隨著數字化的加速,組織要架起防御以確保信息系統得到很好的保護,這十分關鍵。但是威脅來自四面八方,公司應該從何入手,如何跟上當前格局中的不斷變化?在麥肯錫播客中,麥肯錫網絡解決方案的幾位領導,副總裁Dayne Myers和顧問Marc Sorel與麥肯錫出版社(McKinsey Publishing)的Simon London談論了如何管理網絡安全風險、建立數字化適應力(digital resilience),確定關鍵資產的優先級,并包含廣泛的,業務范圍的觀點(即使你的計劃并不完美)。
Simon London:你好,歡迎做客麥肯錫播客。我是麥肯錫出版社的編輯Simon London。今天我們要談論網絡安全,組織如何應對日益復雜的信息系統和資產方面的威脅。一同參與討論的還有硅谷辦事處的麥肯錫網絡解決方案的領導者Dayne Myers和Marc Sorel。Dayne,Marc,非常感謝你們的蒞臨。
Dayne Myers:謝謝你的邀請。
Simon London:一年前,本播客邀請了James Kaplan,一位出色的同事。我們談到了網絡安全的一些基本東西。他還介紹了數字彈性(digital resilience)的概念,稍后會詳細介紹。但在這之前,我們先回顧一下2016年,也就是James在此談論網絡安全的一年。那一年到底變得怎么樣了?
Dayne Myers:嗯,Simon,我會說,我們看到的最重要的事情之一就是網絡安全風險越發成為董事會關注的問題。董事會認為這個問題必須關注。
我認為我們學到的另一件事是,有很多董事會和首席執行官越來越關注他們所花的錢,他們在網絡安全技術和防御方面的投資是否獲得了足夠的回報,以及他們對優先事項的排序是否正確。
最后一點是,隨著世界變得更加數字化,各大公司(不僅僅是基于云的公司和軟件公司)數字化程度越來越高,這種威脅呈指數增長。如果你受到攻擊,創新速度顯然會放緩。但也要設法以不會減慢數字化速度和創新的方式規劃網絡安全,這很難做到。
Simon London:James去年提到一些事,就是我們在網絡安全專業人士中發現的一些初步數據,有一種想法認為,攻擊者的步伐加快了,他們的創新速度比好人更快。事實依然如此嗎?
Marc Sorel:肯定是的,Simon。而且我認為實際上我們已經發現,攻擊者與防御者之間的差距變得越來越大了。你可以以多種方式來考察這個現象,但最好的方式也許是以滲漏時間(time to exfiltrate)來衡量隔離時間(time to quarantine)。
如果我是攻擊者,那么我需要以多快的時間入侵并得到我要的東西。所謂滲漏時間就是,一旦我知道你入侵了,多久才能阻止你。如果你只是簡單地將這兩種時間視為兩個線圖(line graph),那么就時間而言,它們之間的差距越來越大,越來越有利于攻擊者。
我們確實發現了。我想簡單回顧一下Dayne對去年發生的事情的看法。價值、價值創造、網絡安全攻擊、黑客攻擊和破壞的影響之間已經劃出了更直接的界限。我們也發現這個問題在我們所服務的私人股本公司中頻頻出現。無論是收購前還是收購后,它們都在詢問,從安全方面的資本支出和運營支出的角度來看,要擔心哪些危險信號,如果我今天不處理好這些問題的話,我很難將錢用于數字戰略并獲得我想要的私人股本回報。
Simon London:2016年發生的其它一些事情不外乎就是由國家提供支持的行為體(state-sponsored actors)發動的攻擊,不管是真是假,你只要讀過報紙就知道。至少在大眾想象中,這似乎變得越來越突出。這是否就是公司越來越擔心且不得不擔心的事情?
