随着数字化的加速,组织要架起防御以确保信息系统得到很好的保护,这十分关键。但是威胁来自四面八方,公司应该从何入手,如何跟上当前格局中的不断变化?在麦肯锡播客中,麦肯锡网络解决方案的几位领导,副总裁Dayne Myers和顾问Marc Sorel与麦肯锡出版社(McKinsey Publishing)的Simon London谈论了如何管理网络安全风险、建立数字化适应力(digital resilience),确定关键资产的优先级,并包含广泛的,业务范围的观点(即使你的计划并不完美)。
Simon London:你好,欢迎做客麦肯锡播客。我是麦肯锡出版社的编辑Simon London。今天我们要谈论网络安全,组织如何应对日益复杂的信息系统和资产方面的威胁。一同参与讨论的还有硅谷办事处的麦肯锡网络解决方案的领导者Dayne Myers和Marc Sorel。Dayne,Marc,非常感谢你们的莅临。
Dayne Myers:谢谢你的邀请。
Simon London:一年前,本播客邀请了James Kaplan,一位出色的同事。我们谈到了网络安全的一些基本东西。他还介绍了数字弹性(digital resilience)的概念,稍后会详细介绍。但在这之前,我们先回顾一下2016年,也就是James在此谈论网络安全的一年。那一年到底变得怎么样了?
Dayne Myers:嗯,Simon,我会说,我们看到的最重要的事情之一就是网络安全风险越发成为董事会关注的问题。董事会认为这个问题必须关注。
我认为我们学到的另一件事是,有很多董事会和首席执行官越来越关注他们所花的钱,他们在网络安全技术和防御方面的投资是否获得了足够的回报,以及他们对优先事项的排序是否正确。
最后一点是,随着世界变得更加数字化,各大公司(不仅仅是基于云的公司和软件公司)数字化程度越来越高,这种威胁呈指数增长。如果你受到攻击,创新速度显然会放缓。但也要设法以不会减慢数字化速度和创新的方式规划网络安全,这很难做到。
Simon London:James去年提到一些事,就是我们在网络安全专业人士中发现的一些初步数据,有一种想法认为,攻击者的步伐加快了,他们的创新速度比好人更快。事实依然如此吗?
Marc Sorel:肯定是的,Simon。而且我认为实际上我们已经发现,攻击者与防御者之间的差距变得越来越大了。你可以以多种方式来考察这个现象,但最好的方式也许是以渗漏时间(time to exfiltrate)来衡量隔离时间(time to quarantine)。
如果我是攻击者,那么我需要以多快的时间入侵并得到我要的东西。所谓渗漏时间就是,一旦我知道你入侵了,多久才能阻止你。如果你只是简单地将这两种时间视为两个线图(line graph),那么就时间而言,它们之间的差距越来越大,越来越有利于攻击者。
我们确实发现了。我想简单回顾一下Dayne对去年发生的事情的看法。价值、价值创造、网络安全攻击、黑客攻击和破坏的影响之间已经划出了更直接的界限。我们也发现这个问题在我们所服务的私人股本公司中频频出现。无论是收购前还是收购后,它们都在询问,从安全方面的资本支出和运营支出的角度来看,要担心哪些危险信号,如果我今天不处理好这些问题的话,我很难将钱用于数字战略并获得我想要的私人股本回报。
Simon London:2016年发生的其它一些事情不外乎就是由国家提供支持的行为体(state-sponsored actors)发动的攻击,不管是真是假,你只要读过报纸就知道。至少在大众想象中,这似乎变得越来越突出。这是否就是公司越来越担心且不得不担心的事情?
