2020年6月底， IBM Security 發(fā)布一項(xiàng)全球報(bào)告，旨在研究企業(yè)在準(zhǔn)備和應(yīng)對(duì)網(wǎng)絡(luò)攻擊上的有效性。盡管受訪組織在過(guò)去五年里已逐步提升了對(duì)規(guī)劃、檢測(cè)和響應(yīng)網(wǎng)絡(luò)攻擊的能力，但在同一時(shí)期內(nèi)，他們遏制攻擊的能力卻下降了 13%。這一全球調(diào)研由Ponemon Insitute主導(dǎo)、IBM Security贊助，結(jié)果顯示，使用過(guò)多的安全工具以及缺乏針對(duì)常見(jiàn)攻擊類(lèi)型的特定操作手冊(cè)，已經(jīng)阻礙了安全響應(yīng)工作。

　　盡管組織的安全響應(yīng)規(guī)劃能力正在緩慢提升，但是絕大多數(shù)受訪組織 （74%） 仍表示，其安全響應(yīng)計(jì)劃要么只是臨時(shí)計(jì)劃，要么在執(zhí)行方面無(wú)法確保一致性，或根本沒(méi)有制定相應(yīng)計(jì)劃。這種缺乏規(guī)劃的情況可能會(huì)影響安全事件的成本。就數(shù)據(jù)泄露方面的平均損失而言，擁有事件響應(yīng)團(tuán)隊(duì)并且會(huì)廣泛測(cè)試其事件響應(yīng)計(jì)劃的公司，要比未針對(duì)這兩項(xiàng)因素采取措施的公司少損失 120萬(wàn)美元。[1]

　　關(guān)于網(wǎng)絡(luò)彈性組織的第五次年度調(diào)研報(bào)告（Cyber Resilient Organization Report）的主要結(jié)果包括：

　　在過(guò)去五年的調(diào)研中，越來(lái)越多的受訪組織采用了涵蓋整個(gè)企業(yè)范圍的正式安全響應(yīng)計(jì)劃；此類(lèi)組織所占的比例從 2015年的 18% 增長(zhǎng)到了今年的 26%（增幅為 44%）。

　　即使在已制定了正式安全響應(yīng)計(jì)劃的組織中，也只有三分之一的組織（占受訪者總數(shù)的 17%）針對(duì)常見(jiàn)的攻擊類(lèi)型編制了特定的操作手冊(cè)，而針對(duì)勒索軟件等新興攻擊方法而制定了計(jì)劃的組織則更少。

　　受訪組織所用安全工具的數(shù)量對(duì)威脅生命周期的多個(gè)類(lèi)別造成了負(fù)面影響。與使用較少工具的組織相比，使用 50 多種安全工具的組織，其攻擊檢測(cè)能力降低了 8%，對(duì)攻擊的響應(yīng)能力降低了 7%。

　　在整個(gè)企業(yè)中運(yùn)用了正式安全響應(yīng)計(jì)劃的組織，由于網(wǎng)絡(luò)攻擊而遭受重大破壞的可能性更小。在過(guò)去的兩年里，這些組織中只有 39%曾遭受過(guò)破壞性安全事件，相比之下，在響應(yīng)計(jì)劃不夠正式或一致性較低的組織中，遭受過(guò)破壞性安全事件的組織比例高達(dá) 62%。

　　IBM X-Force 威脅情報(bào)副總裁 Wendi Whitmore 表示：“盡管越來(lái)越多的組織已經(jīng)開(kāi)始認(rèn)真考慮事件響應(yīng)計(jì)劃，但針對(duì)網(wǎng)絡(luò)攻擊做好準(zhǔn)備并非易事。組織還必須著重于定期測(cè)試、演練和重新評(píng)估其響應(yīng)計(jì)劃。借助可互操作的技術(shù)及自動(dòng)化，還有助于組織克服復(fù)雜性挑戰(zhàn)，并縮短遏制事件所需時(shí)間。”

　　該項(xiàng)調(diào)研發(fā)現(xiàn)，即使在已制定了正式網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃（cybersecurity incident response plan

　　, CSIRP）的組織中，也只有 33% 的組織編制了針對(duì)特定類(lèi)型攻擊的操作手冊(cè)。由于不同類(lèi)型的攻擊需要對(duì)應(yīng)獨(dú)特的響應(yīng)技術(shù)，因此擁有預(yù)定義的操作手冊(cè)可為組織提供一致且可重復(fù)的行動(dòng)計(jì)劃，幫助他們應(yīng)對(duì)可能面臨的最常見(jiàn)攻擊。

　　在少數(shù)擁有針對(duì)特定攻擊的操作手冊(cè)的受訪組織中，最常見(jiàn)的操作手冊(cè)是針對(duì) DDoS 攻擊（64%）和惡意軟件（57%）的操作手冊(cè)。盡管這些方法歷來(lái)都深受企業(yè)所重視，但諸如勒索軟件之類(lèi)的其他攻擊方法卻在不斷增多。盡管近年來(lái)勒索軟件攻擊的數(shù)量激增了近 70%，[2]但在已編制了操作手冊(cè)的組織中，只有 45% 的組織制定了針對(duì)勒索軟件攻擊的計(jì)劃。

