目錄
推薦序
前 言
導 論
第1章 網路攻擊危及公司的創新步伐 / 1
網路攻擊風險降低了信息技術的價值 / 2
對每個人來說風險都很高,而且風險無處不在 / 9
防禦者落後於攻擊者 / 18
第2章 情況會好轉,也可能變糟糕:3萬億美元經濟損失 / 31
場景規劃及網路安全 / 33
場景1:得過且過的未來 / 37
場景2:數字反彈 / 41
場景3:數位化適應力 / 47
第3章 優先考慮風險及目標保護 / 55
漫無目的的安全措施只是在為攻擊者服務 / 56
制定信息資產及風險優先權,並讓業務領導參與其中 / 59
給最重要的資產提供差別保護 / 69
使用全面控制進行分層 / 71
在實踐中為優先權信息資產提供有針對性的保護 / 74
第4章 以數位化適應力方式經營生意 / 81
在所有業務過程中構建數位化適應力 / 82
讓一線員工參與保護他們所使用的信息資產 / 93
第5章 將IT現代化,以確保IT安全性 / 103
將網路安全嵌入IT環境的六個方法 / 104
為實現所需的改變,與IT領導合作 / 121
第6章 採取主動防禦措施對抗攻擊者 / 125
被動防禦措施的局限性 / 126
了解敵人,採取相應的措施 / 128
第7章 遭遇攻擊後:提升所有業務部門的應急回響能力 / 143
制訂應急回響計畫 / 145
利用模擬作戰來測試計畫 / 151
對真正的網路攻擊進行事後分析以完善計畫 / 156
第8章 構建起推動企業走向數位化適應力的項目 / 159
要實現數位化適應力需要什麼條件 / 160
推出數位化適應力項目的六步驟 / 166
第9章 創造有適應力的數位化生態系統 / 185
數位化生態系統 / 186
有適應力的數位化生態系統的影響力 / 187
創建有適應力的數位化生態系統需要什麼 / 191
為創造有適應力的生態系統而協作 / 195
結語 / 209
致謝 / 212
作者簡介 / 213
推薦序
我們正處於一個科技創新湧現的時代,溝通、協作以及企業和機構的變革速度十分驚人。然而,在我們的生活、工作日益依賴於科技進步時,也出現了同樣驚人的安全風險。如果你經常關注每日的安全漏洞新聞,就會了解科技帶來的經濟風險、經營風險以及信譽風險。
作者將自己多年的研究成果全部寫入本書,詳盡解釋了當今社會造成很多網路不安全的原因,網路安全為何成為一個極為棘手的問題,問題為什麼變得越來越糟糕,以及企業、行業管理部門、政府部門應該採取哪些措施。重要的是,五位作者詹姆斯M.卡普蘭(James M. Kaplan)、圖克·拜萊(Tucker Bailey)、克里斯·雷策克(Chris Rezek)、德里克·奧哈洛倫(Derek O扝alloran)和阿蘭·馬庫斯(Alan Marcus)不僅僅介紹了現今面臨的網路安全風險,還詳盡描述了如何緩解風險,並評估了如果不採取緩解措施可能導致的危害。
