随着互联网技术的飞速发展与广泛应用,网络环境中的威胁也在与日俱增。IBM 于 8 月 8 日在北京召开了 IBM 企业安全峰会。会上发布了 IBM 的 2019 全球数据泄露报告,并且与会众说明了报告中的关键信息;并且,就 IBM 在等保 2.0 方面的落地进行了分享。
全球数据泄露风险加剧,成本损失不容忽视
尽管中国并未在该报告中调研的 16 个国家之列,但是安全牛认为,对于国内企业,IBM的2019全球数据泄露报告中的以下信息依然需要得到极大的重视:
1. 信息泄露发生几率持续上升。2019 年的报告指出,两年内受到攻击的概率为 29.6%;而在 2018 年该概率为 27.9%,在2014年仅为 22.6%。对于企业而言,从发生信息泄露到防止信息进一步泄露平均需要 279 天,如果泄露原因是恶意攻击,这个时间要升至 314 天。其中 70% 以上的时间浪费在了企业意识到自己的信息遭到了泄露上。
评:信息泄露是一个全球企业都面临的难题,随着企业受到攻击的概率越高、采取措施并阻断泄露的时间越长,信息泄露的威胁其实是越来越大的。而从 2014 年的报告开始,企业始终都需要 200 天左右的时间才能意识到自己已经发生了信息泄露,这对企业减少因信息泄露造成的损失是非常致命的。
2. 信息泄露产生损失的最大源头是业务的流失。根据 2019 年的报告,平均每家企业因信息泄露造成的损失高达 392 万美元,而其中因业务流失造成的平均损失为 142 万美元,占平均总损失的 36%。因此,对于可替代产品较多的行业,信息泄露无疑会带来相当严重的经济损失,而对于政府、研究机构、交通一些低替代度的行业则会相对较少地受影响。
评:随着金融、互联网、医疗行业的竞争逐渐激烈,安全能力其实也已经成为了企业的隐性竞争力:用户会因为害怕自身的信息被泄露选择其他同类产品,甚至非同类却可替代的产品。而优秀的安全能力可以让企业增强用户的使用信心,并在同行业面临信息泄露风险时刻进一步夺取市场。
3. 51% 的信息泄露源自恶意攻击,并且因恶意攻击产生的信息泄露会比系统故障与内部人员失误造成更大的损失。原因在于因恶意攻击产生的信息泄露往往更难以被发现,从而及时采取有效地补救措施。
评:尽管系统故障与内部人员的工作失误依然不容忽视,但是恶意攻击始终是主流。尤其随着国际化的浪潮以及越来越多的APT攻击,大企业、政府、基础设施无可避免地会成为攻击目标。在未来,组织和机构需要更多地针对外部的威胁进行防御。
4. 中小规模企业会比大规模企业遭受更高的人均损失。对于员工人数超过 2.5 万的企业,员工均损失仅 204 美元;而对于员工人数在 500-1000 名的企业,员工均损失却超过 3,500 美元。
评:中小企业即使为了自身的利益,也更需要做好安全能力。大企业往往有强大的技术团队,甚至是安全团队,因此尽管会因为信息泄露受到更大的总体损失,但是以员工数量作为规模的衡量标准来看,反而平均损失更低。另一方面,由于中小企业的安全能力的不足,更难以控制信息泄露的情况,从而进一步阻碍业务发展,扩大自己的损失。
5. 第三方泄露、不合规、云端迁移是造成损失上升的三大最主要因素。
评:事实上,去年美国多个政府相关部门发生的信息泄露也都是因为第三方合同商引起的。企业如何保障与第三方的合作不会产生信息泄露的威胁将成为重要的思考方向。另一方面,GDPR 的实施也会给企业的安全合规带来重大挑战。
6. 优秀的响应团队和响应计划、加密、业务可持续性管理、DevSecOps 是最能帮助企业降低损失的四大因素。
评:这四点是企业确保安全的主要方向,但是同样也需要安全厂商的帮助:比如通过安全咨询的方式帮助企业组建响应团队、创建业务可持续计划、为企业提供便捷的 DevSecOps 工具等。
7. 使用安全自动化能够进一步缓解信息泄露带来的威胁以及损失。未采用安全自动化能力的企业在信息泄露时遭受的损失相比采用安全自动化能力的企业高出 95%,然而依然只有 52% 的受访企业部署了安全自动化能力。
评:人工智能、机器学习是未来的方向,而安全自动化能力则是这两项技术的成果之一。优秀的安全自动化能力可以更快地帮助企业发现泄漏事件,降低损失。另一方面,安全自动化能力也能大幅度地帮助企业减少人力上的成本开支。
以上是安全牛认为对国内互联网环境中最需要注意的几个发现。报告中还有许多研究成果,对于更多希望出海国外的企业,有着很强的指导价值。另一方面,通过这份报告来看我们的等保 2.0,恰恰表现出等保 2.0 的必要性。
从 2019 全球数据泄露报告到等保 2.0,企业安全需整体规划
从 IBM 的全球数据泄露报告来看,未合规也成为了造成企业损失的重要因素之一,这代表了合规在全球范围内的重要趋势,因此等保 2.0 的出台是我国坚实自身安全能力的一个重要里程碑。
而造成信息泄露损失的另两个因素——第三方泄露与云端迁移中产生的信息泄露也在等保 2.0 的体系下有体现。从云的角度,云租户和云服务供应商都在等保 2.0 中有自己需要满足的安全条件。而另一方面,数据的安全性的责任方也在整个数据流转过程中需要有保护措施。
鉴于全国化的趋势,我们不应该将目光局限于国内,威胁的来源完全可能来自海外,尤其对于政府而言,境外的敌对势力会不遗余力地进行攻击。从报告中的数据来看,数据泄露往往需要超过半年的时间才会被察觉,再用两个半月的时间进行限制和补救——这无疑会大大降低安全防护的效果。而从等保的分级保护制度来看,企业通过自身对业务、数据的需求,确定自己要满足的等级标准,从而进行相对的防护。这事实上也给企业在业务设计过程中带来了新的思考:企业的业务到底需要怎样的信息?这些信息需要第几级的保护?企业是否有足够的技术、人员能力进行保护?
