2024年网络弹性的概念与网络范式演变白皮书

与牛津大学合作 打开网络弹性 2024年11月白皮书 GettyImages图片： Contents 前言3 执行摘要4 1为什么网络弹性很重要5 2打开网络弹性7 2.1网络弹性的演变7 2.2网络弹性的概念8 2.3网络弹性包括IT和OT11 2.4影响因素 3下一1步1：从前线分享网络弹性实践12 Appendix14 A1Methodology14 A2网络弹性的定义14 A3不同的网络弹性配置文件15 A4更广泛的全球环境 贡献者1168 尾注21 免责声明本文档由 世界经济论坛作为项目、洞察领域或互动的一部分。本报告中的发现、解释和结论是经世界经济论坛促进和认可的合作过程的结果，但其结果未必反映世界经济论坛的观点，也不一定代表其全体成员、合作伙伴或其他利益相关方的意见。 2024年世界经济论坛所有权利 ©保留所有权利。本出版物的任何部分不得以任何形式或通过任何形式复制或传输，包括复印和录音，或通过任何信息存储和检索系统。 打开包装网络弹性2 开箱网络弹性2024年11月 前言 SadieCreese 网络安全教授；牛津大学全球网络安全能力中心主任兼技术董事会主席 AkshayJoshi 世界经济论坛网络安全中心负责人 在面对网络安全风险时保持韧性是任何依赖数字技术和数据的组织的关键目标。这一目标在2024年几乎引起了所有企业领导者的关注。全球化供应链、技术栈的复杂性以及持续的数字化创新意愿导致了系统性网络安全风险的不断累积。 我们通过提升网络韧性来实现业务韧性。众多国际标准和框架是良好的网络安全实践示例，可以指导我们的投资。然而，在处理网络安全事件并做出最适合运营环境的决策时，需要采取实际措施。在劳动力在网络风险管理工作能力方面存在显著缺口的时代，迫切需要从一线学习经验教训，并系统化和分享这些经验以提高整体基线水平。 有效的网络弹性复杂且具有高度情境依赖性。我们在实现它以及所使用的控制措施方面的方法各不相同；面对不同类型的威胁时，有效的应对策略可能并不相同。例如，防御勒索软件与防御拒绝服务攻击的方法截然不同，而防止系统意外故障所需的解决方案也不同于防范出于破坏、盗窃或经济利益动机的恶意威胁行为者的攻击。 企业在面对攻击时应优先考虑业务或使命目标，以指导采取哪种应对策略。首先应该解决什么问题？哪些功能可以暂时关闭，而哪些必须保持运行即使服务有所降级？允许谁继续访问系统，谁必须被禁止进一步访问直到事件得到解决？企业的基础设施受到了多大的影响？ 这份白皮书剖析了网络韧性这一概念，它是理解有效行动的前提。组织需要从整体角度考虑其网络韧性水平，包括在网络事件发生时涉及的流程及其对有形和无形资产的影响，以及评估不同业务领域受到的影响，并确定应采取哪些流程以减少恐慌并促进在压力时刻做出快速决策。构建一个网络韧性的生态系统可能看似daunting，但向网络安全专家学习是打破障碍并朝着网络韧性社会采取有效行动的第一步。 执行摘要 网络弹性很重要。 网络安全风险是组织的最高优先事项之一，威胁持续增加，自2020年初以来，这一事实已在世界经济论坛的全球风险报告中得到强调。 挑战是动态的。随着连接性和新兴技术的颠覆推动数字景观和基础设施的演变，威胁landscape和组织面临的网络安全风险变得极其复杂。认识到个人和组织无法防止所有恶意攻击或网络安全故障，同时拥抱数字化带来的机遇，促成了网络安全弹性的兴起。 数字转型不断重塑和演化企业和政府。组织的主要目标和任务通常依赖于关键的数字技术驱动的企业流程，而这些流程很少有模拟替代方案。尽管不同组织的主要目标和任务会有所不同，但它们始终包括保护关键服务交付、相关方信心以及支撑市场价值和地位的核心资产。实现真正的网络韧性从根本上说是领导层的问题，并且对于保持股东价值至关重要。1 这篇论文是由世界经济论坛、牛津大学全球网络安全能力中心以及一组来自行业网络安全领导者的合作成果。