Marc Sorel:我认为,我们从这些公司获悉,它们担心这个,惧怕哪个,却很少把矛头指向国家。这些公司有这样一种理解,即上头条新闻并不一定代表这是新趋势或愈演愈烈的东西。这可能只是由来已久但更突出的东西。与我们合作的很多公司都明白这一点。它们更加关心和行为体和媒介有关的分析。
那么谁是最可疑的行为体呢?什么是最可疑的媒介?当然,某些民族国家行为体出于某些原因会对某些行为体或媒介感兴趣。但在大多数情况下,但凡是公司都有可能引起非国家或半国家行为体的注意。我说的是与民族国家也许没任何关系的犯罪集团或相关的黑客团体。通常就媒介而言,这些犯罪集团或黑客团体使用非常传统的渠道进行攻击,例如网络钓鱼(phishing)。
真正的日常风险往往是一些简单得不能再简单的东西(比如网络钓鱼),如今网络钓鱼带动了80%到90%的攻击量,记住这一点很重要。这还会继续进行下去。后继的攻击者仍然是那些犯罪集团,或者是一群攻击者,甚至是你自己的员工(不管有意无意),而不是那些非常复杂的国家行为体。
Dayne Myers:正如Marc所说,由于选举周期,民族国家受到了很多关注。这个消息就是关于民族国家的,但大到民族国家,小到有组织犯罪,都有涉事。你甚至可以在暗网(dark web)上找到买卖攻击代码的黑市。
只需花150美元,人人都可以买到非常高效的黑客代码。实际上,这等于将攻击软件市场商品化了,这些软件是黑客发动攻击的武器。因此,大到开发网络武器的民族国家,小到能进入暗网的个人都在用比特币购买攻击代码,并且不易被发现。
你必须为所有可能的情况做好准备。不管你在新闻中听到什么,所有这一切都正在发生,你必须为所有这一切做好准备。这甚至无关乎人们是否能完全抵御所有这些威胁。这关乎管理风险并尽可能地管理威胁。
Simon London:这就是说,被盯上的不光是大公司。我想我们在新闻中也已经看到了,小公司也频频受到勒索软件的攻击,当然中型企业也不例外。对吗?
Marc Sorel:当然。你可以考察很多不同的数据,这些数据表明,在各种行业和各个地区,受到攻击的中型企业数量正在增长。针对它们的攻击数量正在增长。
就你对勒索软件的观点而言,我们也发现勒索软件正渐渐变成一种方法。这里简单解释一下勒索软件是什么:它大致上是某个人(可能在组织内部,但通常在组织以外)入侵并使用系统,在企业环境中到处乱窜,然后执行某种代码或功能,这些代码或功能使遭到攻击的公司无法使用系统。然后攻击者会索要赎金来解锁该系统或者归还他们从公司系统访问中隔离的数据。
在好莱坞长老会医疗中心(Hollywood Presbyterian Medical Center)发生的事情是一个很好的例子,该中心的系统曾遭到勒索软件的攻击。最近,旧金山市交通局(San Francisco Municipal Transportation Agency)也遭到了类似的攻击。对于所有这一切,勒索软件攻击者实际上索要以比特币形式支付的赎金,金额往往不算大,低于10万美元。因此,就价值风险的大小而言,直接影响没有你想的那么大。但就停机时间、声誉风险、品牌风险而言,还有在你的运营中产生的后续收入,它都会对业务造成非常实质性的影响。
Dayne Myers:还有一件事要补充:攻击者看待事物的方式发生了变化。他们曾经看哪儿钱多,哪儿可以弄到很多钱。但现在看哪儿有最不堪一击的受害者,是吗?
他们不会去纠缠受到严密保护的人。但没有人能得到万无一失的保护。最重要的是比其他人得到更好的保护,没那么容易成为目标,没那么容易暴露。因为攻击者如今会挑最容易攻击的地方下手,而不一定是钱最多的地方。
Simon London:显然,这是进入这一问题的很好的纽带——你如何应对日益复杂的威胁形势依我看,它会变得更加危险。James引入了数字化适应力这一观念。
我们从具备数字化适应力的企业的习惯中学到了什么?在更成熟,更具弹性的企业身上,我们又能从它们的作风里发现什么?
Marc Sorel:Simon,我们是有所发现。为了刷新数字化适应力这一观念,我们与世界经济论坛(World Economic Forum)以及世界各地的各类业务执行和技术领导者合作开发的由七部分组成的框架。
该框架讨论的不仅是网络安全的技术层面,还涉及网络安全的治理和业务层面。比如该框架中的一些要素的某些示例,这些示例不仅仅与你在技术环境中如何建立安全性有关,而且与你如何确保你开发的新应用程序是否安全有关?另外,你如何看待网络安全的治理?你是否向董事会汇报了该主题?如果是,频率如何,以及谁在进行对话?
