IBM认知时代的网络安全率先建立数字免疫系统24页

认知时代的网络安全率先建立数字免疫系统IBM商业价值研究院1在充满挑战的时代培养新能力安全领导正在努力弥补三个方面的能力欠缺-情报、速度和准确性。一些企业开始研究认知安全解决方案的可能性，以便填补这些缺口，主动预防风险和威胁。人们对认知技术抱有很高的期望。在我们的调研中，57%的安全领导相信认知技术能够有效抵御网络犯罪。22%的受访者已经开启网络安全认知时代之旅，他们认为自己对网络安全很了解、很熟悉，而且具备所必须的资源。我们将这个群体称之为“捷足先登型”。要开启认知安全之旅，就必须研究自己的弱点，这将决定如何运用认知技术扩充自己的能力，以及如何为利益相关方制定教育培训和投资计划。执行摘要网络安全的状况正在经历拐点。安全风险程度和安全事件数量呈指数级增长，安全运营团队疲于应对，苦不堪言。威胁形势瞬息万变，各种威胁的复杂度越来越高，数量越来越大，传统方法已完全无法有效应对。安全事故和安全违规的影响越来越大，伴随而来的是经济损失和安全风险迅速蹿升。许多企业因缺乏具备相应技能的安全专家，处境更加窘迫。所有这些压力都使得企业更难维持良好的数字免疫系统，因此无法保护自身的安全。在本报告中，我们采访了35个国家或地区18个行业中的700位首席信息官(CISO)和其他安全领导。我们的目标是揭示这些领导所面临的挑战、他们的不足以及正在采取哪些计划来弥补这些不足之处。我们还希望了解他们对于认知安全解决方案的看法-他们认为这些解决方案有多大帮助，他们对于实施这些解决方案的准备情况以及存在哪些阻碍因素。我们发现安全领导所面临的挑战主要是威胁越来越复杂，而他们无法快速加以应对。这些领导担心安全事故会严重影响目前的业务运营以及将来的企业声誉。安全领导感觉到自己在保护网络和数据安全以及迅速作出智能威胁响应方面的效率并不高。但是，他们希望在未来几年内弥补这些缺陷。获得合适的资源解决这些问题非常困难。面对越来越高的成本和越来越严重的安全技能资源短缺情况，安全领导希望能够更好地向业务领导证明安全投资的合理性。2认知时代的网络安全目前和未来所面临的主要网络安全挑战是缩短响应和解决事故的平均时间。57%的安全领导认为认知安全解决方案能够有效抵御网络犯罪。他们希望在接下来2-3年使实施认知安全解决方案的专家数量增加三倍。随着企业收集越来越多的安全数据，应用越来越多的分析功能，不断增加的工作量即将达到通过人工方式进行处理的极限。一些企业希望通过认知安全解决方案来应对这种状况，帮助弥补在情报、速度和准确性方面的缺口。尽管安全认知技术还处于初级阶段，但人们对其潜力抱有很大的希望并持乐观态度。我们的调研受访者表示，他们希望从认知安全解决方案中获得的主要收益包括：提高威胁检测速度，改进响应决策能力，显著缩短事故响应时间，增强在辨别是安全事件还是真正事故方面的信心。尽管前景光明，但要大范围采用这种解决方案，仍需要进行大量的教育培训和准备工作。我们在调研中发现了一个在安全解决方案方面“捷足先登，率先进入认知时代”的群体。我们在研究安全有效性、对认知的准备情况和认知度时，发现了一些充满热情的安全领导，他们认为自己的企业已经做好充分准备，可以立即进入安全解决方案的认知时代。总体而言，这些领导往往更熟悉认知解决方案，对自己企业的安全防御能力以及减少资源获取障碍方面有更强的信心。随着认知安全解决方案越来越成熟，应用越来越广泛，任何企业都将能够从中受益。如果您认为自己的企业已经做好准备，并决定开启认知之旅，那么第一步就是确定自己希望在哪些薄弱环节运用认知安全解决方案。然后，了解可能的用例，并与自己的薄弱环节对应。如果业务利益相关方要求证明投资的合理性，那么还需要花时间与他们进行交流，说明认知安全解决方案的优点。要强调一点，那就是必须使用高管能够理解的业务语言，证明这些解决方案可以改进企业的整体安全态势。通过采取这些前期步骤，您的企业就可以捷足先登，率先进入网络安全的认知时代。