网络安全领导原则：在 COVID-19 大流行期间吸取的教训，为新常态做准备

塑造网络安全和数字信任的未来网络安全领导原则在 COVID-19 大流行期间吸取的教训，为新常态做准备2020 年 5 月 1世界经济论坛 91-93 route de la Capite CH-1223 Cologny/Geneva 瑞士电话：41 (0)22 869 1212传真：41 (0)22 786 2744电子邮件：contact@weforum.org www.weforum.org© 2020 世界经济论坛。版权所有。本出版物的任何部分均不得以任何形式或由任何手段，包括影印和记录，或通过任何信息存储和检索系统。 2内容1.2.专注于保护关键能力和服务 73.在危机期间及以后平衡风险知情决策 84.更新并练习您的响应和连续性计划随着您的业务过渡到新常态 95.加强全生态系统合作 10 3介绍世界正在经历一场前所未有的危机，这场危机正在引发全球经济混乱，扰乱供应链并改变社会。新的现实正在以比以往更快的速度加速商业模式转型，以确保在没有人准备好的危机中生存下来。COVID-19 大流行对社会产生了巨大影响，并迫使每个人都严重依赖互联网及其数字经济——通常需要数年才能完成的事情现在在几个月内发生了。这种情况凸显了数字基础设施、经济、地缘政治和隐私等方面的内在系统性问题，主要与前所未有的压力有关。数字架构和供应链依赖性。如果不以整体方式解决这些问题，不断升级的风险可能会产生多米诺骨牌效应，可能会影响全球关键功能和行业生态系统。远程访问技术的大规模采用以实现在家工作的实践，并更加依赖云服务，使公司能够在保持社交距离和政府“居家”命令的情况下继续运营并降低成本和/或雇主。它还在重塑数字环境和架构，同时随着风险的升级，供应链弹性和网络安全运营受到压力。这种力量的汇合可能会影响全球的关键功能和更广泛的行业生态系统：–通过对个人设备和住宅网络的高度依赖，在家或远程工作已成倍增加了攻击面和网络攻击的多种载体–社会工程学策略对于分心和脆弱的劳动力仍然非常有效–保持高度互联供应链的网络弹性变得更具挑战性–新服务的快速部署（主要是基于云的）以及网络架构的更改可能会绕过重要的风险保证步骤并暴露更广泛的生态系统–关键业务资产和功能更容易受到犯罪组织和民族国家的机会性和有针对性的网络攻击，以寻求利用不断上升的漏洞–医院等重要的关键基础设施服务面临着巨大的压力，并且受到旨在破坏重要服务的新型勒索软件的打击尤为严重领导者必须战略性地管理信息风险，努力建立跨组织共享网络风险所有权的文化，并采取战略性方法来实现网络弹性。有效的网络弹性需要多学科的联合和协调努力，以超越合规性，实现有凝聚力的业务和数字化支持。 4企业需要从业务角度考虑网络弹性，着眼于业务运营风险的网络因素因为他们越来越依赖互联网和数字渠道。他们还需要对如何应对任何重大网络事件并从中恢复采取弹性心态。以下原则将帮助组织制定负责任的行动方针，在短期目标与中长期目标之间取得平衡：1.培养网络弹性文化韧性首先是领导力问题，更多的是战略和文化问题，而不是战术问题。保持弹性要求最高领导层的人承认主动风险管理的重要性，并更多地关注组织吸收和从可能破坏基本服务的网络攻击中恢复的能力。2.专注于保护您的关键资产和服务企业必须将资源和投资优先用于最重要的领域，以保持运营连续性、保护关键数字资产并确保合规性。3.在危机期间及以后平衡风险知情决策企业正在以前所未有的规模和速度改变其运营模式和技术格局，这将需要在他们适应和紧急应对危机时进行一些风险权衡。但是，随着他们进入新常态，他们将需要重新评估数字依赖性和累积的风险，以将其风险状况恢复到可接受的水平。4.随着您的业务过渡到新常态，更新并练习您的响应和业务连续性计划这场危机提醒企业领导者，必须与主要供应商和业务合作伙伴定期调整和测试针对不同灾难情景（包括流行病）的响应和弹性计划。