1、安全成果報告 第 3 卷 目錄前言.3引言.4主要研究結果.5什么是安全彈性？.8為何安全彈性至關重要？.9安全彈性意味著什么？.12安全彈性現狀.16有助于提高彈性的 7 大成功因素.201.確立高管支持 .212.營造安全文化 .233.儲備資源.254.簡化混合云環境.265.最大限度地提高零信任采用率.296.擴展檢測和響應能力 .327.將安全擴展至邊緣.34網絡安全（彈性）框架.36結論.39關于 Cisco Secure .39附錄 A：受訪者群體統計數據.40附錄 B：安全彈性成果.432安全成果報告第 3 卷打造安全彈性前言 提到彈性一詞，您會想到什么？我確信，您一定會想到某

2、人或某事曾遭受（借用莎士比亞的話）“命運暴虐的毒箭”，但他們堅韌不拔、無所畏懼，變得越來越強大。這個定義完全可以接受，這種精神也值得稱贊。但是，涉及到保護大大小小的公司的安全時，僅僅具備彈性，能在業務中斷后恢復正常，這可能還做得不夠好。畢竟，勒索軟件或知識產權盜竊等網絡安全漏洞一旦得手，便會對公司及其員工、合作伙伴甚至客戶造成不可估量的損失。根據2021 年安全成果報告，41%的受訪公司表示在過去兩年內曾遭遇過重大安全事件或損失，可見這一問題廣泛存在。根據思科的定義，安全彈性是指能夠保護企業各方面的完整性，讓企業不僅能免遭攻擊，更能抵御不可預測的威脅或變化，不斷增強安全水平。安全成果報告第 3

3、 卷（即本報告）指出受訪高管幾乎一致認為，打造安全彈性對其業務至關重要。這絲毫不足為奇，因為如今越來越多的企業高度互聯，價值鏈中任何一方出現漏洞，都會對其他方產生巨大的連鎖反應。沒有哪位高管希望被指責做得不到位。歡迎查閱本報告。希望本報告對您制定戰略和解決方案有所幫助，能助您實現安全彈性指標，獲得有效抵御威脅、靈活適應變化、從容應對未知事物的超強彈性。安全行業當然不乏各種時髦術語。但是，我覺得“彈性”一詞絕非曇花一現，也許不像莎士比亞的偉大戲劇哈姆雷特那般長盛不衰，但也將成為一個長期主題。Shailaja ShankarCisco Secure 高級副總裁兼總經理來源：思科2021 年安全成果

4、報告：終端版3安全成果報告第 3 卷打造安全彈性引言保障安全絕非易事。但是，過去幾年間，在保護企業免受網絡事件影響方面，難度確實有所加大。如今，安全防御人員不僅要考慮日益增加的威脅和不斷擴大的受攻擊面，還要考慮更大層面的風險，例如戰爭、氣候變化、金融動蕩，當然還有全球疫情。在這種動蕩不安的環境中，“彈性”這一概念已成為大多數企業工作的重中之重。公司如何迅速適應這些快速發生的顛覆性變化，不斷增強安全水平？在安全成果報告第 3 卷中，我們將安全彈性分解為易于理解、切實可行的洞察。（我們認為您已然分身不暇，沒有必要再孤軍奮戰去自行破解彈性的奧秘。）沒有任何一份報告可以涵蓋如此龐大的主題。我們列出了一

5、些要點供您參考，以便您制定和完善網絡安全戰略，為未來做好準備。根據從 26 個國家/地區 4,700 多名安全專業人員收集的數據，我們發現了有助提高網絡彈性的 7 大成功因素。本報告還分析了安全彈性的確切含義、重要性以及企業心目中的彈性成果優先級。希望這些數據能為您所用，讓您更加信心十足，助力您的組織從容應對未來挑戰，實現蓬勃發展?；L險為機遇，開啟安全彈性之旅。這一旅程有時會充滿艱辛，我們可隨時助您一臂之力。4安全成果報告第 3 卷打造安全彈性主要研究結果安全彈性是高管的頭等大事；的高管認為安全彈性對業務至關重要。近三分之二 的組織表示曾經歷過危及業務運營的重大安全事件。調查簡介抽樣方法思科

6、與專業調查研究公司簽訂了合同，在 2022 年的年中開展了采用分層匿名隨機抽樣技術的完全匿名調查。調查對象來自 26 個國家/地區的 4,751 名在職信息安全和隱私保護專業人員參與了調查。抽樣調查對象特征統計數據詳見附錄。數據分析Cyentia Institute 代表思科對調查數據進行了獨立分析，并生成本報告中呈現的所有結果。針對如何提升整體安全彈性，排在前兩位的優先事項分別為預防安全事件和減輕損失。在安全彈性優先事項排名中，留住安全人才位居最后，但對各類組織而言也是最具挑戰性的事項。最高優先級最低優先級 96%架構至關重要。實施成熟零信任、XDR 和 SASE 的組織都擁有更高的彈性得分

7、。安全文化至關重要。營造安全文化的組織，其彈性提高了 46%。我們確定了有助于提高彈性的 7 大成功因素。如果能夠實現這些因素，則可將整體安全彈性從后 10%提升至前 10%。5安全成果報告第 3 卷打造安全彈性6安全成果報告第 3 卷打造安全彈性“安全成果報告思路縝密，給我留下了深刻印象。該報告基于翔實的數據提供相關指導，說明如何充分利用資源，以最大限度地發揮安全計劃的影響?！盩heresa Payton，Fortalice 首席執行官、前白宮首席信息官無論您是否認為“彈性”是一個時髦術語，不可否認的是，網絡安全領域內外許多人腦海中都縈繞著這個詞，甚至將其掛在嘴邊。這個詞究竟是什么意思？思科

