Marsh McLennan报告采用数据驱动方法进行网络措施

使用数据 优先考虑网络安全投资 内容 01执行概要 05 确定之间的相关性网络控制和网络事件 02介绍 03马什键控制 04 数据集帮助大纲网络安全态势 实现利率让同行比较 06 07 比较实施息产业 08结论 执行概要 在行业首创，MarshMcLennan的新报告中，使用数据确定网络安全投资的优先级,显示了如何使用以前不可用的数据进行分析研究可以帮助组织评估其网络的影响 控制。与此同时，这种评估网络安全控制影响的开创性方法已经在确定投资优先级和制定战略路线图方面的实际应用。 主要结论: •自动硬化技术-在很大程度上-具有最大的优势任何研究的对照降低成功可能性的能力 网络攻击，使其成为优先考虑的关键控制，以尽量减少损失。强化通过应用基线安全性来限制攻击手段 系统组件的配置，包括服务器、应用程序、操作系统、数据库以及安全和网络设备。 •关于硬化的发现令人大开眼界，因为到目前为止，顶部大多数保险公司提出的三种控制措施是端点检测 和响应（EDR）、多重身份验证（MFA）和特权访问管理(PAM)。 •长期以来，我们一直是网络安全工具和建议的主要内容，我们发现 MFA只有在全面实施时才会产生强大的积极影响。公司未能在其组织中广泛使用MFA的风险更大 经历成功的网络攻击，表明使用网络安全深度防护方法。 •最不可能实施的关键控制措施是EPM工具和在7天内修补高严重性漏洞。这在 选择行业评估。 采用某些网络安全控制措施现在是确保安全的最低要求网络覆盖范围，涉及组织的潜在可保性和定价。然而 组织不确定采用哪种方式，并且进展缓慢。 虽然多年来已经建立了一系列网络安全控制措施至关重要，但许多 过去，公司通常依靠专家意见而不是数据来推荐哪些网络控制很重要。现在，首次由 达信麦克伦南网络风险分析中心展示了网络控制在比较方面的比较情况他们的效率。 在报告中，MarshMcLennan将其广泛的专有网络索赔数据集配对。达信网络安全自我评估（CSA）问卷的结果是 由来自各个组织的数百个问题和回复组成。什么时候 结合这两个数据集，可以深入了解哪些网络安全控制具有对组织经历网络事件的可能性影响最大。 这种对数据和分析的创新使用可以帮助公司确定哪些控制措施 确定优先级。反过来，这可以帮助在网络期间对被保险人有利定位保险承保。 介绍 随着网络攻击和相关保险索赔的不断增加，保险公司对承保网络风险越来越挑剔。通过 某些网络安全控制现在是保险公司的最低要求，具有优惠的政策定价、条款和条件，甚至 组织的可保性-可能处于危险之中。 使用某些网络控制可以帮助组织积极将其网络风险管理与保险公司区分开来。然而，虽然多年来已经建立了各种网络安全控制作为最佳实践，但许多公司不确定采用哪种方式，或者采用速度很慢。 确定要部署的控件的优先级有助于告知组织如何分配有限的预算，从而确保资源流向它们将提供有效保护的地方。 因此，战略问题变成了：我们如何决定实施哪些网络控制？ 与日益数字化世界中的许多战略决策一样，数据的创新使用是解决方案的关键部分。在这项研究中，我们展示了数据如何帮助确定哪些网络控制可以降低公司的可能性。经历一个网络事件。 马什键控制 从2019年开始,和频率ransomware攻击的严重程度增加某种程度上,它影响了定价和 网络保险和可用性 保险公司提供的条款和条件。 12湿地网络安全控制的关键 多因素端点检测 安全,加密, 访问权限 一些组织发现自己很难, 某些情况下几乎是不可能的,购买保险。 达信的专家确定了12项具体的网络控制措施，组织应该关注。被发现缺乏其中任何一项的企业 控制措施增加了被拒绝承保的风险。已识别的网络安全控制现在是网络保险公司的最低要求，组织的潜在可保性、定价和承保范围为 桩。总体而言，组织现在强调此类控制以帮助缓解风险，并提高其网络安全地位和弹性。 