请回答 2021：企业网络安全评估十六问

企业数字化过程中出现的问题让人担忧。
2021 年春节前夕，一家教育领域的 SaaS 厂商，软件系统遭黑客攻击并勒索比特币，尽管被删数据的系统是一个内部的测试系统，但对外也是一个开发环境。该公司相关负责人告诉牛透社，由于备份机制不健全，导致一些数据（比如公司的商机、拜访记录等）无法恢复，而万幸的是，被删的数据是该 SaaS 公司自己的数据，并非客户数据。

信息安全对于 SaaS 厂商尤为重要，客户的大量数据都在 SaaS 厂商手上，如果 SaaS 被黑客攻击，对客户来说将是灾难性的。事件发生后，该公司意识到信息安全的重要性，决定与国内头部云计算厂商合作，做好数据的容灾备份工作。 

企业都知道安全重要，但是否在安全措施上采取行动，要看自己有没有吃过惨痛的教训。 

360 集团董事长兼 CEO 周鸿祎有一个论断：“如果缺少科学的安全设计和体系建设，数字经济就相当于‘裸奔’，跑得越快，就越容易造成悲剧性的灾难。”
的确如此，网络威胁将超越传统安全威胁，成为数字经济最大的安全威胁。数字经济的本质特征是软件定义世界，随着智慧城市的发展、工业互联网的推进，整个世界都将架构在软件之上，整个社会的运转、整个制造业的基础都将在网络攻击面前变得十分脆弱。 

据国际数据公司  IDC 预测，2021年全球网络安全相关硬件、软件、服务投资将达到1435亿美元，同比增长8.7%。针对中国市场，IDC 预测，2021年中国网络安全市场总体支出将达102.2亿美元，2020-2024年预测期内的年CAGR（复合年均增长率）为16.8%，增速继续领跑全球网络安全市场。这是网络安全市场的整体情况。 

近年来企业安全问题频现，比如被黑客攻击的红杉资本、被删库的微盟、被勒索病毒攻击的台积电工厂等等，网络安全问题怎么强调都不为过。数字化是 To B 的好生意，但如果没有安全，就没有一切。 福布斯技术委员会的 16 位专家就企业网络安全话题，作了一个非常精彩的分享，对企业而言颇具参考价值，牛透社将其翻译，以飨读者。

以下为翻译全文：

网络安全评估是加强公司防御网络攻击的关键部分。但是，网络安全评估的有效性取决于开始之前建立的程序。领导层和技术团队的成员必须对正在寻找的网络薄弱环节有清晰的认识，并且对于测试这些薄弱环节有相应的策略。

此外，网络安全评估的结果也同样重要。如果没有一个可靠的计划来解决发现的问题，那么，问题可能会继续存在，甚至让情况变得更糟。 

在流程推进之前和之后提出正确的问题，可以帮企业确保发现并有效解决缺陷。以下是福布斯技术委员会 16 位专家的分享，他们认为在网络安全评估过程中应该提出的关键问题。

1. 企业只关注安全合规性吗? 尽管企业意识到网络风险，但它们的投资往往是由合规性驱动的，而没有把网络风险管理作为大商业环境的一部分。仅仅依靠守规，通常会给人一种错误的安全感。除了遵守必要的规章制度之外，组织还必须知道，当遇到“剧本”中安排的场景时，他们是否依然安全。- Reuven Aronashvili，CYE
2. 公司的员工准备好迎接网络攻击了吗？

你不能交给宇航员一本关于火箭的小册子，然后就把他们送上太空。同样，你也不能只给你的团队一些文档，然后说“读这个”。实际上，你应该制定一个应对紧急情况的培训计划，让员工知道面对网络攻击时该怎么做，这将使您的团队在真正的危机中更有效地行动。- Marc Fischer, Dogtown Media LLC
3. 黑客会怎么做？ 

在做完安全评估后，每个公司都应该问的一个重要问题是：“黑客会做什么，我们做好准备了吗？“ 关键是要从攻击者的角度来看评估，因为评估永远不会全面。- Juliette Rizkallah, SailPoint
4. 目前，最紧迫的问题是什么？

为了缓解风险，公司必须能够量化并优先考虑评估期间发现的风险。这将最大限度降低违约风险，使公司能够承担类似开设新分支机构或收购竞争对手所附带的战略风险。优先降低某些风险，将使公司得以持续发展。- Matt Kunkel, LogicGate
5. 特洛伊木马在哪里？