Marc Sorel:我認為,我們從這些公司獲悉,它們擔心這個,懼怕哪個,卻很少把矛頭指向國家。這些公司有這樣一種理解,即上頭條新聞并不一定代表這是新趨勢或愈演愈烈的東西。這可能只是由來已久但更突出的東西。與我們合作的很多公司都明白這一點。它們更加關心和行為體和媒介有關的分析。
那么誰是最可疑的行為體呢?什么是最可疑的媒介?當然,某些民族國家行為體出于某些原因會對某些行為體或媒介感興趣。但在大多數情況下,但凡是公司都有可能引起非國家或半國家行為體的注意。我說的是與民族國家也許沒任何關系的犯罪集團或相關的黑客團體。通常就媒介而言,這些犯罪集團或黑客團體使用非常傳統的渠道進行攻擊,例如網絡釣魚(phishing)。
真正的日常風險往往是一些簡單得不能再簡單的東西(比如網絡釣魚),如今網絡釣魚帶動了80%到90%的攻擊量,記住這一點很重要。這還會繼續進行下去。后繼的攻擊者仍然是那些犯罪集團,或者是一群攻擊者,甚至是你自己的員工(不管有意無意),而不是那些非常復雜的國家行為體。
Dayne Myers:正如Marc所說,由于選舉周期,民族國家受到了很多關注。這個消息就是關于民族國家的,但大到民族國家,小到有組織犯罪,都有涉事。你甚至可以在暗網(dark web)上找到買賣攻擊代碼的黑市。
只需花150美元,人人都可以買到非常高效的黑客代碼。實際上,這等于將攻擊軟件市場商品化了,這些軟件是黑客發動攻擊的武器。因此,大到開發網絡武器的民族國家,小到能進入暗網的個人都在用比特幣購買攻擊代碼,并且不易被發現。
你必須為所有可能的情況做好準備。不管你在新聞中聽到什么,所有這一切都正在發生,你必須為所有這一切做好準備。這甚至無關乎人們是否能完全抵御所有這些威脅。這關乎管理風險并盡可能地管理威脅。
Simon London:這就是說,被盯上的不光是大公司。我想我們在新聞中也已經看到了,小公司也頻頻受到勒索軟件的攻擊,當然中型企業也不例外。對嗎?
Marc Sorel:當然。你可以考察很多不同的數據,這些數據表明,在各種行業和各個地區,受到攻擊的中型企業數量正在增長。針對它們的攻擊數量正在增長。
就你對勒索軟件的觀點而言,我們也發現勒索軟件正漸漸變成一種方法。這里簡單解釋一下勒索軟件是什么:它大致上是某個人(可能在組織內部,但通常在組織以外)入侵并使用系統,在企業環境中到處亂竄,然后執行某種代碼或功能,這些代碼或功能使遭到攻擊的公司無法使用系統。然后攻擊者會索要贖金來解鎖該系統或者歸還他們從公司系統訪問中隔離的數據。
在好萊塢長老會醫療中心(Hollywood Presbyterian Medical Center)發生的事情是一個很好的例子,該中心的系統曾遭到勒索軟件的攻擊。最近,舊金山市交通局(San Francisco Municipal Transportation Agency)也遭到了類似的攻擊。對于所有這一切,勒索軟件攻擊者實際上索要以比特幣形式支付的贖金,金額往往不算大,低于10萬美元。因此,就價值風險的大小而言,直接影響沒有你想的那么大。但就停機時間、聲譽風險、品牌風險而言,還有在你的運營中產生的后續收入,它都會對業務造成非常實質性的影響。
Dayne Myers:還有一件事要補充:攻擊者看待事物的方式發生了變化。他們曾經看哪兒錢多,哪兒可以弄到很多錢。但現在看哪兒有最不堪一擊的受害者,是嗎?
他們不會去糾纏受到嚴密保護的人。但沒有人能得到萬無一失的保護。最重要的是比其他人得到更好的保護,沒那么容易成為目標,沒那么容易暴露。因為攻擊者如今會挑最容易攻擊的地方下手,而不一定是錢最多的地方。
Simon London:顯然,這是進入這一問題的很好的紐帶——你如何應對日益復雜的威脅形勢依我看,它會變得更加危險。James引入了數字化適應力這一觀念。
我們從具備數字化適應力的企業的習慣中學到了什么?在更成熟,更具彈性的企業身上,我們又能從它們的作風里發現什么?
Marc Sorel:Simon,我們是有所發現。為了刷新數字化適應力這一觀念,我們與世界經濟論壇(World Economic Forum)以及世界各地的各類業務執行和技術領導者合作開發的由七部分組成的框架。
該框架討論的不僅是網絡安全的技術層面,還涉及網絡安全的治理和業務層面。比如該框架中的一些要素的某些示例,這些示例不僅僅與你在技術環境中如何建立安全性有關,而且與你如何確保你開發的新應用程序是否安全有關?另外,你如何看待網絡安全的治理?你是否向董事會匯報了該主題?如果是,頻率如何,以及誰在進行對話?