3目前环境如果只看当前网络安全态势的表象，从我们所调研的安全高管那里可以获得这样一种印象：即目前的状况都在掌握之中。事实上，这些专业人士非常相信自己不断壮大的技术和组织能力。我们问到网络安全的准备情况时，大多数(77%)的受访者认为自己的企业与同行处于同一水平。这些受访者对于接下来2-3年自己企业的网络安全状况也非常乐观，86%表示他们将会比同行做得更好。这些回答可能并不令人惊讶，但是检验他们能否做到才更重要：安全领导认为他们并不比任何人做得差，而且很有信心地认为目前正在进步，而且还将继续进步。将近四分之三的受访者表示他们在解决企业基本安全问题方面非常有成效，72%表示他们在“IT卫生”方面非常有成效，71%表示他们在提高整个企业的风险意识方面非常有成效。但我们需要深入探讨一下挑战、影响、能力、资金和安全投资回报方面的实际情况。速度要求对于安全领导而言，目前所面临的最主要挑战是缩短响应和解决事故的平均时间。45%的受访者认为缩短这些时间是当今最主要的网络安全挑战。企业并不了解这种挑战在未来2-3年会朝什么方向发展。展望未来，53%的受访者认为提高响应速度仍将是最主要的网络安全挑战（见图1）。“这简直就像是海盗盛行时代的商船船员-没有海军的保护，没有警力的支持，一切都得靠自己。最重要的是，许多人还不知道如何驾船行驶，而且他们不能回击攻击者，因为这是非法的。我们几乎是把双臂绑在背后，在充满敌意的世界中苦苦挣扎。不过，您确实可以使用一些非常有趣且精巧的工具，了解自己面临的所有威胁。”DavidShipley，新布伦纽克大学信息技术服务系战略计划主任4认知时代的网络安全图1安全领导指出了目前最主要的网络安全风险以及他们认为不久的将来会出现的挑战。缩短响应和解决事故所需的平均时间改进安全威胁分析优化警报的准确性跟上新威胁和漏洞的发展实施持续监控安全系统提高安全运营团队的事故管理能力弥补高技能网络安全员工的短缺问题获得充足的资金用于最重要的网络安全计划管理漏洞/补丁支持内外部利益相关方充分了解情况，共享数据目前未来2-3年尽管有80%的企业告诉我们，他们的事故响应速度已经比两年前快了很多（平均快了16%），但上述问题依然存在。86%的企业希望在未来2-3年内进一步加快响应速度（平均目标是加快24%）。应对时间越长，风险越大PonemonInstitute在2016年的一项调研中指出，发现一项安全违规平均需要201天，控制一项安全违规平均需要70天。该研究所还发现，如何有效使用事故响应团队，是降低数据违规成本的最大决定性因素，没有之一。141%36%40%35%23%33%22%29%31%20%22%15%26%14%27%13%46%53%速度23%62%复杂性最主要的网络安全挑战5对于安全领导而言，另一个越来越重大的挑战就是如何改进安全风险分析。我们的调研中23%的受访领导认为这是目前的主要挑战之一，但是52%的受访领导认为改进安全风险分析将成为未来2-3年最主要的网络安全挑战。安全分析员必须帮助收集资讯，确定哪些威胁的严重性最高，并快速发现活动中的模式和偏差。安全领导必须想尽一切办法提高威胁响应速度，管理风险复杂性。更广泛的忧虑在我们的调研中，接近四分之三的受访者表示，在过去两年中，安全入侵导致了严重的运营中断事件。但受访者对未来几年安全入侵造成损失的看法发生了显著的变化。企业越来越担心在将来，安全入侵会导致企业品牌声誉受损-担忧程度远远超过运营中断。受访者展望未来时，担心声誉受损的人数几乎翻了一倍，只有35%的人将声誉受损确定为过去两年安全入侵的结果，而68%的人担心未来会出现这个问题（见图2）。这种转变表明许多安全领导害怕安全入侵不断扩大的影响。安全入侵的后果已经不仅仅关乎运营，还在于声誉；声誉受损会造成收入下降、信任减退和客户流失。响应速度对于企业而言极其重要。企业响应事故的时间越长，事故造成的损失就可能越大，处理危机所花的资金就可能越多。时间无疑会增加风险所造成损失。图2企业报告了过去两年由于入侵事件导致的各种后果，但是期望未来结果能有所改变。