　　此外，超過(guò)一半（52%）擁有安全響應(yīng)計(jì)劃的組織表示，他們從未審查過(guò)此類(lèi)計(jì)劃，或者沒(méi)有就此類(lèi)計(jì)劃的審查或測(cè)試設(shè)定時(shí)限。隨著遠(yuǎn)程勞動(dòng)力數(shù)量的增多導(dǎo)致業(yè)務(wù)運(yùn)營(yíng)模式迅速變化，而且新的攻擊技術(shù)被不斷引入，這些數(shù)據(jù)表明，許多受訪企業(yè)可能依賴(lài)于過(guò)時(shí)的響應(yīng)計(jì)劃，而這些計(jì)劃并不能應(yīng)對(duì)他們當(dāng)前的威脅和業(yè)務(wù)格局。

　　該報(bào)告還發(fā)現(xiàn)，復(fù)雜性對(duì)事件響應(yīng)能力產(chǎn)生了負(fù)面影響。受訪者估計(jì)，他們的組織平均使用 45種以上的安全工具，而且他們?cè)陧憫?yīng)每個(gè)事件時(shí)，平均需要對(duì)大約 19種工具進(jìn)行協(xié)調(diào)。該項(xiàng)調(diào)研還發(fā)現(xiàn)，工具過(guò)多實(shí)際上會(huì)阻礙組織處理攻擊的能力。在該項(xiàng)調(diào)研中，使用 50多種工具的受訪者表示他們檢測(cè)攻擊的能力降低了 8%（5.83/10 對(duì)比 6.66/10），響應(yīng)攻擊的能力降低了 7%（5.95/10 對(duì)比 6.72/10）。

　　這些調(diào)研結(jié)果表明，采用更多工具并不一定會(huì)改善安全響應(yīng)效果，實(shí)際結(jié)果可能會(huì)恰恰相反。使用開(kāi)放、可互操作的平臺(tái)及自動(dòng)化技術(shù)，有助于降低跨互不關(guān)聯(lián)的工具進(jìn)行響應(yīng)的復(fù)雜性。在該項(xiàng)調(diào)研評(píng)出的高績(jī)效組織中，有 63% 的組織表示，使用可互操作的工具有助于他們提高對(duì)網(wǎng)絡(luò)攻擊的響應(yīng)能力。

　　今年的報(bào)告表明，已制定了正式計(jì)劃的受訪組織在響應(yīng)事件方面更加成功。在整個(gè)企業(yè)范圍內(nèi)一致地采用 CSIRP 的受訪組織中，只有 39% 的組織在過(guò)去兩年里遭遇過(guò)對(duì)組織造成了重大破壞的網(wǎng)絡(luò)事件，而在沒(méi)有制定正式計(jì)劃的組織中，此類(lèi)組織所占的比例高達(dá) 62%。

　　至于影響這些組織攻擊響應(yīng)能力的具體原因，受訪者表示，安全人員的技能是最重要的因素。61% 的受訪者將雇用技能熟練的員工視為網(wǎng)絡(luò)彈性提升的首要原因之一；在那些表示自己所在組織的彈性未得到改善的受訪者中，有 41% 的受訪者將缺乏技能熟練的員工列為這方面的首要原因。

　　技術(shù)是有助于受訪組織提高網(wǎng)絡(luò)彈性的另一個(gè)差異化因素，尤其是在幫助他們解決復(fù)雜性的工具方面。對(duì)于具有較高網(wǎng)絡(luò)彈性水平的組織而言，有助于提升其網(wǎng)絡(luò)彈性水平的前兩個(gè)因素分別是應(yīng)用和數(shù)據(jù)的可視性（占比為 57%）和自動(dòng)化工具的可視性（占比為 55%）�？傮w而言，所有這些數(shù)據(jù)都表明，在攻擊響應(yīng)準(zhǔn)備方面更加成熟的受訪組織會(huì)更加依賴(lài)技術(shù)創(chuàng)新來(lái)提升自身的網(wǎng)絡(luò)彈性。

　　[1] IBM Security 和 Ponemon Institute：2019年數(shù)據(jù)泄露成本報(bào)告（2019 Cost of a Data Breach Report）

　　[2] IBM Security，2020 年 X-Force 威脅情報(bào)指數(shù)報(bào)告（2020 年），第 15頁(yè)

　　由 Ponemon Institute 執(zhí)行并由 IBM Security 贊助的 2020年網(wǎng)絡(luò)彈性組織報(bào)告是第五次年度調(diào)研，旨在研究組織正確準(zhǔn)備和處理網(wǎng)絡(luò)攻擊的能力。該調(diào)研匯集了來(lái)自全球各地的 3,400多名安全和 IT 專(zhuān)業(yè)人員的洞察力，具體包括美國(guó)、印度、德國(guó)、英國(guó)、巴西、日本、澳大利亞、法國(guó)、加拿大、東盟和中東。

　　IBM Security 可以提供最先進(jìn)、集成的企業(yè)安全產(chǎn)品和服務(wù)組合。由世界著名的 IBM X-Force? 研究進(jìn)行支持，該組合使企業(yè)能有效地管理風(fēng)險(xiǎn)并防范新威脅。IBM 作為世界上覆蓋范圍最廣的安全研究、開(kāi)發(fā)和交付企業(yè)之一，每天對(duì) 130多個(gè)國(guó)家/地區(qū)的 700億次安全事件進(jìn)行監(jiān)控，并在全球范圍內(nèi)擁有 10,000多項(xiàng)安全專(zhuān)利。