在欧盟或国际上运营的组织,ISO成熟度评估框架可以是确保全面风险评估和降低的理想选择。但是与NIST安全框架所不同的是,参考ISO框架需要承担一定的评估成本。除了网络安全成熟度评估外,它还包含更加广泛的标准来管理隐私性、机密性和技术等方面。
COBIT框架
信息相关技术控制目标(COBIT)框架最初由ISACA于1996年开发,用于组织的IT管理和治理。与NIST框架和ISO / IEC框架相比,COBIT成熟度评估框架是一个更简单的选择。特别是对于规模较小的企业组织,COBIT框架更易于访问和实现。
CIS框架
CIS框架也称为CIS 20,是由国际互联网安全中心开发的。它包括20条主要指导方针,以确保数字弹性。CIS 20通过实施最佳实践技术措施,直接帮助组织改善其网络安全态势。与上述的其他框架不同,CIS 20提供了直接的、可操作的应用指导信息。因此,它目前成为了许多组织开展网络安全建设时的热门选择。CIS框架还提供了一个自我评估工具来帮助组织评估和跟踪他们对CIS控制的实施。
网络安全成熟度提升策略
根据2020年的一项网络安全调查显示,只有57%的IT运营和安全决策者认为其组织的网络安全功能已经成熟。在这个关键时刻,组织可以遵循以下五个关键步骤,以提高网络安全成熟度。
1 采用基于风险的建设方法
尽管组织不断投资于网络安全工具,但这并不意味着所有潜在的安全漏洞都得到了解决。随着安全工具成本的上升和预算的缩减,组织必须采用基于风险的方法,并优先考虑能够解决关键问题和漏洞的安全投资。投资于非常成熟、具有成本效益和能力的网络安全措施,而非单纯地追逐最新的解决方案,可以推动网络安全成熟度。
2 实现网络安全能力自动化
部署人工智能和机器学习等技术,自动执行网络安全任务,如识别潜在威胁、检测未经授权的访问以及在执行前遏制攻击。自动化网络安全解决方案有助于评估安全指标,减少事件响应时间并限制网络攻击足迹。此外,自动化允许安全团队将精力集中在高风险威胁上,而不是重复乏味的任务上。
3 以网络安全成熟度模型为参照
许多组织试图通过计算他们已经解决的漏洞数量,或对框打勾以满足法规遵从性来验证和衡量其网络安全成熟度。然而,这些方法远远不能真正表明组织的网络安全成熟度或提供一个改进的框架。因此,组织必须采用网络安全成熟度模型来衡量安全计划的成熟度,并知道如何达到下一个级别。
4 加强网络安全意识教育
技术本身并不能增强组织的网络安全态势。随着网络攻击的复杂性和危害不断升级,组织必须专注于建立多层防御。所有员工和合作伙伴的网络安全培训和意识可以帮助组织为当今的许多威胁建立“最后一道防线”。教育员工并帮助他们理解网络安全挑战是一个业务问题,而不仅仅是一个IT问题,这一点非常重要。随着网络威胁的不断发展,组织应该定期开展培训和意识项目,真诚地教育员工。
参考链接:
https://www.subrosacyber.com/blog/cybersecurity-maturity-assessment-framework
https://www.tripwire.com/state-of-security/5-essential-steps-improve-cybersecurity-maturity