我們在數字化適應力評估(Digital Resilience Assessment)工作中發現,該評估現已為70多家公司提供服務,并通過各種來源匯集了針對200多家公司的評估角度,以及更多公司的數據庫。在安全性和成熟度方面對性能進行基準測試——我們大體上將結果匯總在一起以獲得一些結論。對我們來說,這項工作給我們的啟發之一就是,具有數字適應力的公司已經明白安全問題非常重要,重要到要為此專設C級領導層職位。
這往往以首席信息安全官的形式體現。設有該職務的公司在整整七個維度上的總分比沒有設置該職務的同行往往要高出25%到40%。
我們還發現(這更有可能是諸多其它因素引起的結果),那些定期就網絡安全向董事會匯報的公司也往往得分更高。通常,這不一定是因為它們向董事會匯報情況,而是因為它們已經落實了控制系統(systems of control)和數據分析系統。它們也能讓你在董事會面前樂于接受這種做法;你很清楚地知道怎樣以一種易于董事會理解的方式與董事會交談。雖然這可能不是推動成熟度的因素,但這是衡量公司成熟度和數字化適應力的一個不錯的指標。
Simon London:在最近的研究里,我還注意到,使用真實模擬的公司(戰爭游戲)往往在適應力和成熟度方面得分更高。對嗎?
Marc Sorel:沒錯。那些公司的得分平均比同行高出約30%至40%。舉一個應急的具體例子,其中,我們在應急方面服務于一家私人股本公司(private-equity firm)。實際上,我們幫它們設計了一個歷時四小時的端到端應急響應模擬(end-to-end incident-response simulation),當我們實際交付該模擬時,它們的高管團隊和技術團隊也參與了進來。
該模擬包括他們必須解決的各種情況,在這些情況中,我們談論敏感客戶數據方面的攻擊,以及它們在工作中必須與客戶和它們自己的投資組合公司一起應對的與投資者相關的數據。我們從這個模擬中發現,盡管在第一個小時內已經報告了環境中關鍵服務器上敏感數據的重大攻擊,但直到第三個小時它們才問要不要聯系監管當局。
當這個問題最終被問到時,恰恰是屋里這一瞬間的沉默使每個人都意識到:“天哪,首先,我們一開始就應該問這個問題。其次,我們是否能夠理解當情況升溫到需要我們出手時的后果”?第一次演練的主要認識之一就是(我們從更多成熟的公司那里發現的,這些公司做了很多次演練),實際上,在危機發生之前,你已經掌握了控制權和指導方針,你需要知道在危機背景下如何確定你必須做出的70%到80%的艱難決定。將這些功能落實到位就能變得更成熟,更安全。
Simon London:Marc,你說過模擬和戰爭游戲是你每年必做的事,這很有趣。聽起來,很多這樣的事情都不是一勞永逸的,對吧?
Dayne Myers:你說得很對。組織在網絡成熟度上處在什么位置并不重要。這關系到基本的衛生。這幾乎和刷牙,用牙線剔牙沒什么兩樣。即使你做得不夠勤,你早晚要做,而且必須定期做。
無論你是否在這個觀點上成熟,你是否一直在做這件事,這些都不重要。你仍要堅持這樣做。你仍要不斷改進。你仍要保持領先。如果你不太成熟,你必須開始行動了。
Marc Sorel:我們最近的工作中的一個例子涉及財富100強的消費品制造商。情況是,其首席信息安全官正在努力將自己的安全計劃落實到位。
該首席信息安全官剛剛從另一家公司跳過來,他知道消費品制造商已經落伍了。但他還不能高效地集結人馬。我們與他展開了一些合作并進行了初步的數字彈性評估,該評估對同行做了自上而下的基準測試。
根據我們發現的調查結果,很明顯,公司在幾個地方需要采取行動并且刻不容緩。首先是確定關鍵資產在環境中的含義。由于你無法進行良好的應急響應模擬,因此你無法確定支出的優先級,并且無法在不知道自己擁有什么和什么才是重要的事情的情況下保護自己免受威脅。
Simon London:這是所謂的“皇冠上的珠寶”吧?
