2020年6月底， IBM Security 發(fā)布一項全球報告，旨在研究企業(yè)在準(zhǔn)備和應(yīng)對網(wǎng)絡(luò)攻擊上的有效性。盡管受訪組織在過去五年里已逐步提升了對規(guī)劃、檢測和響應(yīng)網(wǎng)絡(luò)攻擊的能力，但在同一時期內(nèi)，他們遏制攻擊的能力卻下降了 13%。這一全球調(diào)研由Ponemon Insitute主導(dǎo)、IBM Security贊助，結(jié)果顯示，使用過多的安全工具以及缺乏針對常見攻擊類型的特定操作手冊，已經(jīng)阻礙了安全響應(yīng)工作。

　　盡管組織的安全響應(yīng)規(guī)劃能力正在緩慢提升，但是絕大多數(shù)受訪組織 （74%） 仍表示，其安全響應(yīng)計劃要么只是臨時計劃，要么在執(zhí)行方面無法確保一致性，或根本沒有制定相應(yīng)計劃。這種缺乏規(guī)劃的情況可能會影響安全事件的成本。就數(shù)據(jù)泄露方面的平均損失而言，擁有事件響應(yīng)團(tuán)隊并且會廣泛測試其事件響應(yīng)計劃的公司，要比未針對這兩項因素采取措施的公司少損失 120萬美元。[1]

　　關(guān)于網(wǎng)絡(luò)彈性組織的第五次年度調(diào)研報告（Cyber Resilient Organization Report）的主要結(jié)果包括：

　　在過去五年的調(diào)研中，越來越多的受訪組織采用了涵蓋整個企業(yè)范圍的正式安全響應(yīng)計劃；此類組織所占的比例從 2015年的 18% 增長到了今年的 26%（增幅為 44%）。

　　即使在已制定了正式安全響應(yīng)計劃的組織中，也只有三分之一的組織（占受訪者總數(shù)的 17%）針對常見的攻擊類型編制了特定的操作手冊，而針對勒索軟件等新興攻擊方法而制定了計劃的組織則更少。

　　受訪組織所用安全工具的數(shù)量對威脅生命周期的多個類別造成了負(fù)面影響。與使用較少工具的組織相比，使用 50 多種安全工具的組織，其攻擊檢測能力降低了 8%，對攻擊的響應(yīng)能力降低了 7%。

　　在整個企業(yè)中運用了正式安全響應(yīng)計劃的組織，由于網(wǎng)絡(luò)攻擊而遭受重大破壞的可能性更小。在過去的兩年里，這些組織中只有 39%曾遭受過破壞性安全事件，相比之下，在響應(yīng)計劃不夠正式或一致性較低的組織中，遭受過破壞性安全事件的組織比例高達(dá) 62%。

　　IBM X-Force 威脅情報副總裁 Wendi Whitmore 表示：“盡管越來越多的組織已經(jīng)開始認(rèn)真考慮事件響應(yīng)計劃，但針對網(wǎng)絡(luò)攻擊做好準(zhǔn)備并非易事。組織還必須著重于定期測試、演練和重新評估其響應(yīng)計劃。借助可互操作的技術(shù)及自動化，還有助于組織克服復(fù)雜性挑戰(zhàn)，并縮短遏制事件所需時間。”

　　該項調(diào)研發(fā)現(xiàn)，即使在已制定了正式網(wǎng)絡(luò)安全事件響應(yīng)計劃（cybersecurity incident response plan

　　, CSIRP）的組織中，也只有 33% 的組織編制了針對特定類型攻擊的操作手冊。由于不同類型的攻擊需要對應(yīng)獨特的響應(yīng)技術(shù)，因此擁有預(yù)定義的操作手冊可為組織提供一致且可重復(fù)的行動計劃，幫助他們應(yīng)對可能面臨的最常見攻擊。

　　在少數(shù)擁有針對特定攻擊的操作手冊的受訪組織中，最常見的操作手冊是針對 DDoS 攻擊（64%）和惡意軟件（57%）的操作手冊。盡管這些方法歷來都深受企業(yè)所重視，但諸如勒索軟件之類的其他攻擊方法卻在不斷增多。盡管近年來勒索軟件攻擊的數(shù)量激增了近 70%，[2]但在已編制了操作手冊的組織中，只有 45% 的組織制定了針對勒索軟件攻擊的計劃。