这包括使用这些测试来挑战假设（例如恢复时间），并开发测量弹性、响应、恢复和其他关键能力的方法，以预测、承受和恢复并适应不利条件、攻击或系统妥协由网络资源启用。15.加强全生态系统合作整个生态系统中的公共和私营部门同行之间在网络弹性方面的伙伴关系和合作至关重要促进信息的透明共享，并超越订阅走向更积极的参与。本文件中的原则是对正在发生的危机的初步回应。它们旨在指导专门负责网络弹性的领导者和其他业务领导者。虽然企业可能需要根据不同的政策环境来规范措施，这些概念可以为在这个关键时期采取负责任的行动方针提供一个框架。 5网络安全领导原则培养网络弹性文化专注于保护关键能力和服务在危机期间及以后平衡风险知情决策随着您的业务过渡到新常态，更新并练习您的响应和业务连续性计划加强全生态系统合作1.2.3.4.5. 61.培养网络弹性文化COVID-19 危机突出表明，如果要有效应对数字化挑战，仅关注网络安全是不够的。保护和防御策略很重要，但企业必须还制定战略以确保有弹性和可持续的网络，同时利用数字化带来的机会。此外，由于供应链和价值链某个领域的漏洞可能危及整个组织，因此弹性需要重点关注关键系统和流程，而不是一揽子方法。以下关键行动将帮助领导者在企业和更广泛的生态系统中灌输网络弹性文化：实施网络弹性治理网络弹性是一个影响组织各个方面的业务问题。董事会必须承担其监督和灌输必须发生的文化转变的责任。2 此外，通过任命负责人来实施全面的网络弹性治理官员应打破业务、IT、OT 和物理安全与业务组之间的壁垒，促进发展网络技能和能力，并建立适当的结构，以确保在整个组织对 COVID-19 危机的响应中协调一致的网络弹性战略和优先事项。通过设计促进弹性网络风险和影响从一开始就应该在 IT 和业务流程变更、并购和第三方参与中进行主动监控和管理。3这将确保企业识别需要提前缓解的网络风险并管理这些举措的成本因此。它还将使他们能够利用数字化提供的业务效率，同时控制相关的网络风险和影响。超越合规鉴于几个重要的关键基础设施部门的众多法规和合规要求，网络弹性工作通常采取“复选框”的心态。然而，数字生态系统是一个动态环境，其中网络威胁的发展速度通常快于监管。在这种大流行期间，企业可能需要优先考虑业务连续性、事件响应和恢复活动，并与监管机构合作，确定合理的时间表，将其组织合规状态恢复到可接受的水平。加强具有网络弹性的员工行为每天，员工都会做出与技术控制一样对安全产生影响的决策。确保组织安全是每位员工的责任。例如，许多犯罪组织使用网络钓鱼电子邮件等前门攻击媒介。网络钓鱼电子邮件的数量在此期间飙升大流行，冒充世界卫生组织 (WHO) 员工的诈骗者将救济资金用于 COVID-19 受害者，并使用虚假广告引诱用户访问恶意网站。企业应该提供帮助员工通过定期培训来确保安全，以识别可疑电子邮件，并让他们了解危机期间可能出现的最新技术。此外，应用最小权限访问原则并拥有先进的反恶意软件和反网络钓鱼功能将显着减少网络钓鱼活动的风险。 72.专注于保护关键能力和服务业务领导者必须对其关键服务、应用程序、供应商和资产有一个整体和系统的看法，以确定危机对收入、员工、客户和基本服务连续性的潜在影响。网络健康与人类健康有许多相似之处，可以将针对 COVID-19 病毒的预防、追踪和应对措施与针对数字病毒推荐的措施相提并论。以下关键行动将帮助领导者维持其业务的网络健康并保护对运营至关重要的能力和服务。加强网络卫生有效且一致地实施强大的网络卫生将减轻过去十年的大多数网络攻击以及自大流行开始以来实施的许多攻击。利用服务器、应用程序上存在的已知漏洞或端点设备是网络攻击的常见入口点。从关键资产开始开发和维护所有数字资产的清单将有助于确保有效的漏洞管理策略，并且对于保护关键系统免受网络威胁至关重要。4保护对关键资产的访问企业将需要投资于增强的身份和访问管理系统，以应对快速转向远程工作所带来的新的“无边界”挑战。使用自动化系统实施网络分段和强大的身份验证措施以提供和撤销权利是当务之急。特权用户必须有一个分层访问机制才能访问关键任务系统。