认知时代的网络安全

2020-07-04

软件和集成电路 2020年6期

网络安全的状况正在经历拐点。安全风险程度和安全事件数量呈指数级增长，安全运营团队疲于应对，苦不堪言。威胁形势瞬息万变，各种威胁的复杂度越来越高，数量越来越大，传统方法已完全无法有效应对。

网络犯罪这种潜在威胁已然上升至危机水平。尽管很难准确量化，但根据估算，网络犯罪给全球经济造成的损失在每年3750亿～5750亿美元之间，没有地区或行业可以置身事外。

IBM拥有广泛的集成式安全软件和服务组合，可满足企业在预防、检测、响应和纠正安全问题方面的需求，帮助他们预测并及早采取行动，消除网络安全风险带来的影响。IBM安全事业部帮助客户建立安全免疫系统，并由分析系统、实时防御系统，以及公认的专家提供强大的支持。

在充满挑战的时代培养新能力

安全领导正在努力弥补三个方面的能力欠缺，即情报、速度和准确性。一些企业开始研究认知安全解决方案的可能性，以便填补这些缺口，主动预防风险和威胁。

人们对认知技术抱有很高的期望。在我们的调研中，57%的安全领导相信认知技术能够有效抵御网络犯罪，22%的受访者已经开启网络安全认知时代之旅，他们认为自己对网络安全很了解、很熟悉，而且具备所必需的资源。我们将这个群体称之为“捷足先登型”。要开启认知安全之旅，就必须研究自己的弱点，这将决定如何运用认知技术扩充自己的能力，以及如何为利益相关方制定教育培训和投资计划。

执行摘要

网络安全的状况正在经历拐点。安全风险程度和安全事件数量呈指数级增长，安全运营团队疲于应对，苦不堪言。威胁形势瞬息万变，各种威胁的复杂度越来越高，数量越来越大，传统方法已完全无法有效应对。安全事故和安全违规的影响越来越大，伴随而来的是经济损失和安全风险迅速蹿升。许多企业因缺乏具备相应技能的安全专家，处境更加窘迫。所有这些压力都使得企业更难维持良好的数字免疫系统，因此无法保护自身的安全。

在本报告中，我们采访了35个国家和地区的18个行业中的700位首席信息官（CIO）和其他安全领导。我们的目标是揭示这些领导所面临的挑战、他们的不足，以及正在采取哪些计划来弥补这些不足之处。我们还希望了解他们对于认知安全解决方案的看法，他们认为这些解决方案有多大帮助，他们对于实施这些解决方案的准备情况以及存在哪些阻碍因素。

我们发现，安全领导所面临的挑战主要是威胁越来越复杂，而他们无法快速加以应对。这些领导担心安全事故会严重影响目前的业务运营以及将来的企业声誉。安全领导感觉到自己在保护网络和数据安全以及迅速作出智能威胁响应方面的效率并不高。但是，他们希望在未来几年内弥补这些缺陷，获得合适的资源解决这些问题非常困难，面对越来越高的成本和越来越严重的安全技能资源短缺情况，安全领导希望能够更好地向业务领导证明安全投资的合理性。

随着企业收集越来越多的安全数据，应用越来越多的分析功能，不断增加的工作量即将达到通过人工方式进行处理的极限。一些企业希望通过认知安全解决方案来应对这种状况，帮助弥补在情报、速度和准确性方面的缺口。尽管安全认知技术还处于初级阶段，但人们对其潜力抱有很大的希望并持乐观态度。

我们的调研受访者表示，他们希望从认知安全解决方案中获得的主要收益包括：提高威胁检测速度，改进响应决策能力，显著缩短事故响应时间，增强在辨别是安全事件还是真正事故方面的信心。尽管前景光明，但要大范围采用这种解决方案，仍需要进行大量的教育培训和准备工作。

我们在调研中发现了一个在安全解决方案方面“捷足先登，率先进入认知时代”的群体。我们在研究安全有效性、对认知的准备情况和认知度时，发现了一些充满热情的安全领导，他们认为自己的企业已经做好充分准备，可以立即进入安全解决方案的认知时代。总体而言，这些领导往往更熟悉认知解决方案，对自己企业的安全防御能力以及减少资源获取障碍方面有更强的信心。

随着认知安全解决方案越来越成熟，应用越来越广泛，任何企业都将能够从中受益。如果你认为自己的企业已经做好准备，并决定开启认知之旅，那么第一步就是确定自己希望在哪些薄弱环节运用认知安全解决方案。然后了解可能的用例，并与自己的薄弱环节对应。如果业务利益相关方要求证明投资的合理性，那么还需要花时间与他们进行交流，说明认知安全解决方案的优点。要强调一点，那就是必须使用高管能够理解的业务语言，证明这些解决方案可以改进企业的整体安全态势。通过采取这些前期步骤，你的企业就可以捷足先登，率先进入网络安全的认知时代。

