网络安全领导者往往不清楚从何处着手构建韧性。首先要以业务影响评估为基础,重点保护和测试基础设施关键系统和业务关键系统。
主要发现
-
85%的董事会成员目前将网络安全视为一项业务风险。这凸显了网络韧性作为确保网络安全投资与业务目标相符的关键工具的必要性。
-
网络安全领导者往往通过缺乏重点、包罗万象的策略来追求韧性,而不是优先保护组织最关键的资产。这种方法可能会分散资源,并损害整体效能。
-
网络安全领导者和组织经常低估多样化和持续的测试和综合学习对于实现真正的网络弹性的关键重要性。
建议
-
将业务影响评估 (BIA) 嵌入网络弹性策略的核心,将保护重点放在关键业务流程和资产上,而不是追求全面覆盖。
-
将资源用于保护基础设施和关键业务功能,同时减少对非必要系统和应用程序的投资。
-
实施多样化、持续的测试,以主动增强网络弹性并减轻新出现的威胁。
战略规划假设
到 2029 年,40% 的组织将无法实现网络弹性,因为它们缺乏基本的网络安全卫生。
概述
随着企业数字化基础设施暴露在风险之中,面临日益严峻的网络威胁、复杂的第三方依赖关系以及日益严格的监管法规,企业逐渐意识到网络韧性的现实意义。然而,许多企业将韧性与安全性混为一谈,没有将相关利益相关者纳入考量,也没有制定优先考虑关键系统的流程。在当今复杂的数字化环境中,传统方法已不可持续。
在资源优化、测试分散、可见性差的时代,领导者必须避免平等保护所有资产,否则很可能会面临核心资产中断和监管审查的风险。
网络安全领导者应该(见图 1):
-
将 BIA 整合到弹性策略中。
-
首先优先保护、检测、响应和恢复关键业务资产。
-
实施多样化、持续的测试,以主动增强恢复能力并适应新出现的威胁。
图 1:BIA 是网络弹性的核心
分析
将业务影响评估嵌入为网络弹性的基础
BIA 应成为网络弹性的基础,因为它可以系统地评估业务运营中断的潜在后果。通过识别并确定关键业务功能、依赖关系以及各种网络威胁的潜在影响的优先级,BIA 使组织能够定制其网络弹性策略,以保护最重要的内容(参见图 2)。
组织并未捕捉这些系统的上下游依赖关系。例如,在组织的采购职能中,BIA 可能会发现,支撑采购管理流程的各个系统之间的恢复时间目标 (RTO) 并不一致,或者某些系统托管在云或 SaaS 环境中。在金融服务领域,BIA 可以凸显实时交易处理系统的重要性,确保弹性规划专注于最大限度地减少这些高影响职能的停机时间。
通过将网络弹性建立在全面的 BIA 之上,网络安全领导者可以将精力集中在真正需要保护和快速恢复的方面、目标控制和能力、优化资源分配、确保合规并增强从网络事件中恢复的能力,同时尽量减少对基本服务的干扰。
图 2:关注业务功能和关键业务流程
积极进取的网络安全领导者正在将其组织的关键运营和流程(在BIA等文件中确定)与其网络韧性工作直接关联(参见图3),并优先考虑这些工作,并采取额外的防护和缓解措施。如果没有BIA,韧性工作可能缺乏与业务目标的战略一致性,从而削弱其有效性。
网络安全领导者应通过以下方式利用 BIA 启动其网络弹性之旅:
-
如果组织已经从企业风险管理 (ERM) 或业务连续性管理 (BCM) 功能开展了 BIA,则可利用现有的 BIA。
-
如果不存在BIA,则应支持企业对其的需求。在极少数情况下,网络安全负责人可以推动这一流程,但不应直接负责。
-
使用 BIA 的输出和数据来定位基础设施关键型、任务关键型和业务关键型系统和应用程序,以获得额外的网络弹性。
直接致力于基础设施关键和任务关键功能
BIA 的结果和输出应该有助于明确哪些因素对组织真正重要。企业和高管们并不会真正关心基础设施;他们需要的是潜在的任务关键型(Tier 1)和业务关键型(Tier 2)功能(参见图 3)。