在調研過程中,我有機會了解他們的研究方法及初步結果。他們在全球諸多企業機構看到的事實,與我看到的或者我從RSA客戶處聽到的事情基本一致。在2014年RSA大會上,作者們將初步研究成果展示給來自歐洲、亞洲、美洲的各國代表,引起了大家的共鳴,一致同意本書所呈現的事實。讓我感到振奮的是,會議中所有國家都認為當前大家共同合作解決網路安全問題非常必要。
從研究成果中可以看出,融合了雲計算、移動網際網路、社交媒體技術的當代數位化商業發展迅速,大幅增加了組織機構的受攻擊面,傳統的安全邊界(perimeter)不再是有效的防護。過去各機構與外部世界的屏障已被打破,網路邊界呈現新的特點,即碎片化、飄忽不定且與區域網路關聯緊密,致使我們原來依賴的安全控制效果大大降低。這就需要新的安全模型。本書作者推薦了一種基於數位化適應力(digital resilience)概念的多層次方法,目前一些世界領先公司已經開始使用,並很快接受了這個方法。
數位化適應力不僅是一種理論,也是一種策略,是在日益不安全的世界裡帶來真正安全的策略、過程以及控制的框架。首先,需要透過企業的業務目標、發展重點及關鍵資產,全面理解風險種類以及處理風險的必要性。其次,要在商界領袖群體中創建一種安全文化,使高級管理人員在商業決策時時刻想到安全,而非事後才想起安全的重要性。再次,要時刻做好應對任何來源的攻擊,包括來自內部的威脅。為了及時應對不可避免的入侵,要採取必要的可視化手段、分析工具及動態控制措施。最後,要將所有這些因素有機地結合起來,創建起真正的深度防禦體系。
但是,每個組織機構都不是孤立的島嶼,僅靠自己的努力很難成功抵禦風險。作者認識到,這需要政府、監管者、供應商、行業共同組成生態系統,通力合作,形成一個保護生態系統的良好對策。
對於很多組織機構來說,網路安全這一話題仍舊是諱莫如深的,恐懼及絕望感瀰漫在很多組織機構。如本書作者在闡述持續的網路安全帶來的經濟影響時說道,因為恐懼及網路風險的不確定性,阻礙了企業採用創新性、有潛在變革性的技術,因此,由於對網路安全缺乏清晰認識所造成的影響要遠超過目前我們面臨的挑戰。正如兩次榮獲諾貝爾獎的居里夫人所說:“生命中沒有可畏懼的東西,它只是尚待理解。我們要更多、更充分地去了解,這樣我們就少了畏懼。”
本書作者潛心研究,幫助人們加深這份理解,為讀者提供必要的分析,指出了一條非常清晰、有說服力的路徑,這條路通往安全的未來。
我相信,本書可以極大地幫助安全從業人員、技術部門主管,不僅讓他們用現實世界的安全防禦成果來作為衡量標準,而且,本書作為一種工具,向高層管理人員闡述了網路安全對其所在組織機構的未來以及企業的生存能力都是非常重要的。
政府公務員及行業監管者應將此書視為指南,制定周到、行之有效的政策及切合實際的管理規章,為企業提供更多的安全支持。
最後,本書對於高管及董事會成員來說也頗具價值,可幫助他們很好地理解所有組織機構面臨的問題。我經常受邀在組織機構的董事會發言,講述他們的網路安全現狀與前景,在這些對話中,我時常總結自己的經驗和世界各地客戶的體驗,現在,很感謝讓我也能在這裡與讀者分享本書。
亞瑟W.科維洛(Arthur W. Coviello, Jr.)