目前环境

如果只看当前网络安全态势的表象，从我们所调研的安全高管那里可以获得这样一种印象，即目前的状况都在掌握之中。事实上，这些专业人士非常相信自己不断壮大的技术和组织能力。我们问到网络安全的准备情况时，大多数（77%）的受访者认为自己的企业与同行处于同一水平。这些受访者对于此后2～3年自己企业的网络安全状况也非常乐观，86%的企业表示他们将会比同行做得更好。

这些回答可能并不令人惊讶，但是检验他们能否做到才更重要。安全领导认为他们并不比任何人做得差，而且很有信心地认为目前正在进步，而且还将继续进步。将近四分之三的受访者表示，他们在解决企业基本安全问题方面非常有成效，72%的受访者表示他们在“IT保障”方面非常有成效，71%的受访者表示他们在提高整个企业的风险意识方面非常有成效。但我们需要深入探讨一下挑戰、影响、能力、资金和安全投资回报方面的实际情况。

速度要求

对于安全领导而言，目前所面临的最主要挑战是缩短响应和解决事故的平均时间。45% 的受访者认为缩短这些时间是当今最主要的网络安全挑战，企业并不了解这种挑战在未来2年到3年会朝什么方向发展。展望未来，53% 的受访者认为提高响应速度仍将是最主要的网络安全挑战（见图1）。

尽管有80%的企业告诉我们，他们的事故响应速度已经比两年前快了很多（平均快了16%），但上述问题依然存在。86%的企业希望在未来2年到3年内进一步加快响应速度（平均目标是加快24%）。

响应速度对于企业而言极其重要。企业响应事故的时间越长，事故造成的损失就可能越大，处理危机所花的资金就可能越多。时间无疑会增加风险所造成的损失。

对于安全领导而言，另一个越来越重大的挑战就是如何改进安全风险分析。我们的调研中23%的受访领导认为这是目前的主要挑战之一，但是52%的受访领导认为改进安全风险分析将成为未来2～3年最主要的网络安全挑战。安全分析员必须帮助收集资讯，确定哪些威胁的严重性最高，并快速发现活动中的模式和偏差。安全领导必须想尽一切办法提高威胁响应速度，管理风险复杂性。

更广泛的忧虑

在我们的调研中，接近四分之三的受访者表示，在过去两年中，安全入侵导致了严重的运营中断事件。但受访者对未来几年安全入侵造成损失的看法发生了显著的变化。

企业越来越担心在将来，安全入侵会导致企业品牌声誉受损，担忧程度远远超过运营中断。受访者展望未来时，担心声誉受损的人数几乎翻了一倍，只有35%的人将声誉受损确定为过去两年安全入侵的结果，而68%的人担心未来会出现这个问题（见图2）。这种转变表明许多安全领导害怕安全入侵不断扩大的影响。安全入侵的后果已经不仅仅关乎运营，还在于声誉;声誉受损会造成收入下降、信任减退和客户流失。

网络安全基础架构不断攀升的成本也成为未来更实质的问题，与目前相比，对这个问题的关注人数已经显著增加。由于成功入侵的风险一直存在，因此，默认情况下企業需要花费更多资金来加以应对。安全领导通常假设，如果他们遭遇入侵事件，一定要亡羊补牢的话，他们会选择升级人员技能，针对特定问题的解决方案和基础架构，以便保持安全。

安全缺陷

我们询问受访者：在各种安全能力中，他们认为哪些对于他们的安全状况最重要，以及他们认为自己擅长哪些能力。安全领导普遍认为自己在所有方面都一碗水端平，因为他们不想漏掉任何事情。

但是，在资源有限的情况下，不可能做到面面俱到，特别是在新技术、新方法和新挑战层出不穷的情况下。

大多数受访者从技术和组织立场出发，表示他们很满意自己处理“IT卫生”和管理企业风险意识的方式。受访者认为非常重要但自己没有能力应对的领域正是我们想要研究的领域（见图3）。网络和数据保护以及威胁响应都属于这个范畴。

受访者表示，在威胁响应速度、安全信息事件管理（SIEM）、网络活动检测、筛选和数据分类，以及预防损失方面，他们缺乏所需的有效性。当然，面对数量越来越多和越来越复杂的安全风险，企业必须抢先一步，集中精力提高响应速度、降低管理复杂性，并借助更好的威胁分析技术，从而显著提高自身防御能力。