Marc Sorel:沒錯。我們還發現,它實際上不具備我們所討論的應急響應模擬肌肉記憶(incident-response-simulation muscle memory)。該公司要盡快建立這種記憶,部分原因在于,作為消費品制造商,它有一個在很大程度上面向消費者的業務部分,在未來五年內,它希望以一種以消費者為中心,直接面向消費者和數字化的方式發展。由于該公司引進了新功能,所以威脅形勢正在增長。除了事件響應模擬和關鍵資產確認(critical-assets identification),還有一層含義是如何構建信息安全組織。
因為,安全性目前是很多兼職人員的責任,而不是少數全職人員的責任。因此,安全性并沒有得到應有的關注,特別是上游應用程序開發之類的東西,企業想用這些程序來創建一些數字工具。因此,它有可能冒著放緩上市時間的風險。
最后一件事就是,它有一個與之合作的特許經營集團。大體上,該集團也在與其數字系統進行交互。目前還不清楚這些第三方的威脅風險是什么。它還要明白第三方風險是什么——不僅僅是如何構建組織結構、建立響應功能,還有如何為資產劃定優先級。
在過去的一年中,我們結束了評估工作后,一直在很多步驟上與該集團展開合作,以幫助它取得理想的成果,不僅變得安全,還把安全性作為促進業務發展的方法和手段。
Simon London:我們可以回到皇冠上的珠寶這個概念嗎?你應該優先考慮那些對業務至關重要的資產和系統,當然,這說來容易做起來難。但我想,在實踐中,如果你的公司是大型企業,弄清楚資產是什么實際上是一件大事兒:誰在內部擁有這些資產、治理是什么、如何保護這些資產。
Marc Sorel:這是一項非常艱苦的工作。Simon,這工作很耗時間。這在實踐中是怎么運作的,我們如何著手處理它是公司通常要考慮的,首先,我的系統和資產如何相互對應?這才是艱辛工作的開始。我們的網絡風險洞察解決方案有助于那些希望通過60%的解決方案開展這項艱苦工作的公司。
在單個業務部門的基礎上,在五到八周的時間內,公司將大體上將系統最大限度地對應到資產、威脅環境和業務價值鏈。在此基礎上,它們為資產分配了優先級并說:“好吧,我們應該采取什么樣的控制措施,而我們已經有什么樣的控制措施?我們最終用來縮小控制缺口的計劃是什么”?難就難在這里。
Dayne Myers:對于Marc所說的,我要補充一點,事實上,很多公司現在需要采取的措施是,它們在IT層面做一些這樣的事情,但它們忽略了從業務的角度看待風險。
從IT角度來看,這是一回事。但這往往不足以使人們真正理解和管理風險。你需要那種業務視角。我們一直在告誡企業實現這一跨越,使其更多地成為業務問題,而不僅僅是技術問題,并在整個企業生態系統中考察技術。
Marc Sorel:這種風險管理要在不同的環境和框架得到應用。這不僅僅是關于傳統IT的問題。
當你考慮物聯網,尤其是運營技術時,你將要面臨威脅的下一個環境,你要牢記幾個因素。
一個是連接設備(connectivity device)的激增和技術環境中的持久化。我的意思是,有更多的人要接觸更多的對象。這些對象之間的通信更頻繁。這產生了大量在觸點間過渡的通信、代碼和數據,其復雜程度是任何單一機構或個人都無法追蹤的。
就威脅形勢而言,這會產生更多風險。我舉幾個例子。最近的一個例子是,我們與一家希望獲得網絡安全幫助的公用事業公司進行交談。當然,對于公用事業而言,它們既擁有非常可靠的IT環境,也有OT,即運營技術。具體而言,這意味著,你落實到水過濾工廠的水過濾設備中使用的工業控制系統可以告訴你何時對水進行過濾以及如何過濾。如果它受到攻擊,它當然會對它所服務的人群產生重大影響。
其中一個主要風險是,在歷史上,就OT與IT獲得更新的方式而言,它們得到了截然不同的待遇。IT定期得到補丁和更新。想想你iPhone上的操作系統。你不斷獲得新版本,動動手指就有了。而OT幾年才更新一次。當事物以不同的速度更新時,它們會在工作機制上產生間隙。這就導致了一種情況,就像我們在大壩的例子里看到的那樣,大壩被一名從前端支付處理器進入的黑客入侵。又或者是美國其它地方的水過濾工廠遭到黑客入侵,而黑客實際上將水的化學成分改變了。
另一個令人振奮的領域是云安全。如果你考慮如今發生著的云遷移,我們通過麥肯錫企業云調查發現,公司不遷移到云的首要原因是安全問題。
他們只是不確定如何看待這一點——保護他們想要遷移到云端的所有內容,盡管就降低成本而言,云會對他們的業務帶來好處。在所有這些領域,網絡安全將發揮越來越重要的作用。我認為,對于能夠正確回答如何將安全性視為業務不可或缺的一部分的人來說,這將是一個可以帶來很多影響的地方。
Simon London:就你的觀點而言,Dayne,這說明了創新與安全性之間的緊張關系。我認為,安全專家和業務部門之間存在很大的緊張關系:一邊是想干出點成績的人,一邊是建議他們慢慢來的人。
Dayne Myers:這是一個非常好的觀點。此外,這可以追溯到我們之前討論過的從企業高管那里得到支持的問題。我們一直在努力幫助我們的客戶理解并做出這樣的轉變——從“IT只不過是一個控制功能,或者是使他們行動放緩的限制”到“它是一個持續的風險管理過程”,他們要建立自己的思維方式和運營方式。做出這種轉變的公司比那些落伍的公司更能駕馭潮流。
Simon London:好的。好的,謝謝。我想我們今天有時間。Dayne,Marc,感謝你們的光臨。
京公網安備 11010502049343號