EMC公司信息安全事業部RSA執行總裁
前言
未來10年,世界經濟的發展進步依賴於數位化創造的數十萬億美元的價值。組織機構已經從擁有小規模自動化的系統,發展成為充分利用無處不在的網路連線、海量分析、低成本、高擴展性的技術平台。技術進步顯著增加了不同級別客戶的親密度、業務操作的靈活度及決策者的洞察力。在銀行業,這意味著幾分鐘內即可成功開戶、批准按揭,而非幾天甚至數周。在保險業,這意味著在大量分析數據的支持下,有更好的保險核保及更公平的價格。在航空及酒店領域,這意味著更高的透明度,為旅客減少一些麻煩。
當“一切都是數位化”時,私營、公共及民間機構就越來越依賴信息系統。當今世界是一個超級關聯的世界,線上和移動業務增加了企業的安全脆弱性,企業更容易受到富有經驗的網路罪犯、政治激進黑客甚至內部員工的攻擊。只有當客戶及企業在面臨越來越強大的網路攻擊時,仍對財務記錄、患者數據及智慧財產權的機密性和可用性的安全保持信心,數位化進程才能成功。
要保持經濟的持續發展,必須保護組織結構免受網路攻擊的影響。在2014年達沃斯世界經濟論壇年會上,論壇組織者與麥肯錫機構聯合提出,要提升網路安全在高管中的關注度。我們一致認為,有兩方面的關注度至關重要:一是要充分認識到企業遭受網路攻擊後的戰略影響和經濟影響,另一種是要制定企業獲得數位化適應力的規劃,即規劃整個網路安全生態系統中所有參與者應該怎么做,特別注重如何將網路安全作為一個商業問題而非技術問題來解決。
經過採訪、調查以及參加由數百個組織機構高管參加的工作會議,我們發現了以下幾個問題:
第一,如果組織機構在保護自己的方式以及外部支持方面沒有巨大變化,網路攻擊風險將降低人們對數字經濟的信任和信心,到2020年,數字經濟所能創造的價值將降低3萬億美元。為應對此問題,全球的組織機構需要提升數位化適應力,只有這樣,才能從超級關聯的世界中獲取價值,即使是冒著業務中斷、智慧財產權(IP)流失、聲譽損失、網路欺詐等風險。
第二,雖然各公司都一致認識到提升數位化適應力要採取的措施,但並沒有儘快落實到位。要提升數位化適應力,公司應將網路安全深度整合到現有業務流程及信息技術(IT)環境中。然而目前大多數公司仍將網路安全視為一種控制功能(control function),這不僅導致保護信息資產的安全需求與數位化進程之間產生衝突,而且還與從技術投資中獲取價值的需求發生衝突。即使是最大型、資金最充裕的機構,其網路安全項目也設計得相對落後,它們僅從技術控制入手,而不是控制商業風險,因而沒能推動更廣泛的組織機構層面和業務流程產生必要的變化。
第三,公司若要提升數位化適應力,需要增強網路安全團隊與業務團隊之間的協作,讓企業IT部門更加注重適應性,大幅提升網路安全功能的技能與水平,唯有執行長及高級管理層才能推動如此大規模的變革。
除了公司自身,其他組織結構都不可能解救公司於網路攻擊,但是監管者、執法機關、國防及安全部門、技術供應商及行業協會等機構能夠在一個數字生態系統中起到重要作用,可顯著提升公司的數位化適應力。目前人們對公司如何保護自身安全有很多一致性看法和對策,但對於如何建設更廣泛的數字生態系統,一致性意見較少。此時公共、私營、非營利機構等之間的相互協作將變得至關重要。
建立數位化適應力的前提
在考慮數位化適應力之前,首先要理解網路攻擊與網路安全,以及它們與數字生態系統的關係。
網路攻擊:面臨的多種業務風險
在數位化特徵越來越明顯的經濟社會中,世界上大部分組織機構都依賴著“信息資產”,這些信息資產,有些是結構化數據,有些是非結構化數據,例如客戶數據、智慧財產權、商業計畫,以及從客戶服務到供應商付款的線上流程。針對這些信息資產的網路攻擊,有些是出於攻擊者個人炫耀的目的,有些是為了經濟利益,而有些則是出於國家政治利益。一般普通老百姓主要關注智慧財產權侵犯、信用卡數據竊取等信息,但對企業來說,需要考慮更多的潛在風險。