图 3:针对性网络弹性重点
优先考虑关键基础设施和运营的网络弹性
**1. 利用BIA结果确定优先事项:**使用 BIA 数据清晰地定义和排序组织的任务关键型(Tier 1)和业务关键型(Tier 2)功能以及支持基础设施。与业务领导者沟通,验证这些优先事项,并确保其与组织目标保持一致。
**2. 实施分级安全控制和能力:**投入资源和精力,开发和部署针对第1层和第2层资产的强大识别、保护、检测、响应和恢复控制措施。确保这些控制和能力根据每个关键领域的具体风险和运营要求进行量身定制(参见表1)。
**3. 对齐恢复目标和顺序:**为每个关键层级建立并记录恢复时间目标 (RTO),并设计反映这些优先级的恢复计划。优先考虑影响最大的系统和基础设施,并优先考虑 Active Directory 或其他基础服务等依赖项。
**4. 让利益相关者参与基于风险的决策:**对于不太重要的资产(第3层和第4层),应与利益相关者进行基于风险的讨论,以确定适当的保护和恢复级别。应认识到这些系统可能需要的控制措施可能不那么严格,从而实现更高效的资源配置。
**5. 持续审查和更新优先级:**定期重新审视 BIA 和关键资产清单,以适应不断变化的业务需求和威胁形势,确保网络弹性措施与组织优先事项保持一致。
通过系统地关注最关键的基础设施和功能,网络安全领导者可以最大限度地提高恢复力举措的有效性,并确保从破坏性网络事件中快速恢复。
表 1: 需要考虑的网络弹性控制和能力
|--------|------------------|-----------------------------------------------------------------------------|-----------------------------------------------------------------|
| 序号 | 能力/控制 | 行动 | 网络弹性成果 |
| 1. | 将风险管理融入网络战略 | 审查企业风险管理框架,并根据网络和IT风险进行调整。定期进行企业风险影响评估 (BIA),以了解风险偏好和阈值。 | 通过清楚地了解风险,组织能够有效地分配资源和缓解措施,即使在发生破坏性事件时也能维持业务运营。 |
| 2. | 建立全面的资产管理和配置管理 | 建立并维护所有基础设施硬件、软件、数据和第三方关系的准确清单。对关键资产和业务流程进行编目和分类,重点保护和监控那些对业务连续性至关重要的资产和流程。 | 通过有效的配置管理和全面的资产识别,组织可以减少其攻击面并增强其快速响应和恢复事件的能力。 |
| 3. | 加强数据安全控制 | 对所有关键数据资产实施并定期测试加密、访问控制和监控。 | 最大限度地减少攻击期间的敏感数据泄露,从而增强客户或客户的信心。 |
| 4. | 成熟的身份和访问管理 (IAM) | 部署强大的 IAM 解决方案,定期审查访问权限并监控可疑活动。保护核心 IAM 系统,例如 Active Directory。 | 强大的身份和访问管理(IAM),组织可以有效地保护关键资源并防止未经授权的访问,从而显著降低因凭证泄露或提升而引发攻击的风险。 |
| 5. | 专注于测试 | 进行持续和定期的测试,包括基于场景的桌面测试、渗透测试和红队测试。 | 识别事件响应计划中的差距,发现系统中的漏洞,并测试其安全控制的有效性,从而支持快速恢复。 |
| 6. | 增强端点安全性 | 部署高级端点保护,确保定期修补,并保护所有设备(包括物联网)。 | 在端点上实施强大的控制可以最大限度地减少漏洞并大大降低成功攻击的可能性。 |
