隨著網絡犯罪和高級持續攻擊的“民主化”和“常態化”，越來越多的企業信息主管和網絡安全團隊開始關注“網絡彈性”，但很多企業的網絡彈性指標和框架其實與網絡彈性無關。

(相關資料圖)

網絡安全的“B面”：網絡彈性

網絡彈性（Cyber Resilience）和網絡安全（Cyber Security）是兩個不同性質但又密切相關的概念。網絡安全主要關注的是預防和抵御網絡攻擊，保護網絡中的數據和服務不受威脅。這涉及到使用防火墻、加密技術、身份驗證、入侵檢測系統等技術來防止未經授權的訪問、數據泄露，以及其他類型的網絡攻擊。網絡安全的目標是防止攻擊發生，如果發生攻擊，盡可能地減小攻擊的影響。

網絡彈性則是指網絡在面臨攻擊或者其他不利情況（例如設備故障、自然災害等）時，能夠維持其關鍵功能，或者在攻擊后能夠快速恢復的能力。網絡彈性的關鍵是設計和實施一種能夠適應和恢復的網絡架構，這可能涉及到負載均衡、冗余設計、故障切換、災難恢復等措施。

在某種意義上，網絡彈性可以被看作是網絡安全的一部分。一個具有良好網絡安全能力的系統應該具備處理和抵御網絡攻擊的能力，同時也需要具備在面臨攻擊或者其他突發事件時，保持關鍵操作和服務運行，或者快速恢復到正常狀態的能力。然而，網絡彈性更側重于系統的適應性和恢復力，而網絡安全更側重于防御和保護。

總的來說，網絡安全和網絡彈性都是構建一個安全、健壯和可靠網絡系統的關鍵組成部分，二者缺一不可，但是在具體實踐中，很多企業都對網絡彈性缺乏足夠認識和準備。

網絡彈性計劃大多不成熟

Immersive Labs的一項研究顯示，在外部威脅的驅動下，企業有加強網絡安全能力的強烈意圖。但遺憾的是，雖然大多數企業都宣稱自己有網絡彈性計劃，其中超過一半都缺乏評估彈性的全面方法。

“攻擊者的參與規則不斷創新，試圖造成災難性和不可避免的情況，”Osterman Research分析師兼調查白皮書作者Michael Sampson指出：“雖然網絡彈性是大多數組織的希望所在，但大多數組織構建、測試和提高網絡彈性的做法仍不成熟。”

這項研究由奧斯特曼研究公司委托進行，調查了擁有570多名員工的組織中擔任高級安全和風險角色的1000名受訪者。該調查在美國、英國和德國進行。

調查的一些重要統計數據和結論如下：

雖然大多數（86%）組織都有網絡彈性計劃，但超過一半（52%）的受訪者表示，他們的組織缺乏評估網絡彈性的全面方法。

這些網絡彈性計劃包括網絡彈性戰略、計劃和/或基礎設施的組合，其中大部分由組織內部管理（51%）。與此同時，一小部分外包給第三方，如咨詢公司（35%）。

公司缺乏適當的指標來評估網絡彈性，近一半（46%）的高級安全和風險領導者缺少合適的指標來展示其員工抵御網絡攻擊的彈性，只有6%的公司利用了響應時間、入侵率、內部數據丟失和各種數據類型的事件率等信息指標。

“我對組織用來評估網絡安全能力和彈性的指標感到失望，”桑普森說：“大多數企業都依賴與彈性無關的指標、測試和指標評估框架。”

調查還表明，在過去六個月中，只有不到一半（46%）的組織的董事會要求安全團隊展示組織的網絡彈性。高級管理層提出該要求的比例也僅為51%。

“很多壓根沒有網絡彈性指標的企業仍然每年向董事會數次報告網絡彈性，這也著實令人驚訝和費解，”桑普森補充道：“我們不知道這些報告的具體內容，但混淆現實對所有利益相關者來說都是壞消息。如果組織的董事會開始要求提供證據，并深入研究為彈性評估提供信息的內容，那就太好了。”

安全意識培訓方法亟待變革

網絡安全威脅是網絡彈性計劃的主要驅動因素。63%的受訪者表示他們擔心勒索軟件，51%的受訪者擔心供應鏈攻擊，48%的受訪者擔心代碼漏洞攻擊。

“網絡彈性能力的低下被威脅的混沌屬性進一步放大：勒索軟件、供應鏈和第三方攻擊以及編碼漏洞，”Sampson說道：“這些攻擊的許多方面仍然是動態的、混亂的，并且不受組織的控制。”

對行業安全認證的不信任是調查發現的另一個關鍵問題。雖然幾乎所有（96%）的組織都支持網絡安全行業認證，但只有32%的組織表示這在緩解網絡威脅方面有效。此外，盡管96%的組織表示他們鼓勵IT和網絡安全團隊獲得證書，只有48%的企業在招聘中將網絡安全認證作為重要條件。

此外，業界的（網絡安全意識）課堂培訓的頻率也不足以有效應對網絡安全威脅，因為只有大約27%的受訪者每月接受培訓。

“雖然認證和培訓在培養特定領域或產品的能力方面可以發揮作用，但它們不太適合評估個人如何將這種能力應用于‘野外’事件以及與團隊中其他人的關系。”Sampson補充道。

盡管接受了多年的安全意識培訓和網絡釣魚測試，但近一半的受訪者（46%）表示他們的員工仍不確定如何處理網絡釣魚電子郵件。這表明業界通行的安全意識培訓方法存在巨大的改進空間。

Sampson認為，網絡安全認證與安全意識培訓的內容開發、個人學習和能力評估之間的時間間隔與快速發展的威脅形勢不匹配，導致個人在面對真實的網絡威脅時的實戰表現總是低于預期。

最后，該研究得出的結論是，企業需要優先考慮網絡安全工作，重點工作是培訓整體員工隊伍（而不僅僅是IT部門）的安全技能、知識和判斷力，同時積極評估和解決網絡彈性水平和網絡安全技能的差距，以在快速發展的網絡安全環境中有效應對新興威脅。