身份验证(MFA) 电子邮件过滤和网络安全 和响应(EDR) 补丁管理和脆弱性管理 测试和备份 网络事件反应计划和测试 管理(PAM) 网络安全意识培训 和网络钓鱼检测 然而，虽然这些控制措施已经建立了多年，但对保持网络弹性，许多组织采用的速度很慢 其中一些，出于各种原因。例如，某些控件可以实施成本高昂，而且预算有限，很难 硬化技术, 日志记录和 临终的系统 供应商/数字 包括远程 监控/网络 替换或保护 供应链风险 桌面协议(RDP)缓解 保护 管理 知道投资哪个。确定优先级的有效方法是确定这些已被证明可以降低公司可能性的控制措施 经历一个网络事件。 数据集帮助大纲网络安全态势 MarshMcLennan有一个专有数据库，参考作为达信网络自我评估（CSA），组成 来自个人的数百个问题和回复组织。分析时，它们有助于描述组织的网络安全态势。中的问题 CSA专注于12个关键控制领域，以及 为了集中这项研究，我们只考虑了达信关键控制类别，这些类别将具有较大的对成功网络事件频率的影响，而不是事件的严重性。 这些类别是: 多因素身份验证补丁管理和 电子邮件过滤和网络 组织网络安全的其他相关方面(MFA) 的姿势。 脆弱性管理安全 此外，MarshMcLennan维护着一个专有的历史网络事件数据集。我们基于美国的索赔。该数据库包括可追溯到2010年的事件，包括导致网络索赔被支付的索赔事件和情况通知 没有造成保险损失。当一起分析时，这两个数据集提供对哪些网络安全控制对减少 组织经历网络事件的可能性。 访问权限管理(PAM) 网络安全意识培训和钓鱼测试 端点检测和响应(EDR) 硬化技术, 包括远程桌面协议(RDP)缓解 日志和监控/网络保护 临终的系统替换或保护 计算信号强度有助于确定控件的优先级 这些类别中的大多数问题是二元的，允许“是”或“否” 响应。如果不是这种情况，我们调整了数据以使它们对齐。1 该公司对CSA的回应与来自CSA的一年历史索赔数据相结合 2020年11月至2021年11月。请注意，作为威胁和网络安全最佳实践随着时间的推移，达信CSA中的问题和潜在答案也在不断发展。这研究包括索赔事件发生时的网络安全最佳实践。 一旦所有响应都是是/否格式，我们就会计算信号强度。对于每个问题，我们计算了条件概率（即事件的可能性） 发生）经历网络索赔或情况通知，假设组织未实现控件。此外，我们计算了条件概率 1|对某些问题的回答是从下拉菜单中选择的，例如受影响的端点的总百分比或应用补丁的时间范围。对于这些，确定了最小值，低于该值组织的回答被归类为“否”。例如，在其中一个设备管理问题中，被归类为“是”的最低公司回答为75%到100%。低于此值的响应分类为 “没有。”自由场（开放）响应类型的问题不包括在研究中。 在组织实施时遇到网络索赔或情况通知 控件。每个控件都是孤立考虑的，而与其他控件无关 公司可能已经实施，也可能没有实施。因此，这些因素不能考虑乘法，因为控制在实际操作中是相关的。 然后将“信号强度”表示为给定的条件概率的比率给定“是”响应，对条件概率的“否”响应。信号强度 上面的一个表示所讨论的控制降低了网络事件的可能性。信号强度越高，控制对降低 事件发生的可能性，这意味着信号强度是控制力的强指标 应优先考虑。（请注意，由于每个控件都是单独考虑的，因此信号优势不是添加剂。) 信号强度越高,越高控制对减少的影响一个事件的可能性。 识别网络之间的相关性控制和网络事件 通过查看CSA中的每个问题及其与网络事件的相关性，我们确定了这些网络安全对公司经历网络事件的可能性影响最大的控制（见图1）。 信号强度最大的问题-因此对 网络安全—与强化技术有关。强化是应用的最佳做法系统组件（包括服务器、应用程序、 操作系统、数据库以及安全和网络设备。没有这些硬化 进程，不良行为者能够利用弱的默认设备设置或错误配置，使强化成为网络安全的关键部分。 这些排名靠前的网络安全控制措施中有许多并不令人意外。