近日,英国信息监管局针对万豪国际集团违反GDPR(《一般数据保护条例》),开出了约9900万英镑(约合8.4亿元人民币)罚单。喜达屋酒店集团数据系统在2014年遭到网络攻击入侵,但客户信息被窃事件直到2018年才被发现。[1]其实,与万豪集团案例相似,许多现代网络攻击在目标企业还未觉察之前就已经结束,企业几乎没有机会作出响应。例如,赛门铁克安全中心于2019年1月首次监测到Beapy,一种新型的加密劫持程序,其中超过 80%的受害者及受害企业来自中国,但大多数企业却未能够及时作出响应,从而受到了Beapy恶意程序的严重影响。这一问题可能并非来源于企业的疏忽大意,但却充分说明了他们所面临的挑战十分严峻,网络防御的复杂程度也在日益增加。
随着中国创新驱动战略的不断推进,数字化转型日渐深化,企业上云、移动办公和物联网应用也随之普及。这些转变提高了企业的运营效率、改善了客户服务并优化了办公环境,也为企业提供了更多机遇。
然而,这些转变也为网络犯罪分子提供了更多的可乘之机,他们的作案动机变得更加多样化,可利用资源不断增加,经验也变得愈加丰富。如今,攻击者只需得逞一次,便可在数月或数年内反复发起攻击,因此“纵深防御”和“多层防护”已成为行业的必要措施。
在相当长一段时期内,网络安全行业为了应对各式攻击不断迭代技术,创新应用层出不穷,行业内的新生力量也发布了智能解决方案来应对全新的安全挑战。但是,网络安全威胁的方式也在不断演变,为了积极应对多变的威胁方式,企业不断采用全新的防御措施,导致了他们疲于管理和更新大量单点解决方案。单点解决方案数量的上升增加了协同式网络防御战略的复杂程度,同时使得技能短缺、工资大幅上涨和总体成本攀升等问题日渐凸显。与此同时,网络犯罪分子也在企图利用拼凑而成的安全防御网所存在的漏洞,以及数字化转型带来的潜在威胁对企业进行攻击。
集成式防御平台的兴起
如今,网络安全厂商多达数百家,行业内人才济济。为了采购最佳的解决方案,企业需要将上百家厂商进行比对,这一过程耗时耗力。
为了应对现行的挑战与需求,企业现在正致力寻找一个解决方案可以更全面地管理其网络防御策略,以减少供应商数量、降低技术复杂性并可以对单点解决方案进行集中管理。简言之,网络安全行业现在正处于平台时代的初始阶段。
网络安全行业的专业人员也建议企业采用集成式管理方法,这种方法可以将多种优秀的网络安全工具进行集中管理和报告,同时可以做到共享所有防御层的遥测数据,其核心是一个可提供全方位网络安全防御的平台。考虑到网络安全领域的快速发展,以及大型企业管理系统的实际情况,它必须是一个极其灵活的平台,能够快速部署新模块,兼容旧系统,并集成来自多个供应商的新型单点解决方案。
因此,现在大部分行业分析师都聚焦在集成式安全平台报告而非单点解决方案报告,例如 2018 年第四季度 Forrester Wave:Zero Trust eXtended (ZTX) 生态系统提供商。
监管影响
简化的技术操作并非网络安全专业人员转向集成式网络防御平台的唯一原因。如今,新立法层出不穷,所有不合规行为都面临着被处以高额罚款或刑事处罚的危险,因此部署强有力的网络安全措施越来越必要,包括董事会在内的整个企业也越发关注这一问题。例如,中国的《网络安全法》明确说明对公民个人信息安全进行保护,网络运营者也应当加强对其用户发布的信息的管理等等。《网络安全法》是中国第一部全面规范网络空间安全管理方面问题的基础性法律,是依法治网、化解网络风险的法律重器。[2]
在中国以外的国家,也新增了许多指令与条例来确保企业的网络安全。例如,GDPR (《一般数据保护条例》)适用于所有收集和管理欧盟居民个人数据的企业,根据相关条款,一些不合规行为可能会致使企业面临高额罚款,罚金最高可达公司全球收入的4% 。欧盟 NIS 指令则适用于基础服务运营商 (OES),通常这些企业都是国家关键基础设施的一部分,例如能源、运输和医疗企业。为了提高欧洲地区整体的网络信息安全水平,该指令对 OES 提出了众多要求,以确保企业能够通过部署相关的解决方案来应对网络安全风险,以求最大限度的预防和减少安全事件的发生,保障基础设施的安全运行。这些条例和指令的惩罚规定也十分严格。例如,英航2018年9月向信息监管局通报了一起始于当年6月的数据泄露事件。事件导致约50万名客户数据因英航网站遭攻击而被窃取,英国信息监管局与今年7月8日发表声明说,英国航空公司或因违反《一般数据保护条例》被罚1.8339亿英镑(约合15.8亿元人民币)。
虽然 NIS 指令和 GDPR 是两项单独的法律,但在实践中两者相互交织。例如,针对水务公司的网络攻击可能会将目标瞄准泵站,旨在破坏其供水系统。但在公司专注于应对这类攻击的时候,第二阶段攻击则可能已经将矛头指向了企业的客户和财务数据。
除了服务中断、经济损失和声誉受损之外,水务公司还可能因为对基础设施保护不力而违反 NIS 指令,以及客户数据保护失措违反GDPR而面临高额罚款,如果攻击蔓延到欧盟境内,罚款金额还会成倍增加。
面对潜在的监管罚款压力,企业需要不断证明自己在保护、检测和响应等方面做好了充分准备。事实上,欧盟的法规也是在要求企业制定集成式网络防御战略以应对多样化的网络威胁。
集成式防御平台,全方位抵御网络威胁
长期以来,网络安全领域的防御策略都十分被动,这一现象也在一定程度上定义了许多企业对防御策略和其工具集的处理方式,他们会针对每个新威胁部署补丁、修复措施、加固措施或新工具。长此以往,会使网络防御变得十分复杂,企业将无法进行有效的管理,这也使得继续应对不断增长的多样化威胁变得更加困难。
数字化转型以及日益加大的监管压力促使企业采取新的防御手段。为了寻求占据行业制高点,企业对新型防御手段的需求也在日渐突出。为实现这一目的,企业需要一个能够广泛支持其所有防御措施的网络安全平台,这也意味着我们即将迈入集成式网络防御平台的新时代。