我们在数字化适应力评估(Digital Resilience Assessment)工作中发现,该评估现已为70多家公司提供服务,并通过各种来源汇集了针对200多家公司的评估角度,以及更多公司的数据库。在安全性和成熟度方面对性能进行基准测试——我们大体上将结果汇总在一起以获得一些结论。对我们来说,这项工作给我们的启发之一就是,具有数字适应力的公司已经明白安全问题非常重要,重要到要为此专设C级领导层职位。
这往往以首席信息安全官的形式体现。设有该职务的公司在整整七个维度上的总分比没有设置该职务的同行往往要高出25%到40%。
我们还发现(这更有可能是诸多其它因素引起的结果),那些定期就网络安全向董事会汇报的公司也往往得分更高。通常,这不一定是因为它们向董事会汇报情况,而是因为它们已经落实了控制系统(systems of control)和数据分析系统。它们也能让你在董事会面前乐于接受这种做法;你很清楚地知道怎样以一种易于董事会理解的方式与董事会交谈。虽然这可能不是推动成熟度的因素,但这是衡量公司成熟度和数字化适应力的一个不错的指标。
Simon London:在最近的研究里,我还注意到,使用真实模拟的公司(战争游戏)往往在适应力和成熟度方面得分更高。对吗?
Marc Sorel:没错。那些公司的得分平均比同行高出约30%至40%。举一个应急的具体例子,其中,我们在应急方面服务于一家私人股本公司(private-equity firm)。实际上,我们帮它们设计了一个历时四小时的端到端应急响应模拟(end-to-end incident-response simulation),当我们实际交付该模拟时,它们的高管团队和技术团队也参与了进来。
该模拟包括他们必须解决的各种情况,在这些情况中,我们谈论敏感客户数据方面的攻击,以及它们在工作中必须与客户和它们自己的投资组合公司一起应对的与投资者相关的数据。我们从这个模拟中发现,尽管在第一个小时内已经报告了环境中关键服务器上敏感数据的重大攻击,但直到第三个小时它们才问要不要联系监管当局。
当这个问题最终被问到时,恰恰是屋里这一瞬间的沉默使每个人都意识到:“天哪,首先,我们一开始就应该问这个问题。其次,我们是否能够理解当情况升温到需要我们出手时的后果”?第一次演练的主要认识之一就是(我们从更多成熟的公司那里发现的,这些公司做了很多次演练),实际上,在危机发生之前,你已经掌握了控制权和指导方针,你需要知道在危机背景下如何确定你必须做出的70%到80%的艰难决定。将这些功能落实到位就能变得更成熟,更安全。
Simon London:Marc,你说过模拟和战争游戏是你每年必做的事,这很有趣。听起来,很多这样的事情都不是一劳永逸的,对吧?
Dayne Myers:你说得很对。组织在网络成熟度上处在什么位置并不重要。这关系到基本的卫生。这几乎和刷牙,用牙线剔牙没什么两样。即使你做得不够勤,你早晚要做,而且必须定期做。
无论你是否在这个观点上成熟,你是否一直在做这件事,这些都不重要。你仍要坚持这样做。你仍要不断改进。你仍要保持领先。如果你不太成熟,你必须开始行动了。
Marc Sorel:我们最近的工作中的一个例子涉及财富100强的消费品制造商。情况是,其首席信息安全官正在努力将自己的安全计划落实到位。
该首席信息安全官刚刚从另一家公司跳过来,他知道消费品制造商已经落伍了。但他还不能高效地集结人马。我们与他展开了一些合作并进行了初步的数字弹性评估,该评估对同行做了自上而下的基准测试。
根据我们发现的调查结果,很明显,公司在几个地方需要采取行动并且刻不容缓。首先是确定关键资产在环境中的含义。由于你无法进行良好的应急响应模拟,因此你无法确定支出的优先级,并且无法在不知道自己拥有什么和什么才是重要的事情的情况下保护自己免受威胁。
Simon London:这是所谓的“皇冠上的珠宝”吧?