35%68%74%57%25%43%20%32%20%31%37%26%20%23%5%4%过去2年未来入侵影响品牌声誉受损运营中断网络安全基础架构成本攀升知识产权失窃财务损失未造成财务或IP损失的数据泄露违反法规刑事起诉和责任6认知时代的网络安全网络安全基础架构不断攀升的成本也成为未来更实质的问题，与目前相比，对这个问题的关注人数已经显著增加。由于成功入侵的风险一直存在，因此默认情况下企业需要花费更多资金来加以应对。安全领导通常假设，如果他们遭遇入侵事件，一定要亡羊补牢的话，他们会选择升级人员技能、针对特定问题的解决方案以及基础架构，以便保持安全。安全缺陷我们询问受访者：在各种安全能力中，他们认为哪些对于他们的安全状况最重要，以及他们认为自己擅长哪些能力。安全领导普遍认为自己在所有方面都一碗水端平，因为他们不想漏掉任何事情。但是，在资源有限的情况下，不可能做到面面俱到，特别是在新技术、新方法和新挑战层出不穷的情况下。大多数受访者从技术和组织立场出发，表示他们很满意自己处理“IT卫生”和管理企业风险意识的方式。受访者认为非常重要但自己没有能力应对的领域正是我们想要研究的领域（见图3）。网络和数据保护以及威胁响应都属于这个范畴。730%20%社交和移动安全性0%强大的数据安全和隐私功能高度安全、具备高度灾备能力的网络平均有效性(41%)最大的缺口在于网络和数据安全以及威胁响应（速度）将安全防护融入产品设计中受访者表示，在威胁响应速度、安全信息事件管理(SIEM)、网络活动检测、筛选和数据分类以及预防损失方面，他们缺乏所需的有效性。当然,面对数量越来越多和越来越复杂的安全风险，企业必须抢先一步，集中精力提高响应速度、降低管理复杂性，并借助更好的威胁分析技术，从而显著提高自身的防御能力。图3各种安全能力的重要性与有效性对比80%70%60%50%40%平均重要性(63%)数字身份生命周期IT卫生整个企业的风险意识云计算和虚拟化安全防护智能安全性和快速的威胁响应速度管理第三方安全合规10%20%40%60%80%100%重要性有效性8认知时代的网络安全“我们发现，通过安全监控和分析，企业显著节省了大量有形成本。我们通过大幅减少垃圾邮件等措施，降低了带宽成本，淘汰了使用率比较低的资源，并提高了员工生产力。”加拿大某理财企业的金融保护主管管理资产负债表安全领导需要关注的方面非常多。他们预计要实现有效的网络安全性，成本会大幅增加，而且在短期内没有下降的可能。78%的受访者表示过去两年网络安全的成本在不断增加，84%的受访者预计未来2-3年成本还会继续上升。事实上，超过70%的受访者在网络安全方面的花费超过总体IT预算的10%（大部分受访者的支出在10%-15%之间）。这些支出大部分都用在预防和检测方面。极端情况下，我们看到金融机构每年在网络安全方面的支出最多达5亿美元。2因为更多的资金投入并不一定保证得到更有效的保护，这种增加投资的做法长期而言是不可持续的-安全领导在证明投资有效性方面承受着与日俱增的压力。92%的受访者表示，当他们为网络安全计划申请资金时，需要提供投资回报分析或其他财务分析，以便证明投资合理性，获得高层批准。在论证过程中，用于证明投资合理性的两个最主要因素包括在企业内清楚地说明当前的风险状况（61%的受访者指出这一点），以及从财务高管、风险管理高管、运营高管和其他主要高管那里获得支持（51%的受访者指出这一点）。安全领导必须使用业务语言说明自己的需求，确保获得其他主要高管的支持。3从现在开始，他们必须寻求新的方法来证明网络安全投资成本的合理性并展示价值。认为安全措施仅仅是买了一份保险，或者认为这是开展业务所产生的成本的观点必须予以消除。9弥补不足好消息是，我们采访的安全领导似乎意识到了自己的欠缺之处，并打算在不久的将来加以弥补。企业正在寻求实施各种计划，提高自己的网络安全风险应对水平（见图4）。现在的工作主要集中在通过教育和培训，改进员工的行为表现-67%