每个公司都必须回答的一个问题是“特洛伊木马在哪里？”最大的堡垒和装备最好的军队都能被人为因素所摧毁。网络安全评估之后，最重要的一步就是首先解决人的因素。- Spiros Liolis, Micro Focus
6. 谁负责解决漏洞？

公司必须知道谁来充当网络安全“事主”的角色 ，通过这种模拟方式，去弥补和评估既定的系统和流程里最严重的漏洞。评估通常会列出量化风险和弥补行动的路线图。然而，在没有明确事项所有权的情况下（团队中负责弥补措施的人员），计划往往被推迟，发现的大部分漏洞都将躺在系统里（不能及时被解决）。- Hitesh Bhardwaj, Cloud4C
7. 攻击者如何访问我们的关键资产？

组织（企业）需要问问自己，攻击者可以通过多少种不同的方式访问漏洞中的关键资产，以及当前的安全控制是否经过测试，从而可以有效地检测和响应威胁。始终将这个问题放在首位，可以确保公司清楚地了解自己的安全状况，并正确地保护自己最重要的资产。- Stephan Chenette, AttackIQ
8. 被黑客非法入侵，该怎么办？

你会被黑客入侵。你的计划是什么？你如何应对？你如何与利益相关者沟通？你们的应急小组到位了吗？如果经过你的评估，在遭遇攻击后自己的确不知道该怎么做，那么，是时候做出改变了。- Michael Landewe, Avanan, The Cloud Security Platform
9. 公司想承受多大的风险？

公司在进行网络安全评估后必须能够回答的一个基本问题是：“我们希望承受的风险是什么，因此，我们将采取什么样的风险姿态？”这设定了一个明确的目标并确定了目标状态，从而确定你将从评估中采纳哪些建议。- Jacqueline Teo, HGC Global Communications
10. 公司需要什么级别的安全保障？

公司应该问的第一个问题是“我们需要什么级别的安全保障？“网络安全是保护和成本之间的平衡。处理和存储的消费者或业务数据的级别、销售的产品以及创造的知识财富的价值都将决定这家企业需要的安全级别。然后，企业就可以使用 NIST 等框架来确定需要满足的控制了。- Sean McDermott, Windward Consulting Group
11. 企业的安全控制措施正常吗？

大多数公司习惯于问自己“我的企业安全吗？”在每一次网络安全评估之后，最基本的问题应该是“我们的安全控制是否有效和高效地运作？”？询问安全控制措施是否有效和高效，其实是进一步为组织创建了通用的风险管理分类法。- Dr. Adewale Peter Obadare, Digital Encode Limited
12. 企业如何保护用户？

要问的一个关键问题是“企业是如何保护用户和各种应用程序 ID 的？” 如果用户或应用程序 ID 基础设施不安全，并且没有经过审查，那么即使其余的安全状况看起来很好，也仍然达不到要求。- Vipin Jain, Pensando Systems 

13. 高级领导层准备好解决这些问题了吗？

我们是否得到公司高层领导的支持，以解决评估中发现的安全问题？与公司的其它关键领域一样，网络安全必须以同样的紧迫感来审视。当网络安全被视为一个成本中心时，它很可能最终成为一个成本中心，但那个时机是在最不合时宜的时候（例如，在违规或不受赏识的员工流失期间）。-Nate Cote, Kanguru Solutions
14. 我们如何从黑客攻击中恢复过来？

应该问一个问题：“我们的业务持续方案或灾难恢复计划是什么？” 你可能被黑客入侵，并且将面临宕机。如何应对这种事故？如何尽可能降低风险？评估的目的不应该是显示你有多安全，而是识别安全盲点和潜在风险。从 DevSecOps（开发、安全、运营）和网络开始着手，然后逐步让问题得到缓解。- Damian Ehrlicher, Protected IT
15. 下一次安全评估是什么时候？

无论目前的评估结果如何，最重要的问题是“下一次安全评估是什么时候？“评估只是一个时间点。环境在变化，攻击者的工具和技术也在不断变化。安全评估不仅需要检查合规性，还应该确定你的工具、策略和过程确实有效。- Saryu Nayyar, Gurucul
16. 企业需要做些什么才能实现最终的业务成果？

网络安全评估本身绝不应被视为一种结果，而应被看作一个实现结果的工具。“评估”不是任何公司都应该追求的最终状态，它应该是“修复并修正”。因此，公司应该能够回答这个问题——“我需要做什么才能达成最终的业务成果？”万事开头难，第一步至关重要。- Craig Goodwin, Cyvatar