这些领导者共同探讨了网络安全韧性，并提供了更广泛的战略定义，该定义考虑了对企业主要目标和目标至关重要的多种风险情景 。这些风险包括供应链中断、信任和声誉攻击以及数据泄露导致的法律责任。2 组织必须为重大网络安全事件做好准备。持续投资于网络安全恢复能力使组织能够在面对网络攻击和其他网络安全事件时保持其主要目标和目标不变，确保其增长潜力不受损害。这包括确保运营能够恢复、内部和外部相关方的影响得到缓解 、财务和交易表现得以恢复、有形和无形资产得到保护以及新的增长机会得以释放。 组织需要制定灵活的战略，并利用同行在实际经验中分享的见解来应对网络环境的复杂性。主动合作和持续学习将在提升网络安全韧性方面发挥关键作用。 网络弹性是一个组织的能力将重大网络事件对其主要目标的影响降至最低。 1 为什么网络弹性很重要 在数字时代thriving，组织必须将网络安全韧性视为战略领导议题，从而保护核心业务目标并促进长期增长。 投资提升网络安全韧性可以减少网络事件的经济成本，并有助于提高组织的声誉。 在线连接的规模、范围和重要性是数字时代的标志性特征之一。接近70%的世界人口可以访问互联网和在线服务。3并且数字技术与过程已在全球政府、企业和社会的日常生活中以及工作中占据核心地位。 注重基础安全控制以优先考虑信息安全和保障，并逐步增强网络安全韧性。在当今快速变化的技术和威胁环境中，组织需要假设重大网络事件将会发生。这些网络事件不仅有可能导致计算机或设备的瘫痪，还可能扰乱整个组织并严重影响社会。因此，确保业务有效运行并在面对中断时具备韧性，必须包括实现网络安全韧性。 网络安全韧性至关重要，正如本白皮书所述，实现真正的网络安全韧性从根本上来说是一个领导力问题。 数字系统和服务对经济和社会的中心地位意味着 ，如果这些系统受到攻击，组织和个人可能会遭受重大损害或损失。构成重大网络事件的标准因组织而异，但通常是指可能严重影响其运营、财务状况或声誉的事件。 具备网络安全韧性使组织能够在重大网络事件发生时最大限度地减少对主要目标和目标的影响，从而保持关键服务的运行、保护相关方的信心并保护战略价值。 完整性受损——信息的准确性和是否由于破坏活动或事故导致的信息泄露，可能会对整个业务生态系统和供应链产生影响。侵犯保密性——缺乏对信息访问和披露的限制——会危及个人隐私并损害知识产权保护以及政府的国家安全保障。服务不稳定性和不可用性——授权方无法可靠地访问和使用信息——可能导致收入减少，在关键环境中甚至会导致重要功能失效。更严重的是，此类频繁故障可能会侵蚀社会对数字化转型作用的信心。 从这些角度思考网络安全韧性凸显出这不仅仅关乎恢复常规业务运营。组织的主要目标和目标可能包括提供关键服务、维持市场份额、增加股东价值、增强品牌信心等；换句话说，这一切都是为了维持组织的健康状态。 然而，网络安全韧性不仅仅是一种防护控制。具备网络安全韧性的数字化转型有望推动企业的创业创新、提高生产效率和促进经济增长。为了安全且可持续地抓住数字化机遇，组织必须将网络安全韧性视为核心战略问题，而不仅仅是信息技术方面的问题。 由于这些原因，政府和企业越来越意识到维持和保障数字系统安全、限制网络安全事件对其主要目标和目标影响的必要性，无论这些事件是由技术故障、事故、非计划停机或自然灾害引起的。 随着社会技术的进步以及对网络空间和支撑其运行的数字技术依赖性的增加，对网络安全实践的理解已经演变。 投资提高网络安全韧性可以减少网络事件（例如数据泄露和知识产权损失）的经济成本，同时有助于提升组织声誉（例如满足客户要求和打造安全产品品牌）。4此外，据一些估计，更具韧性公司的股东回报率大约比其较不具韧性的同行高出50%。5 未能建立网络弹性可能会扰乱业务运营，甚至导 致组织的 一个具备网络安全意识的董事会更能未雨绸缪，处理突发事件 ，最小化损失，并监督形成组织的网络安全韧性文化。 崩溃。