关键词:
2017年11月21日,安永照例发布了第20次全球信息安全调查报告(2017~2018年度)(GISS)。这次报告的主题为《重获网络空间安全的主动权:准备面对网络攻击》。报告核心由4部分内容构成,分别是:直面网络威胁、掌握威胁形势、对抗威胁、应急服务:攻击响应。
报告基于在2017年6月到9月间调研全球近1200个客户的高级主管后形成。
报告在一开始引述了几个引人注目的数据:
1)根据世界经济论坛(World Economic Forum)的2017年全球风险报告,大规模网络安全破坏位居当今世界面临的五大最严重风险之列;
2)根据Cybersecurity Ventures的《2017版网络犯罪报告》,到2021年,网络安全破坏带来的成本将达到600亿美元,是2015年的2倍;
3)根据Ponenom研究所的《2017年数据泄漏成本研究》显示,组织因陷入网络攻击而面临的重大声誉损失和直接泄漏成本,平均达到了362万美元;
4)根据即将在2018年生效的欧盟《通用数据保护法》(GDPR),监管机构可以对出现数据泄漏和明显管理不善的组织处以其全部营收2%到4%的罚款。
报告的主要发现包括:
EY敬告每个组织都必须对可能发生的网络安全问题做最坏的打算。EY总结了三种攻击模式:普通攻击、高级攻击和新兴攻击。
针对三种攻击,EY建议客户建立多层的对抗体系。
1、对抗普通攻击,单点的防御方案依然是获得网络安全弹性的重要组成部分,员工安全意识也很关键。
2、对抗高级攻击,EY首先推崇企业和组织建立SOC,并表示依然还有48%的组织尚未建立SOC。EY认为SOC对于组织建立威胁检测的能力十分重要,通过SOC能够不断地推动组织从被动防御迈向主动防御。EY认为主动防御是组织对抗高级攻击的关键战略,至少可以包括以下四个方面:
(1)明确最重要的保护对象。Prioritizing the crown jewels – in any organization, certain assets, including people, are particularly valuable and must be identified and then protected especially well;
(2)通过定义正常来发现异常。Defining normal – it is important for organizations to understand how their networks normally operate. Cybersecurity analytics tools use machine learning to define the “normal” and artificial intelligence to recognize potential malicious activity more quickly and accurately;
(3)利用威胁情报。Advanced threat intelligence – by working closely with threat intelligence providers and developing in-house analyst capability, it is possible for organizations to build a much clearer picture of the threat landscape – including the identities of C-level executives;
(4)安全演练、威胁场景分析。Active defense missions – these are exercises planned and executed to proactively defeat specific threat scenarios and uncover hidden intruders in the network。
3、对抗新兴攻击。EY表示,实际上,任何组织都无法预见正在出现的所有威胁。然而,创新的组织能够想象到未来潜在的威胁,并在他们的网络安全体系中建立一种敏捷的能力,以便在威胁发生时能够快速采取行动。
EY针对三种对抗给出了一套对策总结:
既然攻击最终都是无法避免的,我们就要做好最坏的打算,做好应急与响应。EY建议客户事先建立一套网络泄漏响应计划(CBRP)。计划中应该考虑到以下6个方面的内容:安全、业务连续性、合规、保险、PR、法律诉讼。注意,安全只占六分之一的事情!这个计划要考虑的东西远超安全本身。从某种角度看,这个CBRP有很多属于危机管理的范畴。
此外,整个报告还特别值得注意的就是EY继在上一次GISS调研中提出了网络安全弹性的概念后,进一步强化了这个概念。在这次报告中,EY给出了一个企业和组织达成网络安全弹性的构成要素图:
如上图,根据我的理解,达成网络安全弹性包括五个部分:以人才为核心,作为企业整体战略的必要组成并不断创新,风险聚焦,智能和敏捷,弹性与可伸缩性。其中,这里我想对“风险聚焦这”点多谈一下,尤其是其中的“风险管理与偏好”。EY并未就此给出具体的阐释,但我结合我个人的感受,包括Garnter峰会上提出的CARTA,都很清晰地指出企业和组织的安全管理其实都是一种风险管理。现在我们大谈威胁、漏洞、攻击、数据,但千万不要忘了风险!事实证明,我们防不住,我们也没有必要全部都防住!我们常说:“没有绝对的安全”,我们也要问自己,“需要绝对的安全吗”?所以我认为,安全问题是一个风险管控的问题,可控就好。
回到报告。总之,EY希望企业和组织将网络安全置于整个企业和组织战略的中心,至少从一开始就要让高层主管认识到网络安全绝不仅仅是信息安全部门或者IT部门的事儿。也唯有如此,才能真正获得企业和他们客户的成功。看来EY的这个报告主要是要给企业和组织的老大们看的,他们不认识清楚,一切都搞不成。这就有点像我国成立中央网络安全和信息化领导小组一样,企业要将网络安全置于与信息化同等重要的位置,安全和发展要两手同时抓,要先做好顶层设计,要自上而下的抓。
【参考】