为了确保远程连接，企业应部署分层深度防御，以防止数据泄露并检测远程连接端点的可疑活动（例如，使用多因素身份验证的 VPN）。监控关键资产的异常活动企业应考虑增加对监控和响应能力的投资，以帮助减少检测到缓解的时间。这可以包括远程监控协作工具、监控新型恶意软件的网络，以及监控员工和第三方以在异常活动导致运营中断或破坏活动之前捕获它们。优先投资网络安全自动化在当前的数字经济中，企业必须明智地分配有限的资源，并投资于人工智能 (AI)、机器学习 (ML) 和大数据等技术，以自动化平凡的网络安全流程并将人为错误的风险降至最低。例如，这些流程将包括提供和撤销权利以确保访问关键服务和敏感信息的适当访问权限、漏洞扫描和不同的分类安全事件和异常。因此，企业将能够在与流程改进、事件响应和新威胁情景准备相关的其他重要活动中重新分配资源。 83.在危机期间及以后平衡风险知情决策企业领导者应该认识到，他们的业务风险态势已经发生了显着变化，需要在危机后恢复到可接受的水平。以下关键行动将帮助领导者平衡风险知情决策：采用零信任方法来保护您的供应链随着开源和云平台的采用，新应用程序的高速开发是前所未有的。组织经常无法解决其软件的错误或配置问题应用程序，就像 Zoom 的情况一样，它在大流行期间因安全和隐私缺陷而受到大量审查。由于黑客主动识别和利用价值链中最薄弱的环节，因此保护供应链安全的零信任方法必须成为常态。定义和实施有意义的网络弹性指标为了有效地将网络安全和弹性整合到业务战略中，监控网络弹性和风险工作，以及衡量投资和能力的有效性，对于业务利益相关者做出明智的决策至关重要。技术网络安全指标经常被衡量和报告，但它们需要与业务战略目标保持一致，并转化为决策者可以理解和采取行动的标准格式上。企业应为检测、响应、遏制和恢复能力制定定量和定性指标，并使用测试和练习来应用这些指标。例如，仪表板可以捕获关键系统弹性和业务流程暴露于各种风险和弹性问题的依赖关系。关注对运营至关重要的网络风险企业领导者需要了解 COVID-19 大流行对数字化战略的影响，并优先考虑对运营至关重要的技术、安全能力和服务推出。有新的漏洞由于技术的快速变化，风险也在迅速增长，领导者必须优先考虑和管理那些对业务运营至关重要的风险。 94.随着您的业务过渡到新常态，更新并练习您的响应和连续性计划尽管许多网络弹性领导者和其他企业领导者利用他们过去危机的经验来应对 COVID-19 爆发的早期阶段，但大流行的规模和不可预测的持续时间使得应对和恢复工作特别困难。以下关键行动将帮助领导者在这个动荡和充满活力的时期保持业务连续性：实施全面的危机管理计划危机管理是任何业务连续性计划的关键组成部分，其中重大灾难或事件不是是否发生的问题，而是何时发生的问题。仅专注于分析和减轻风险的组织可能无法很好地管理危机。因此，建立一个具有危机管理能力的跨职能团队是第一个构建块。当像这种流行病这样的危机发生时，一个非常详细的计划对于引导具有不同角色和责任的个人实现共同目标和集体行动是非常宝贵的。这样的计划需要涵盖公司活动的整个范围，从用于案例管理和内部沟通的工具到与政府机构、执法部门、法律和保险专家的关键联系，以防需要与这些各方进行沟通.维护和调整响应和弹性计划管理层应测试并持续改进事件响应、灾难恢复和业务健康连续性计划，包括网络攻击和大流行场景，以保持响应准备状态。这些计划应在准备和保护（例如纵深防御战略）与响应和恢复能力之间取得平衡，以在危机期间及以后保持业务连续性。企业必须确定其组织的风险应对方法是否有效和高效。为新常态做准备随着我们超越 COVID-19 大流行，组织需要为使用技术的新方法做好准备。在家远程工作仍在继续随着大流行期间转向在家工作，企业可能会延长它以降低运营成本。他们应该准备好继续提供由云计算提供支持的安全远程技术，在安全性、用户体验、成本和效率之间取得平衡。数字化将继续加速在大流行期间，所有企业都在进行变革性的数字化，这将以前所未有的速度改变其数字架构和技术。这种数字化转型由人工智能、云计算和物联网等技术提供支持，并