6中小企业（SMEs）受到的影响可能尤为严重，有估算显示，在遭受网络攻击后，约有60%的中小企业将在六个月内关闭。7 领导力在推动组织整体的网络安全韧性方面发挥着至关重要的作用。这不仅仅依赖于一支有能力的网络安全团队，更需要一种文化，在这种文化中，网络安全韧性被置于高层决策的核心位置。有效的领导者会积极介入网络安全策略，认识到网络安全是一项与法律和财务问题同样重要的核心业务职能，并且管理运营风险必然需要包含网络安全风险的管理。一个网络安全意识强的董事会能够更好地应对突发事件，最大限度地减少损失，并监督形成组织范围内的网络安全韧性文化 。 来自世界各地的董事会组织，包括美国国家公司董事协会、欧洲董事协会会议、日本工商会以及其他组织近期发布了指导意见，倡导一种更加全面的网络安全视角，促进对这一问题更具韧性理解。8 此外，世界经济论坛、麻省理工学院（MIT）和普华永道（PwC）进行的独立研究已经记录了这种更广泛的董事会有效网络安全实践的定义所导致的重大安全成果，包括更好的网络风险管理以及网络问题与业务结果之间的更紧密对齐，从而促进安全文化的形成，并有可能将网络事件减少多达85%。9,10 通过构建和体现网络韧性思维，推广主动应对策略，关注新兴威胁并理解网络风险对整个业务的广泛影响，高层管理人员可以确保其组织保持韧性并充分准备好应对潜在挑战。 网络安全韧性这一概念看似理所当然，但实际上并未得到应有的优先级。企业和政府在面对网络安全事件时，难以将影响降至最低并继续提供服务。韧性至关重要，但许多组织在准备方面仍存在不足。这凸显了全面解析网络安全韧性概念、共同理解其重要性的必要性。 2 打开网络弹性 网络安全韧性是指组织降低重大网络事件对其主要目标和目标影响的能力。 在当今数字landscape中，了解网络韧性及其范围对于希望保护其运营和声誉的企业来说至关重要 。网络韧性被定义为组织在发生重大网络事件时将其主要目标影响降至最低的能力。 并且考虑他们在许多方面的脆弱性，并探索如何限制潜在影响——无论是源于他们自身使用信息和运营技术，还是供应链或其他生态系统中其他方使用数字技术所产生的影响。 2.1网络弹性的演变 网络安全涵盖广泛的实践领域，从数据、信息和网络保护，到检测和减轻网络攻击，还包括与风险管理、政策和立法发展相关的较少技术性概念 。如今，网络安全被认为是数字化经济发展的基础。11,12,13 尽管自2010年代以来，网络弹性已经被更加成熟的专业人士和更为受监管的行业所实践，这一概念却直到最近才成为主流。由于破坏性攻击和数据泄露对受害组织核心运营造成的不断增加的损害，以及对其声誉和财务表现的重大伤害，网络弹性逐渐引起了经济各个领域董事会的重视。这种认识促使关注点从网络安全转向更广泛的网络弹性概念，并正在改变领先企业的前线实践。 打开包装网络弹性7 聚焦从网络安全转向更广泛的网络韧性概念正在改变领先组织的一线实践。 伴随着数字化革命，网络安全已经演变为一个多方面的领域，并成为各个学科的关注点。特别是在过去的15年里，由于网络事件数量的增加，网络安全问题频繁出现在报纸头版、在线文章和社交媒体上。当然，这种威胁的存在时间远早于此 ，最早的计算机蠕虫实验性开发可以追溯到1971年。14 描述从数据安全到网络安全弹性的发展历程，有助于揭示数字时代所面临的威胁和挑战如何演变 ，并凸显了网络安全实践是如何被塑造以保护社会免受这些威胁的影响。 图1从信息安全到网络弹性的演变 1960s 计算机和 数据安全时代 first计算机网络阿帕网 投入使用，标记 的出现信息概念 和网络安全和 中央情报局(确认fi- 完整性-可用性)三合会。 1990s Theinformation安全时代 Web打开到 公众在1991年和进入一般用途 1993年。这个快速扩展 连通性加强的重要性信息安全。 2000s Theinformation保证时代 网络成为 与商业生活密不可分。采取步骤 保护信息系统，如 计算机与网络系统。