　　此外，超過一半（52%）擁有安全響應(yīng)計劃的組織表示，他們從未審查過此類計劃，或者沒有就此類計劃的審查或測試設(shè)定時限。隨著遠(yuǎn)程勞動力數(shù)量的增多導(dǎo)致業(yè)務(wù)運營模式迅速變化，而且新的攻擊技術(shù)被不斷引入，這些數(shù)據(jù)表明，許多受訪企業(yè)可能依賴于過時的響應(yīng)計劃，而這些計劃并不能應(yīng)對他們當(dāng)前的威脅和業(yè)務(wù)格局。

　　該報告還發(fā)現(xiàn)，復(fù)雜性對事件響應(yīng)能力產(chǎn)生了負(fù)面影響。受訪者估計，他們的組織平均使用 45種以上的安全工具，而且他們在響應(yīng)每個事件時，平均需要對大約 19種工具進(jìn)行協(xié)調(diào)。該項調(diào)研還發(fā)現(xiàn)，工具過多實際上會阻礙組織處理攻擊的能力。在該項調(diào)研中，使用 50多種工具的受訪者表示他們檢測攻擊的能力降低了 8%（5.83/10 對比 6.66/10），響應(yīng)攻擊的能力降低了 7%（5.95/10 對比 6.72/10）。

　　這些調(diào)研結(jié)果表明，采用更多工具并不一定會改善安全響應(yīng)效果，實際結(jié)果可能會恰恰相反。使用開放、可互操作的平臺及自動化技術(shù)，有助于降低跨互不關(guān)聯(lián)的工具進(jìn)行響應(yīng)的復(fù)雜性。在該項調(diào)研評出的高績效組織中，有 63% 的組織表示，使用可互操作的工具有助于他們提高對網(wǎng)絡(luò)攻擊的響應(yīng)能力。

　　今年的報告表明，已制定了正式計劃的受訪組織在響應(yīng)事件方面更加成功。在整個企業(yè)范圍內(nèi)一致地采用 CSIRP 的受訪組織中，只有 39% 的組織在過去兩年里遭遇過對組織造成了重大破壞的網(wǎng)絡(luò)事件，而在沒有制定正式計劃的組織中，此類組織所占的比例高達(dá) 62%。

　　至于影響這些組織攻擊響應(yīng)能力的具體原因，受訪者表示，安全人員的技能是最重要的因素。61% 的受訪者將雇用技能熟練的員工視為網(wǎng)絡(luò)彈性提升的首要原因之一；在那些表示自己所在組織的彈性未得到改善的受訪者中，有 41% 的受訪者將缺乏技能熟練的員工列為這方面的首要原因。

　　技術(shù)是有助于受訪組織提高網(wǎng)絡(luò)彈性的另一個差異化因素，尤其是在幫助他們解決復(fù)雜性的工具方面。對于具有較高網(wǎng)絡(luò)彈性水平的組織而言，有助于提升其網(wǎng)絡(luò)彈性水平的前兩個因素分別是應(yīng)用和數(shù)據(jù)的可視性（占比為 57%）和自動化工具的可視性（占比為 55%）�？傮w而言，所有這些數(shù)據(jù)都表明，在攻擊響應(yīng)準(zhǔn)備方面更加成熟的受訪組織會更加依賴技術(shù)創(chuàng)新來提升自身的網(wǎng)絡(luò)彈性。

　　[1] IBM Security 和 Ponemon Institute：2019年數(shù)據(jù)泄露成本報告（2019 Cost of a Data Breach Report）

　　[2] IBM Security，2020 年 X-Force 威脅情報指數(shù)報告（2020 年），第 15頁

　　由 Ponemon Institute 執(zhí)行并由 IBM Security 贊助的 2020年網(wǎng)絡(luò)彈性組織報告是第五次年度調(diào)研，旨在研究組織正確準(zhǔn)備和處理網(wǎng)絡(luò)攻擊的能力。該調(diào)研匯集了來自全球各地的 3,400多名安全和 IT 專業(yè)人員的洞察力，具體包括美國、印度、德國、英國、巴西、日本、澳大利亞、法國、加拿大、東盟和中東。

　　IBM Security 可以提供最先進(jìn)、集成的企業(yè)安全產(chǎn)品和服務(wù)組合。由世界著名的 IBM X-Force? 研究進(jìn)行支持，該組合使企業(yè)能有效地管理風(fēng)險并防范新威脅。IBM 作為世界上覆蓋范圍最廣的安全研究、開發(fā)和交付企業(yè)之一，每天對 130多個國家/地區(qū)的 700億次安全事件進(jìn)行監(jiān)控，并在全球范圍內(nèi)擁有 10,000多項安全專利。