从报告中可以发现,尽管大规模企业会因为其数据体量造成自身在发生信息泄露时的损失巨大,但是因为其响应能力往往能将损失控制在一个较低范围,同时损失相对其自身规模,也会相对较小。而中等规模企业却因为自身的安全能力不足,往往会造成更大的损失。但是,从另一层面来看,企业是否在自身的业务运作过程当中获取了过多的信息呢?更多的敏感信息并进行分析确实会对企业的业务发展有益,但实际上也给企业带来了更大的安全责任。等保2.0的分级标准也让企业预先对自身的信息获取进行考量,根据自身的技术、人员能力决定自身的安全能力,再结合自身业务,确定自己需要哪些信息,从而即使自身遭到攻击,也能尽可能减少损失。
在这样的数据泄露形势与等保 2.0 的规定下,作为安全巨头的 IBM 又如何应对,帮助国内企业做好安全呢?
IBM三大主力产品,实力护航企业安全
在会后的采访中,IBM 大中华区安全事业部总经理陈文丰表示,国内客户主要采用了以下三大产品:
IBM 大中华区安全事业部总经理 陈文丰
1. QRadar:IBM 的 QRadar 可以帮助企业统筹管理各类安全事件,通过对安全信息和安全日志的分析,加上 X-Force 的威胁情报能力,可以帮助客户快速发现威胁,从而在最短时间内进行响应,减少信息泄露带来的损失。对于银行一类的大型客户而言,拥有一个优秀的SIEM平台管理对全局进行把控尤其必要。
2. Guardium:Guardium 直接从数据层面对数据进行保护。通过对数据的加密、数据流的行为监控、密钥的管理等方式,对数据库进行保护,同时发现是否存在信息泄露的情况。
3. IAM 身份认证:企业的安全依然需要基于身份进行管理——根据身份给与不同的权限,通过身份验证使用者,通过身份建立信任。而身份的管理则更需要建立在无感知的基础上。许多国内的组织和机构使用 IBM 的 IAM 身份认证进行管理,尤其在云计算的大环境下,越来越多的客户采用了 IBM 的 Cloud Identity,通过云端加速,更全面进行身份管理。
而事实上,IBM 还有很多其他的能力:通过 IBM Watson 的附加服务,能够依靠人工智能与人类专家两种能力对安全状态进行诊断,综合获得更准确的判断,提出更适合的安全建议;通过 Resilient 的自动化编排能力,快速响应安全事件,减少攻击造成的损失。并且,在等保 2.0 的大环境下,IBM 也在积极帮助企业,针对等保 2.0 的需求,以安全服务的方式,帮助企业将有效的安全产品部署在合适的位置,在满足等保 2.0 的安全防护的基础上,切实地帮助企业更有效地抵御来自国内外攻击者的威胁。
安全牛评
技术是中立的,因此新技术的产生必然会带来攻击者恶意的使用。随着网络流量的大幅度提升,以及线上业务的飞速拓展,能够产生信息泄露的攻击面也越来越广。本次 “数据泄露成本报告” 年度调研由 IBM 安全事业部和Ponemon Institute 联合开展,如今已经来到了第 14 个年头,对全球的信息泄露态势有了相当丰富的积累,无论是对安全厂商,还是甲方的各类人员都有着相当高的价值,值得深入研究和思考(该报告可在 IBM 官网获得)。另一方面,IBM 的安全产品也是基于了自身的报告中的需求(如安全自动化、响应团队建设等)在进一步地升级。不仅仅是欧洲的 GDPR,IBM 对于中国的等保 2.0 也投入了高度的重视,在自身本土化的同时,帮助国内的组织和机构满足合规要求。
相关阅读