普华永道:2017年全球信息安全状况调查分析
2016年11月,普华永道发布了2017年的全球信息安全状况调查报告,并附带了中国相关的调查结果。报告显示,在中国大陆和香港地区:1)约1/3的受访企业表示了其投资安全领域的人工智能和机器学习的意愿;2)2016年中国内地及... 查看详情
2017年软件工程第十一次作业-每周例行报告
...总结2017.11.29 18:302017.11.29 19:25055β发布用户试用报告找用户试用产品2017.11.23 19:342017.11.23 20:280542017.11.24 12:122017.11.24 查看详情
欢迎来怼——第20次scrum会议(11/1)
一、小组信息队名:欢迎来怼小组成员队长:田继平成员:李圆圆,葛美义,王伟东,姜珊,邵朔,冉华小组照片 二、开会信息时间:2017/11/117:17~12:42,总计2min。地点:东北师范大学一食堂二楼雅间侧,西侧靠窗的七对沙发的中... 查看详情
gigaom市场报告全球第一的k8s存储平台portworx发布essentials免费版本
GigaOm市场报告全球第一的K8S存储平台Portworx发布Essentials免费版本!GigaOm最新发布了Kubernetes数据存储平台的市场报告:Portworx被评为全球第一的数据存储平台。报告链接:https://ask.portworx.com/portworx-number-one-data-storage-platform-kubernetes-re... 查看详情
第五组第八次冲刺例会纪要2017/7/20
第八次冲刺例会纪要开发小组:HungerKiller冲刺经理:衣俊霖小组成员:张竣杰,董泽昊,赵美,宋寅瑜,徐志国 A:张竣杰负责部分:管理员界面昨日所做工作:在解决图片上传问题,可以显示了遇到的问题:还有一部分没... 查看详情
第二次实验报告
...;年级2014级 区队6区队 指导教师 高见 信息技术与网络安全学院20 查看详情
极验2017年交互安全行业研究报告
...全权威网站Incapsula发布《BotTrafficReport》报告显示,当前全球互联网正常流量占比已不到一半。美国战略与国际问题研究中心表示,网络犯罪造成的全球资产损失高达4,450亿美元,全球企业资产正面临极大威胁。而随着人工智能技... 查看详情
2017年11月20日第二次小组会议
2017年11月20日第二次小组会议,今晚七点半左右在图书馆进行了第二次小组会议,本次会议的主要内容是确定开发软件所需的各种工具及技能,同时也确定了我们开发中各项工作的进度安排以及第一周的基本分工。进度安排如下... 查看详情
埃森哲:2017年网络犯罪成本研究报告(含分析)
...布了第九次网络犯罪成本研究报告。根据这份访谈了来自全球7个国家,254个公司,2182名受访者的报告显示,全球一个组织或企业用于网络安全的年平均成本(/花费)是1170万美元,比去年增长了22.7%,美国地区更是高达2122万美... 查看详情
2017软考信息安全工程师通过了,立贴小庆贺下
2017软考信息安全工程师通过了,回忆过去几个月的备考和煎熬还是有收获的,立贴小庆贺下----------------------------------------------------------------2017年2月份开始准备信息安全工程师考试。2月底参加51cto薛大龙、朱小平老师的软考:... 查看详情
第12次作业
1、定义结构体类型student,要求其中包括学号,姓名,年龄,性别,电话,系别,成绩等信息。#include<stdio.h>structstudent{charsno[10];charname[20];charsex[10];charphone[20];intage;};intmain(){students1={"160809314","liuziye","?","13716445 查看详情
第20讲++安全管理
finalscrum站立会议第1次....11.20
...前后变化(session方面,如退出登陆将不再显示用户名等信息)2.地图模块的生成,显示当前所在的跑场 3.界面美化 4.添加个人主页,个人信 查看详情
计算机三级信息安全技术时间表
...的符号分析》奠定了计算机二进制基础20世纪40年代 当代信息安全起源于20世纪40年代的通信保密1949年香农(Shannon)《保密系统的通信理论》宣告密码学时代的到来信息安全发展的里程碑20世纪60年代ARPAnt(美国)... 查看详情
gartner:网络信息安全投入依然不在中国政企客户优先投入之列
2017年2月,Gartner发布的《2017年CIO议程》调查报告显示,中国政企客户对安全的投入优先级低于国际平均水平,不在其优先投入之列。这份报告访谈了全球93个国家2598名CIO,其中75人来自中国。3月22日,Gartner发布新闻称“中国CIO... 查看详情
Ansible 没有报告 Ubuntu 20.04 上的分发信息?
】Ansible没有报告Ubuntu20.04上的分发信息?【英文标题】:AnsiblenotreportingdistributioninfoonUbuntu20.04?【发布时间】:2020-08-1101:59:38【问题描述】:关于Ubuntu18.04报告“ansible_facts”中的分发信息的示例:$ansible-ihostsubuntu1804-uroot-msetup-a"fil... 查看详情
2017-2018-120155331+20155336《信息安全系统设计基础》实验一报告
2017-2018-120155331+20155336《信息安全系统设计基础》实验一报告http://www.cnblogs.com/dd1174751354/p/7710816.html 查看详情
《信息安全系统设计》第四次实验报告
实验报告:外设驱动设计小组成员:20145306张文锦,20145334赵文豪,2014 查看详情