網路安全:公司如何保護自己
雖然企業面臨著經營目標、資源限制、合規性要求等壓力,但網路安全1仍然是組織機構避免受到網路攻擊而應採取的一項業務功能。它包含三個方面:風險管理功能、影響功能及交付(delivery)功能。
首先,網路安全本質上是風險管理,因為沒有辦法阻止所有網路攻擊的發生。正如一位首席信息安全官(CISO)所說:“我的工作不是降低風險,而是讓企業能夠明智地接受一些風險。”
如果公司打算採用新的客戶移動服務平台,就要承擔相應的風險。因為新型移動平台給攻擊者獲取公司數據提供了新途徑。但如果公司希望這個平台能提高每個客戶的平均收入,那么作為風險管理者,就需要幫助企業領導權衡網路安全風險。CISO應回答以下問題:
採用新型移動平台將帶來哪些安全風險,業務經營收益是否能說明安全風險是可接受的。
在設計平台時,如何既保證平台業務數據丟失風險降到最低,又保證良好的客戶體驗(進而產生好的業務影響)。
其次,網路安全工作具有影響作用。CISO和企業領導共同商討企業安全風險與投資回報之間的關係後,企業各個部門再採取相應的執行措施:採購團隊就安全需求進行談判並寫入契約;管理者必須限制機密檔案的分發範圍;開發人員要設計安全的套用軟體,編寫安全的代碼。網路安全工作必然涉及大量的利益相關者,其中有些工作需要按照法律法規開展,有些工作則需要採取更為貼合的、更有效果的措施。
最後,網路安全具有交付作用,包括管理防火牆、入侵檢測、惡意軟體檢測、身份管理和準入管理等技術,也要管理一些保護信息資產和線上流程安全的行為,如採集和分析威脅情報、取證分析。
業務功能的網路安全不同於組織機構功能的網路安全。一家公司可能將所有或大部分風險管理、影響及交付活動整合到單一的網路安全團隊或分布到幾個組織機構里。
數字生態系統:公司不能僅靠一己之力保護自己
組織機構首先要保證自己安全,才能為龐大的數字生態系統提供安全保護(見圖0-1)。數字生態系統包括:
企業客戶:企業客戶連線到企業網路中處理業務增加了便利性,但也增加了企業的安全風險。攻擊者可能會利用客戶的IT環境作為入侵企業網路的途徑。同時,企業客戶也會擔心企業是如何保護自己的數據的。這兩種情況對企業安全保護能力提出了更高的要求。
零售客戶:相對於企業客戶,普通消費者對網路風險沒有那么敏感,不過,企業保護數據的方式可能已經影響他們的購買決定了。
企業供應商:某種情況下,律師事務所、會計師事務所、銀行、業務流程外包服務商等供應商將會掌握公司最敏感的數據。考慮到公司網路的互聯性,供應商網路也可能成為攻擊入口點。
技術供應商:供應商既能提供風險控制,但同時也是風險引入源。我們購買的任何技術都可能有安全缺陷,出現讓攻擊者有機可乘的弱點。技術供應商可提供能讓公司降低風險的商品和服務,通過消除漏洞、分析網路攻擊等方式降低風險,保護企業的技術環境。
政府部門:公共部門在影響網路安全環境中扮演著多重角色,包括調查攻擊、起訴攻擊者、規範私營公司,有時要求企業採取特別保護措施,批准企業網路安全策略。它們也調整法律、開展安全研究、分享情報或傳播安全技術。
民間團體:從行業協會到標準制定機構和倡議組織,有大量民間團體參與到數字生態系統中。
保險公司:網路保險尚處於早期階段,但即使在今天,有些保險公司為了換取保險費,願意承接企業的網路攻擊風險。
什麼是數位化適應力