管理资产负债表

安全领导需要关注的方面非常多。他们预计要实现有效的网络安全性，成本会大幅增加，而且在短期内没有下降的可能。78%的受访者表示，过去两年网络安全的成本在不断增加，84%的受访者预计未来2～3年成本还会继续上升。事实上，超过70%的受访者在网络安全方面的花费超过总体IT预算的10%（大部分受访者的支出在10%～15%之间）。这些支出大部分都用在预防和检测方面。极端情况下，我们看到金融机构每年在网络安全方面的支出最多达5亿美元。因为更多的资金投入并不一定保证得到更有效的保护，这种增加投资的做法长期而言是不可持续的，安全领导在证明投资有效性方面承受着与日俱增的压力。

92%的受访者表示，当他们为网络安全计划申请资金时，需要提供投资回报分析或其他财务分析，以便证明投资合理性，获得高层批准。在论证过程中，用于证明投资合理性的两个最主要因素包括在企业内清楚地说明当前的风险状况（61%的受访者指出这一点），以及从财务高管、风险管理高管、运营高管和其他主要高管那里获得支持（51%的受访者指出这一点）。安全领导必须使用业务语言说明自己的需求，确保获得其他主要高管的支持。从现在开始，他们必须寻求新的方法来证明网络安全投资成本的合理性并展示价值。认为安全措施仅仅是买了一份保险，或者认为这是开展业务所产生的成本的观点必须予以消除。

弥补不足

好消息是，我们采访的安全领导似乎意识到了自己的欠缺之处，并打算在不久的将来加以弥补。企业正在寻求实施各种计划，提高自己应对网络安全风险的水平（见图4）。现在的工作主要集中在通过教育和培训，改进员工的行为表现，67%的企业正在这方面采取措施，40%的受访者还应用身份监控软件。这些通常被认为是比较基本的选项。

我们预计未来2～3年这些改进举措会发生很大的变化。事实上，受访者指出，排名前三的举措将与目前完全不同。57%的受访者认为，排名第一的将会是提高网络应用和数据层面的安全性。建立或更新SOC能力的将排名第二。榜单上新的第三名是提高事故响应速度。所有这些方面，都与之前所确定的有效性缺陷相一致。

可以看到安全领导正在弥补自己的不足，这非常好，但是优先措施的大幅变化可能会产生新的缺口或扩大现有的问题。无论如何，安全领导应确保解决与业务最相关的问题。真正的问题在于，这些预期的未来努力是否足够。

暴露缺口

所有这些挑战、薄弱环节、努力和压力都突出了三个关键缺口，即情报、速度和准确性。安全领导必须弥补这些缺口，同时有效控制成本和投资回报。

情报缺口

65%的受访者表示，由于资源不足而承受最严峻挑战的方面是威胁研究。

40%的受访者表示，跟上新威胁和漏洞的步伐是重大的网络安全挑战。

速度缺口

当今和未来最严峻的网络安全挑战是缩短平均事故响应时间和问题解决时间。尽管事实上，80%的受访者表示他们的事故响应速度已经比两年前快了很多。

受访者期望在未来几年加强对这个方面的关注。只有27%的受访者表示，他们目前实施了旨在提高事故响应速度的计划，但是未来2～3年这个比例将会增加到43%。

准确性缺口

受访者表示，目前排在第二位的挑战是优化警报的准确性（现在的误报太多）。

61%的受访者表示，由于资源不足导致的另一个备受压力的方面是威胁识别、威胁评估以及了解哪些潜在事故会进一步升级。

采用认知安全解决方案

为了弥补缺口，需要不同的技术和方法。长期来看，企业不能仅仅针对目标来投资或聘用人员。

近几年来，安全技术在不断发展，已经从简单的网络边界控制（例如，专注于静态防御）转变为更高级的安全情报功能（例如，专注于实时信息和模式偏差）。现在，我们开始进入安全认知时代，这是一个由各种解决方案定义的时代，通过分析结构化和非结构化的安全数据了解背景信息、行为和含义。认知安全能力的目标是在安全分析人员及其技术之间建立新的合作关系。这些解决方案能够解释和组织信息，说明信息的含义，还提供基本原理总结。它们还能随着数据的积累不断学习，并从互动中获得洞察能力。

认知安全解决方案的优点

通过一系列由认知技术支持的解决方案，有如下优点。

（1）为初级SoC分析人员提供原本需要多年经验才能积累的最佳实践和洞察，增强他们的能力。

（2）应用博客和其他来源的外部情报，提高响应速度，以便可以在征兆显现之前采取行动。

（3）利用高级分析方法快速发现风险，加快检测存在风险的用户行为、数据泄露和恶意软件感染。

（4）通過自动收集和推理本地数据和外部数据，获得有关安全事故的更全面的背景信息。

如何使用认知安全技术？

认知系统用于分析安全趋势，将海量的结构化和非结构化数据提炼为切实可行的知识。安全领导和分析人员不可能消化吸收所有人类生成的安全知识，包括研究文档、行业刊物、分析报告和博客等。而认知系统有能力将上述信息与更为传统的安全数据组合在一起。认知安全解决方案可以将数据驱动的自动化安全技术、方法和流程结合起来，确保实现最高水平的相关性和准确性。