Marc Sorel:没错。我们还发现,它实际上不具备我们所讨论的应急响应模拟肌肉记忆(incident-response-simulation muscle memory)。该公司要尽快建立这种记忆,部分原因在于,作为消费品制造商,它有一个在很大程度上面向消费者的业务部分,在未来五年内,它希望以一种以消费者为中心,直接面向消费者和数字化的方式发展。由于该公司引进了新功能,所以威胁形势正在增长。除了事件响应模拟和关键资产确认(critical-assets identification),还有一层含义是如何构建信息安全组织。
因为,安全性目前是很多兼职人员的责任,而不是少数全职人员的责任。因此,安全性并没有得到应有的关注,特别是上游应用程序开发之类的东西,企业想用这些程序来创建一些数字工具。因此,它有可能冒着放缓上市时间的风险。
最后一件事就是,它有一个与之合作的特许经营集团。大体上,该集团也在与其数字系统进行交互。目前还不清楚这些第三方的威胁风险是什么。它还要明白第三方风险是什么——不仅仅是如何构建组织结构、建立响应功能,还有如何为资产划定优先级。
在过去的一年中,我们结束了评估工作后,一直在很多步骤上与该集团展开合作,以帮助它取得理想的成果,不仅变得安全,还把安全性作为促进业务发展的方法和手段。
Simon London:我们可以回到皇冠上的珠宝这个概念吗?你应该优先考虑那些对业务至关重要的资产和系统,当然,这说来容易做起来难。但我想,在实践中,如果你的公司是大型企业,弄清楚资产是什么实际上是一件大事儿:谁在内部拥有这些资产、治理是什么、如何保护这些资产。
Marc Sorel:这是一项非常艰苦的工作。Simon,这工作很耗时间。这在实践中是怎么运作的,我们如何着手处理它是公司通常要考虑的,首先,我的系统和资产如何相互对应?这才是艰辛工作的开始。我们的网络风险洞察解决方案有助于那些希望通过60%的解决方案开展这项艰苦工作的公司。
在单个业务部门的基础上,在五到八周的时间内,公司将大体上将系统最大限度地对应到资产、威胁环境和业务价值链。在此基础上,它们为资产分配了优先级并说:“好吧,我们应该采取什么样的控制措施,而我们已经有什么样的控制措施?我们最终用来缩小控制缺口的计划是什么”?难就难在这里。
Dayne Myers:对于Marc所说的,我要补充一点,事实上,很多公司现在需要采取的措施是,它们在IT层面做一些这样的事情,但它们忽略了从业务的角度看待风险。
从IT角度来看,这是一回事。但这往往不足以使人们真正理解和管理风险。你需要那种业务视角。我们一直在告诫企业实现这一跨越,使其更多地成为业务问题,而不仅仅是技术问题,并在整个企业生态系统中考察技术。
Marc Sorel:这种风险管理要在不同的环境和框架得到应用。这不仅仅是关于传统IT的问题。
当你考虑物联网,尤其是运营技术时,你将要面临威胁的下一个环境,你要牢记几个因素。
一个是连接设备(connectivity device)的激增和技术环境中的持久化。我的意思是,有更多的人要接触更多的对象。这些对象之间的通信更频繁。这产生了大量在触点间过渡的通信、代码和数据,其复杂程度是任何单一机构或个人都无法追踪的。
就威胁形势而言,这会产生更多风险。我举几个例子。最近的一个例子是,我们与一家希望获得网络安全帮助的公用事业公司进行交谈。当然,对于公用事业而言,它们既拥有非常可靠的IT环境,也有OT,即运营技术。具体而言,这意味着,你落实到水过滤工厂的水过滤设备中使用的工业控制系统可以告诉你何时对水进行过滤以及如何过滤。如果它受到攻击,它当然会对它所服务的人群产生重大影响。
其中一个主要风险是,在历史上,就OT与IT获得更新的方式而言,它们得到了截然不同的待遇。IT定期得到补丁和更新。想想你iPhone上的操作系统。你不断获得新版本,动动手指就有了。而OT几年才更新一次。当事物以不同的速度更新时,它们会在工作机制上产生间隙。这就导致了一种情况,就像我们在大坝的例子里看到的那样,大坝被一名从前端支付处理器进入的黑客入侵。又或者是美国其它地方的水过滤工厂遭到黑客入侵,而黑客实际上将水的化学成分改变了。
另一个令人振奋的领域是云安全。如果你考虑如今发生着的云迁移,我们通过麦肯锡企业云调查发现,公司不迁移到云的首要原因是安全问题。
他们只是不确定如何看待这一点——保护他们想要迁移到云端的所有内容,尽管就降低成本而言,云会对他们的业务带来好处。在所有这些领域,网络安全将发挥越来越重要的作用。我认为,对于能够正确回答如何将安全性视为业务不可或缺的一部分的人来说,这将是一个可以带来很多影响的地方。
Simon London:就你的观点而言,Dayne,这说明了创新与安全性之间的紧张关系。我认为,安全专家和业务部门之间存在很大的紧张关系:一边是想干出点成绩的人,一边是建议他们慢慢来的人。
Dayne Myers:这是一个非常好的观点。此外,这可以追溯到我们之前讨论过的从企业高管那里得到支持的问题。我们一直在努力帮助我们的客户理解并做出这样的转变——从“IT只不过是一个控制功能,或者是使他们行动放缓的限制”到“它是一个持续的风险管理过程”,他们要建立自己的思维方式和运营方式。做出这种转变的公司比那些落伍的公司更能驾驭潮流。
Simon London:好的。好的,谢谢。我想我们今天有时间。Dayne,Marc,感谢你们的光临。
京公网安备 11010502049343号