现代网络危机包罗万象。企业要想杜绝导致业务停摆、声誉受损、价值贬值的安全事件,需要调动全员全面、实时、动态地做出响应。因此,企业需要培养和发展一支更加开放、有弹性、敏捷的网络安全团队。由于出现了一系列全新的因素,今天神圣化的安全计划不一定能够应对明天的威胁。根据安全机构immersivelabs的调查数据,效率在90%以上的安全响应活动平均参与人数为11人,可见网络安全参与者的广度会影响响应效率;在应对网络危机时,教育培训机构比其他组织更重视团队协作,参与人数(21人)是次优(咨询技术,7人)的3倍;就网络安全团队处理危机的有效性而言,表现最差的是医疗保健行业,得分仅为18%。低于制造业(85%);金融和政府这两个利益相关者群体复杂、监管负担沉重的关键行业得分分别为45%和64%,略高于医疗保健。跨行业的网络危机响应效率建立更具弹性的网络安全团队不断发展的网络威胁正在将攻击者的能力发挥到极致——每个威胁都在多个阶段执行并针对组织的不同部分。大型组织面临的网络威胁挑战复杂而艰巨。虽然每个组织拥有和需要的网络安全知识、技能和判断力都存在很大差距,但所有组织都可以从理解数据作为第一步开始。大型组织中网络安全团队选择的能力类型,从1到12种依次递减防御规避、发现、特权升级、持久性、初始访问、命令和控制(C&C)、凭证访问、横向移动、影响、数据泄露、信息收集能力,等等??。总的来说,网络安全团队似乎更感兴趣的是了解被破坏的过程,而不是攻击后所涉及的技术。数据表明,了解代码执行方式的能力优于数据收集或数据泄露(攻击链的下游)。在这些具体技能中,最重要的是了解代码执行的基本原理,例如编写脚本和了解命令行界面。以妥协为中心的技能虽然更受欢迎,但也需要更长的时间才能掌握,初始访问花费的时间最长,其次是特权升级、持久性、发现、防御规避、执行、凭证访问、横向移动。相比之下,信息收集、C&C、数据泄露和影响所花费的时间低于平均水平,仅为10多分钟。完成MITRE能力的时间分布(1是最短,12是最长)表明,大型组织的内部网络安全团队平均需要3个月(96天)以上的时间来培养防御攻击所需的技能网络入侵威胁。大型组织的安全团队平均需要6个月(204天)的时间来应对新的破坏性威胁-流行的邮件传输代理Exim中一个被积极利用的关键漏洞,使410万个系统可能容易受到攻击。国家关键基础设施提供商学习网络威胁防御技能的时间最长。其中,基础设施和交通运输行业平均耗时4个多月(137天),比最快(休闲娱乐,65天)快了一倍。在建立劳动力网络防御能力方面,娱乐、电子商务和媒体等以数字为中心的行业明显优于其他行业;两个更成熟的行业——政府机构和金融服务——也表现良好;有趣的是,基于传授知识的商业模式的咨询业在这方面实际上是落后的。提高人们的安全能力和保护应用软件漏洞直接导致了最近备受关注的安全问题——Log4j和SolarWinds只是其中两个比较突出的案例。许多组织中存在的文化差距和知识差距进一步加剧了应用程序安全风险。因此,企业需要不断加强企业文化建设,弥合知识鸿沟,激发人的潜能,保护网络安全,尤其是应用安全。在这个过程中,首先需要了解开发团队想要保护哪些语言,可以对应用安全知识、技能等进行指导,进一步了解企业的??网络弹性。开发团队更愿意保护的语言份额研究表明,总体而言,组织更关心与开发语言相关的安全问题,例如python(31%)和Java(29%),PHP(15%))使用这些语言进行安全开发)两次。相比之下,Ruby和C则不太受欢迎,分别仅占4%和7%。按行业分析各种开发语言的比例按行业分析,金融服务和制造业非常倾向于Java,58%和62%的应用程序安全功能是用Java语言编写的,是python语言的三倍之多;而政府更倾向于用PHP语言编写。其次,安全人员掌握应用安全知识和技能的时间长短,成为衡量企业网络弹性的重要因素。数据显示,平均而言,应用程序安全团队成员的技能提升速度比传统网络安全团队更快。事实上,78%的应用程序安全功能的开发速度快于预期,而传统网络安全团队的这一比例仅为11%。按部门分析时,出现了一些有趣的趋势。数据显示,以数字化转型程度高着称的金融服务机构耗时较长,比预期完成时间慢了近3分46秒,比制造业慢了10分钟。未来的网络安全专业人员将具备哪些知识和技能?人的网络安全能力的缺失是有据可查的,无论是专业人员还是其他人员,在某一方面都会存在知识、技能和判断力的缺失。随着万物互联时代的开启,如何保证互联网设施不被恶意行为者滥用成为一个棘手的问题,需要人类能力的不断提升。研究发现,网络安全专业人员对学习基础知识更感兴趣,例如了解安全意识和管理、风险和合规性等核心概念,而不是具体技能。除了基础知识外,网络安全人员各项技能的参与得分为红队/进攻技能,平均参与率为6.9。其中基础设施攻击和侦察这两项能力占所有攻击技能的73%。这再次印证了上述网络安全人员更关注入侵起点的说法。此外,应用安全技能的参与率较低,仅为攻击性网络安全技能的1/4,考虑到2021年一些大规模网络漏洞是不安全的软件造成的,这凸显了该行业未来可能面临的一个问题。该研究还指出,未来的网络安全人才在保护云环境方面略高于其他专业人士。结论实现真正的网络弹性无疑是困难的。一连串的勒索软件攻击和供应链攻击已经证明了这一点。然而,在网络安全领域,弹性比以往任何时候都更加重要。虽然保护和防御的能力仍然不可或缺,但这还不够。面对当今包罗万象且不断发展的威胁形势,有必要将网络风险战略深入到整个组织,同时保持敏捷性。网络弹性不再只关乎网络安全团队,而是关乎整个组织。实现这一目标需要整个组织不断发展网络知识、技能和判断力。原文链接:http://www.immersivelabs.com/wp-content/uploads/2022/05/cyber-workforce-benchmark-2022-immersive-labsfinal.pdf