认知安全解决方案有助于增强SoC分析人员的能力，帮助他们提高响应速度，更好地发现威胁，提高应用安全性，降低整个企业范围的风险。认知解决方案的目标是让分析人员从日常重复性的安全任务中解放出来，从而能够集中精力处理最具智力挑战性的工作。

认知安全解决方案的前景和挑战

在我们的调研中，许多受访者认为认知安全解决方案产生的收益能够弥补他们面临的缺口。尽管认知安全是一个新兴技术领域，但是57%的受访者认为认知安全解决方案可以减缓网络犯罪的速度，他们看到了这种解决方案的前景和潜在的收益。

当我们要求安全领导选择认知安全解决方案的收益时，40%的人提到它们有助于提高检测速度和事件响应决策能力，37%的人指出它们显著提高事故响应速度，36%的人表示它们有助于增强在辨别是安全事件还是真正事故方面的信心。受访者希望认知安全解决方案能够弥补他们主要的缺口，他们需要这些解决方案在情报、速度和准确性方面提供帮助。

现在，受访者中仅有7%的人正在实施认知安全解决方案，为改善网络安全风险做准备。由于认知能力是新生事物，因此，目前采用率低可以理解。然而，不久的将来实施认知解决方案的企业有望翻3倍，达到21%。未来几年，我们会看到认知能力的采用率迅速蹿升，因为安全领导需要这种能力以增强自身的数字免疫系统。

受访者也认识到了采用认知安全解决方案的潜在挑战。安全领导并非不了解这种技术理念，他们也并非不相信认知能力可以比其他解决方案带来更多的价值和好处;挑战主要在于技能、流程和方法等方面。45%的受访者表示，采用认知能力所面临的最主要挑战在于其从能力角度而言还没有做好准备，而且缺乏内部实施技能（见图5）。要减轻这些担心，有大量的培训和准备工作要做。

率先进入认知时代

为了了解谁已经准备好率先进入安全认知时代，我们根据受访者自己描述的安全有效性水平、认知了解程度和准备情况，对他们进行了特征分析。通过对受访者的回答进行分析，揭示出三个截然不同的群体（见图6）。

备受压力型占样本总体的52%，特征是企业遇到资金和人员方面的挑战，对认知安全的功能和价值的熟悉度较低。这些企业通常分配给网络安全的IT预算百分比较低，在获取足够的资金和解决人员短缺问题方面存在挑战的可能性更大。他们还表示缺乏足够的资金是采用认知技术所面临的挑战之一。

谨小慎微型占样本总体的27%，他们不存在备受压力型企业所遇到的那些资源挑战，但是他们还没有完全准备好立即实施新一代认知技术支持的安全解决方案。

捷足先登型占样本总体的22%，是最了解和最热衷于认知安全解决方案的企业群体。捷足先登型企业对认知安全比其他群体有更高的熟悉度和信心，可以获得更多预算，实现更出色的投资回报。

他们认为自己在安全实践方面运用了更成熟的方法，他们当中更高比例的人表示其安全运营团队能够跟上威胁方面的变化。他们有效地与高管和董事会成员沟通风险问题，并且将网络风险问题整合到企业风险模式中（见图7）。安全领导希望从认知安全解决方案中获得什么？在与这些捷足先登型企业领导的对话过程中，我们发现他们希望认知安全解决方案能够做到如下几项。

（1）永续运营，提供持续的支持。

（2）帮助减少误报，发现行为异常现象。

（3）更好地理解威胁形势，提供事故的背景信息。

（4）根据独特的行业、地区和其他法规要求支持监管、风险管理与合规。

（5）改变安全工作的性质，帮助分析人员更智慧地开展工作，提供更高的价值。

可以预料，感觉自己足够成熟而且资源限制比较少的安全领导会率先利用像认知安全这样的新兴技术。然而，必须认识到，具备其他知识和经验的每个人，都可以应用认知技术来弥补他们的不足，并消除分析人员的限制因素，从而改进安全运营。

建议

我们研究了目前的安全形势，以便了解受访者所面临的压力、挑战和优先任务。我们根据自己的观察汇总了一些建议，旨在帮助你和你的企业为进入认知时代做好准备。

认清自己的弱点

安全领导希望提高反应速度，降低复杂性，他们越来越担心安全事故导致企业声誉受损。了解你的企业的主要弱点和漏洞，它们有什么联系？优先任务是什么？

（1）你是否缺乏所需的情报和威胁研究？

（2）事故响应和解决速度对于支持运营而言是否足够快？