高管們有時會問首席信息官(CIO)和首席信息安全官(CISO),網路安全何時會得到解決、網路攻擊的風險何時能遠去、何時能不再為此擔心。有時,他們會將這些與民航業務類比。在噴氣機時代,會發生一些可怕的事故,現在,航空公司非常注重安全,搭乘計程車前往機場卻成為飛機旅行最危險的一個環節。
或許拿開車來比喻網路安全更合適。比起民航出行風險,開車是更多人利用更多車輛從事更為廣泛的活動,風險更大。我們可以通過提高最低駕車年齡至30歲、限制最高時速25英里,把機動車事故降至幾乎為零,然而如果這樣做,這種個人出行交通方式就遭到毀滅性打擊。
如果一位銀行業CEO不用擔心市場風險和信用風險,他就絕不會詢問有關事情。但他明白他所在的機構是通過接受這些風險來換取有經濟收益的業務的,因此,他的業務需要了解市場風險、信用風險以及其他風險,並在有潛在收益的情況下,適當地管理這些風險。
考慮到當前社會數位化程度越來越高,科技創新速度加快,攻擊者可能超出執法機關的控制等情況,我們不能期望很快消除網路攻擊對世界經濟的影響。不過,企業和全球經濟體可寄希望於達到數位化適應力的狀態,包括:
應了解網路攻擊的風險,並且能做出恰當的商業決策。通過經濟收益證明,不斷遞增的風險是可以接受的。
應堅信網路攻擊風險是可以控制的,網路攻擊風險不會將公司置於風險高位。
消費者與企業應對線上業務有信心—信息資產面臨的風險及線上欺詐風險並不會阻礙電子商務的發展。
網路攻擊風險不會阻礙公司的技術創新步伐。
在這樣的背景下,世界經濟論壇和麥肯錫諮詢公司已經開展合作,了解如何幫助企業與國家都達到自己的安全期望。
背景與方法
自2011年以來,“超級互聯世界中的風險與責任”成為世界經濟論壇的一個議題。2012年年中,該論壇又與近百家公司合作簽署了《網路適應力標準》。標準中要求各參與公司承擔起義務,要認識到自己在促進彈性數字經濟中能夠發揮的作用,並制訂實用、有效的實施計畫。該標準也鼓勵高級管理層增強風險意識,提高對網路風險的管理能力,並且在適當的情況下,促使供應商和客戶對彈性數字經濟具有同樣的認識。
2014年達沃斯世界經濟論壇中,麥肯錫受邀對論壇高層管理人員進行輔導,以提升應對網路攻擊、網路安全及行業數位化適應力的管理水平,行業不僅局限於技術與通信,還包括金融服務、製造業、生活消費品、交通運輸、能源及公營部門。
麥肯錫與該論壇共同認為,該項目的最佳成果是形成了一套網路攻擊戰略定位和經濟定位的真實觀點,以及一份計畫—網路安全生態系統中的所有參與者都應制訂如何實現數位化適應力的計畫,更重要的是,讓高層管理者將網路安全看作一個業務問題,而非技術問題。
我們從2013年晚春開始收集數據,在夏、秋季節構思並驗證我們的假設,2014年達沃斯世界經濟論壇年會上我們分享了成果。
事實基礎
通過採訪180多位CIO、CISO、首席技術官(CTO)、首席風險官(CRO)、業務部門主管、監管者、政策制定者、技術供應商,我們獲得了生態系統中所有參與者對網路安全整體環境理解的信息。此外,通過對近百個企業技術用戶的調查,我們清晰地了解到業務風險、環境威脅及一系列措施的潛在影響。最後,有超過60家世界500強企業參與了針對網路安全風險管理實踐的詳細調查(見表0-2)。
不同場景與經濟影響
我們從被採訪人的觀點中發現,在未來5~7年網路安全環境如何變化由20多種因素決定,可以概括為威脅的強度及應急回響的質量這兩個巨觀類別,未來可能出現三種網路安全場景:對網路安全環境不了解、網路安全環境受到強烈攻擊、網路安全環境具有數字適應性。
基於來自採訪及調查研究中的信息,我們估計了每個場景將如何影響雲計算、移動網際網路、物聯網等一系列重要科技創新的套用,以及對價值創造的影響程度。