例如强化技术和及时修补网络对于防止 成功的网络攻击。然而，这是一个重要的发现，看看影响有多强。加强对网络安全。 分配信号强度的价值是帮助公司确定哪些控件网络安全专家建议在决定如何最好地构建和保持弹性系统。 有一些问题在个人网络安全列表中排名不高 控制。例如，多因素身份验证（MFA）长期以来一直被认为是重要的网络安全控制，并被确定为12个最高优先级之一 沼泽键控件。那么，为什么它不在图1中的顶级控件列表中呢？ 为了回答这个问题，我们更深入地研究了组织如何实施控制。 毕竟，仅在有限的情况下使用MFA是不够的，这是有道理的;它应该是适用于所有关键和敏感数据、所有远程登录访问和管理员 帐户访问权限。因此，我们研究了组织对多个相关 涉及MFA的问题，以了解它们如何改变组织的可能性经验丰富的索赔事件(参见图2)。 单独来看，没有一个涉及MFA的问题具有强烈的信号，表明如果组织要在 隔离。例如，如果公司只需要MFA即可管理帐户，信号强度低于1，这意味着它对 网络攻击。 但是，当组织以广泛而稳健的方式实施MFA时—指示通过对所有三个MFA控制问题的“是”回答-它们的概率经历理赔事件比未实施理赔事件的组织低1.4倍 这些MFA控制。 这一结果说明了使用深度防御方法进行网络安全的重要性。在公司的攻击面上广泛实施MFA，可以更好地实现 提高网络安全态势，而不是随意实施MFA。 01|沼泽关键控制与最强的效果相关的来经历一个网络事件 马什键控制类别问题*信号强度 淬火技术我们的系统配置管理工具（如ActiveDirectory组策略）强制将配置设置重新部署到系统。5.58 特权访问管理组织通过端点权限管理（EPM）管理桌面/本地管理员权限。2.92 端点检测和响应 该组织运营以下信息技术（IT）和信息/网络安全工具和功能：高级端点安全1. 2.23 *问题是来自沼泽CSA。 日志记录和监控 该组织运营自己的安全运营中心（SOC）和/或拥有外包托管安全服务提供商（MSSP）至少以下功能: 2.19 )建立事件报警阈值b）针对未经授权的访问连接、设备和软件的安全事件和事件管理（SIEM）监控和警报 打补丁的系统 组织的目标时间范围，以修补您的常见漏洞评分系统（CVSS）v3高严重性7.0-8.9漏洞企业是：至少在发布后7个日历日内。 2.19 网络安全培训 该组织至少每年进行一次内部网络钓鱼活动。 1.76 端点检测和响应 该组织运营以下IT和信息/网络安全工具和功能：网络入侵检测/预防系统(idp)。 1.67 打补丁的系统 组织修补常见漏洞评分系统（CVSS）v3严重严重性为9.0-10.0漏洞的目标时间范围您的企业是：至少在发布后7个日历日内。 1.57 电子邮件过滤 组织实施以下恶意软件防护：在沙盒中评估电子邮件附件以确定是否恶意 1.56 之前交货。 日志记录和监控 除上述功能外，SOC/MSSP功能包括但不限于以下内容： 1.56 )24x7操作b)的签名和heuristic-based检测c）事件响应、遏制和补救功能d）主动威胁情报和分析，提供快速警报/通知和/或对策e)过程是不断改进的 1|网络安全最好的实践以来进化 检测和响应 网络的时间事件,管理 (MDR)和扩展 检测和响应(XDR)取代之前EDR工具等先进的端点 安全(AES) 02|广泛实施MFA积极影响网络安全状况 问题* 信号强度问题 我们需要多因素身份验证（包括智能身份验证卡、证书、一次性密码（OTP）令牌，或 1.25 生物识别技术）用于对公司的所有远程登录访问网络（例如，虚拟专用网络（VPN），远程桌面协议(RDP)和其他安全远程访问)。无论用户身在何处，我们都需要多因素 0.85 身份验证和加密频道管理账户的访问。除了上述功能外, 0.84 无论用户身在何处，我们都需要多因素身份验证访问我们的最关键的或敏感数据或系统。 组信号 强度 1.44 *问题是来自沼泽CSA。 实现利