| 7. | 强化基础设施安全 | 实施跨服务器、云和存储的网络分段、漏洞管理和持续监控。 | 安全的基础设施对于减轻运营中断并确保在不断演变的网络威胁面前的连续性至关重要。 |
| 8. | 在应用程序开发中嵌入安全 | 将安全编码实践、定期漏洞测试和运行时保护集成到软件开发生命周期中。 | 安全的应用程序维护操作完整性并大大减少组织因基于软件的网络威胁而面临的风险。 |
| 9. | 主动管理第三方风险 | 定期评估供应商和合作伙伴的网络安全态势,明确合同责任并开展联合事件响应演习。 | 主动监督和管理第三方关系对于减轻外部实体引入的潜在漏洞至关重要。 |
资料来源:Gartner(2025 年 9 月)
实施严格的多层测试以验证和增强网络弹性
组织和网络安全领导者常常低估持续、全面的测试在充分实现其网络弹性投资价值方面的关键作用。虽然商业影响评估 (BIA) 以及针对基础设施和关键业务层级的有针对性的优先级排序是基础,但如果没有通过可靠的测试进行持续验证,这些努力就会受到削弱。
网络安全领导者必须将基于风险的多层次测试程序制度化,并将其作为其弹性战略中不可或缺的要素。测试不应局限于合规性复选框,而应成为与业务影响分析 (BIA)、恢复时间目标 (RTO) 和恢复点目标 (RPO) 相一致的战略性迭代流程,从而推动持续改进和运营准备就绪。测试应侧重于满足关键系统的恢复时间和恢复点要求,并在可行的情况下将关键第三方纳入测试流程。Gartner 发现,每年使用桌面场景测试的组织中,只有不到 46% 的组织仅测试了不到 20% 的业务连续性计划。请记住,如果发生勒索软件等重大事件,组织可能无法实现计划中概述的恢复时间目标 (RTO) 和恢复点目标 (RPO)。然而,全面且持续的测试应该有助于缓解或应对您在做好更充分准备后可能遇到的一些挑战。
网络安全领导者:
1. **建立正式的测试计划:**制定并维护一个结构化的测试日程表,其中包含桌面演练、基于场景的模拟(涵盖严重事件和似是而非事件)、技术渗透测试以及威胁主导的渗透测试(例如,红队、蓝队和应用程序安全测试)。确保所有通过 BIA 确定的关键业务功能和支持基础设施都包含在测试范围内。
2. **让业务利益相关者参与:**让业务和运营领导参与情景开发和演练后评估,以验证韧性措施是否符合业务优先级和恢复目标。考虑开展不同级别的桌面演练,例如与高级利益相关者、危机管理团队、特定关键业务职能部门和技术团队合作。
3. **将测试结果整合到弹性规划中:**要求系统地审查每次测试的发现和经验教训,确定其优先级,并将其纳入事件响应、恢复、业务影响评估 (BIA)、IT 灾难恢复计划和业务连续性计划中。这不仅确保控制措施和功能得到部署,而且在实际条件下也得到验证。
4. **衡量和报告测试效果:**定义测试活动的关键绩效指标 (KPI) 和衡量标准,例如检测、响应和恢复时间,以及已发现漏洞的弥补率。考虑其他指标,例如停机程序或勒索软件应对能力。定期向高管层报告这些指标,以证明测试对网络弹性的价值和影响。
5. **持续改进测试方法:**定期更新测试场景和方法,以反映不断变化的威胁形势、业务运营的变化以及从组织内部和整个行业发生的事件中汲取的经验教训。经验教训以及更新行动手册和事件响应计划是组织在紧急恢复系统和关键业务流程时经常忘记的关键步骤。考虑进行外部测试,例如威胁主导渗透测试 (TLPT)。
最后,请记住网络韧性更重要的是组织韧性,不可能仅靠安全团队或网络安全负责人一人之力实现。要真正实现韧性,需要与相应的团队(包括IT和业务团队)进行一定程度的跨职能协作。