實現數位化適應力的關鍵措施
在採訪及調查研究中,網路安全生態系統中每個參與者已經採取哪些最重要措施,是我們特別關注的,尤為注重公司在自我保護時,在所有業務功能中會採取什麼措施。
在定義安全場景、評估經濟影響和識別關鍵措施的時候,我們都會將偶然發現與幾十位CIO、CISO、決策者及其他相關高管一起評審。我們會在矽谷、日內瓦及華盛頓等地的工作會上,麥肯錫組織召開的執行官圓桌會議,大連舉行的世界經濟論壇新領軍者年會上進行這些評審工作。
2014年1月26日,我們將自己的研究成果總結髮表在一份報告中3,並且,在達沃斯世界經濟論壇的召開過程中,我們與80多位高管及決策者在非公開會議中討論了我們的研究成果。目前,已有證據表明研究成果逐漸達到了預期目標。《CSO雜誌》解釋,我們估計的3萬億美元經濟影響“吸引了每個人的注意,原因在於,這看上去不僅僅是直接損失,還有因企業和個人迴避‘數位化’而未能實現的價值創造值”。
我們展示了研究成果後,麥肯錫及世界經濟論壇就開始著手研究要實現數位化適應力需要開展哪些工作。在支持重要機構制定網路安全策略、實施網路安全項目的基礎上,麥肯錫進一步幫助企業機構明確應採取的自我保護措施。同時,世界經濟論壇舉行了數十次有幾百家公司參與的工作會議,目的是在網路安全生態系統所有參與者中構建起相互協作支持的關係,達成數位化適應力。
作者簡介
詹姆斯 M.卡普蘭(James M.Kaplan)
詹姆斯是麥肯錫諮詢公司商務技術與金融服務部門的合伙人,主管麥肯錫全球IT基礎設施與網路安全事務,為銀行、醫療保健公司、技術企業、保險公司及製造商提供服務,幫助它們從商務技術中獲得最大的價值。詹姆斯曾為《麥肯錫季刊》、麥肯錫商務技術、金融時報互聯業務、《華爾街日報》《哈佛商業評論》等媒體撰稿。他擁有布朗大學歷史學士學位、賓夕法尼亞大學沃頓商學院MBA學位。
圖克·拜萊(Tucker Bailey)
圖克是麥肯錫商務技術辦公室的合伙人,該辦公室地點位於華盛頓特區,他主要負責國防、安全及IT議題。他曾為諸多《財富》500強公司及公共部門客戶提供一系列IT服務,負責麥肯錫在北美的網路安全工作。在麥肯錫工作之前,圖克在美國海軍任信息統領作戰官及海軍犯罪調查局的特工。他擁有杜克大學土木工程與政治科學專業的理學士學位及哈佛商學院的MBA學位。
德里克·奧哈洛倫(Derek O'Halloran)
德里克是世界經濟論壇信息技術產業的負責人,負責由企業CEO構成的世界領先IT企業團體,為很多企業制訂技術規劃。他負責管理未來軟體與社會及未來電子產品全球議程委員會,該委員會召開整個行業生態系統中的領導人及思想領袖會議。德里克擁有哥倫比亞大學國際和公共事務學院的國際金融與經濟政策專業公共行政學碩士及愛丁堡大學哲學專業榮譽文學碩士,也是世界經濟論壇全球領導人才培訓計畫的畢業生。
阿蘭·馬庫斯(Alan Marcus)
阿蘭是世界經濟論壇資訊科技及通信產業的高級主管及負責人,他曾在亞太、北美、歐洲及中東地區擔任過工程師與市場行銷、市場開發方面的高級管理職位。他擁有新澤西州羅格斯大學的計算機科學與工程專業理學士學位及加州大學伯克利分校的通信工程專業碩士學位。
克里斯·雷策克(Chris Rezek)
克里斯是波士頓麥肯錫公司的高級專家顧問,是該公司風險管理與商務技術團隊一員,是網路安全事務的核心領導者,為銀行、製造商等企業管理信息風險,為投資者及技術企業提供網路安全產品市場戰略諮詢服務。克里斯幫助雲安全聯盟、國際金融研究所制定了有關雲風險管理及風險技術與操作的最佳實踐。他擁有麻省理工學院的理學士學位及耶魯大學的MBA學位,他與家人一起住在波士頓。