8、對這個主題當然有自己的見解，但既然這是一項對 4,700 多名安全從業人員的調查，還是聽聽他們的想法吧。什么是安全彈性？被問及其組織如何看待安全（或網絡）彈性時，受訪者給出的答案五花八門。然而，我們確實發現他們提到了一些共性主題。在受訪者心目中，諸如“承受”、“恢復”、“預期”、“適應”和“不利”等詞語都是安全彈性概念的核心。如果這聽起來莫名熟悉，很可能是因為這些詞語與 NIST 對網絡彈性的定義幾乎一字不差。這沒有任何問題；在此類調查中，沒有作弊之說。但這確實表明，彈性的含義非常模糊，許多安全專業人員都得查找答案。在接下來的各部分中，我們將努力澄清這一概念。網絡彈性：對于使用網絡資源或由網絡

9、資源提供支持的系統，預測其遭遇不利條件、壓力、攻擊或危害的風險并進行防御、使之實現恢復和適應的能力。來源：NIST SP 800-1727安全成果報告第 3 卷打造安全彈性有些人在看到這個標題時可能會嗤之以鼻，心想“我認為它沒那么重要?！边@種想法也合情合理。我們不是夸夸其談，因此會在一開始就擺出證據。我們向受訪者詢問了其組織高管對安全彈性的關注程度和重視程度。答案中傳達的信息非常清楚。96%的高管認為安全彈性非常重要。我們認為這擔得上“至關重要”的名號。高管們之所以高度重視安全彈性，可能是因為他們大多數人都非常了解安全事件會帶來的風險。近三分之二的受訪者表示曾經歷過危及業務運營的重大安全事件。

10、此外，調查結果顯示，大多數此類事件都發生在過去兩年內。我們由此推斷，安全彈性不僅是思想領導者或高管認為的重要問題，也是對全球大多數組織都至關重要的概念。為何安全彈性至關重要？圖 1：高管對安全彈性的關注程度和重視程度如何？圖 2：您的組織是否曾經歷過影響彈性的安全事件？8安全成果報告第 3 卷打造安全彈性我們還邀請受訪者詳述所經歷的影響彈性的事件類型。如圖 3 所示，在聲稱曾經歷過安全事件的受訪者中，一半以上提到“網絡/數據泄露”和“網絡/系統中斷”?！袄账鬈浖焙汀胺植际骄芙^服務(DDoS)攻擊”緊隨其后，各影響約 46%的組織。幾乎可以肯定，上述某些類型的事件源于員工成為攻擊載體（例如，點

11、擊網絡釣魚郵件），但仍有約 38%的組織表示安全事件是“內部人員公然惡意濫用”所致。受訪者還提到了物理破壞和蓄意破壞行為，但比例遠低于其他事件類型。圖 3：影響彈性的安全事件類型 9安全成果報告第 3 卷打造安全彈性受訪者還針對上述事件對組織的影響發表了自己的看法（見圖 4）。超過 60%的受訪者提到了“IT 和通信中斷”以及 ICT 在安全彈性方面發揮的重要作用。至于業務層面的影響，“供應鏈中斷”排在第二位。我們最近也經歷過這種痛苦，受訪組織深有同感，這絲毫不足為奇。對供應鏈運營的影響會波及受害組織之外的實體，但“內部運營受損”（約 41%的公司如是表示）會對內部造成嚴重破壞。對許多高管而言

12、，“品牌形象受損”是令其“夜不能寐”的首要問題。大約 40%的受訪者表示安全事件會導致品牌形象受損?！皢适Ц偁巸瀯荨笔橇硪粋€令人擔憂的問題，在彈性影響中排名前五。圖 4：安全事件造成的彈性影響類型 為避免此類事件并提高安全彈性，組織可以采取哪些措施？我們試圖在本報告中回答這一主要問題。首先，很明顯，除了其他各種措施之外，組織采取的第一項措施就是投入資金。高達 96%的受訪者表示，其組織在最近經歷重大事件后增加了在安全方面的投資。我們都知道，砸錢不一定能解決問題。但我們亦知道，天下沒有免費的午餐。重要的是弄清楚，哪些投資會帶來回報，哪些不會。稍后我們會分享自己的經驗。在此之前，我們先來探討一下安

13、全彈性的主要目標。10安全成果報告第 3 卷打造安全彈性11安全成果報告第 3 卷打造安全彈性“畢竟，安全之中會蘊藏風險。我們無法隨時隨地確保一切萬無一失，否則業務無法完成。但是，有了安全彈性，便能夠將安全資源集中在能為組織創造最大價值的業務領域，并確保這些價值得到妥善保護?！盚elen Patton，思科安全業務事業部首席信息安全官 上一部分介紹了安全彈性對于高管而言至關重要，但安全彈性究竟意味著什么？哪些特征或成就表明組織具有彈性？在準備本次調查的過程中，我們詢問了部分安全主管一些問題，了解他們在安全彈性方面的目標和目的。然后，我們查看了他們的回答，并將其歸納為 9 項主要安全彈性成果。在

14、本次全球調查中，我們詢問受訪者其組織認為這 9 項關鍵彈性成果中哪些最重要（至多可以選擇 3 項）。他們的回答如圖 5 所示。鑒于人們普遍認為彈性屬于“戰后清理”概念，但大多數受訪者卻認為預防安全事件最重要，這一結果有些出乎意料。排在第一位的“預防安全事件”與緊隨其后的“減輕財務損失”這兩項安全成果，都針對的是傳統的風險定義，即概率和影響?！皯獙ν话l事件”排名第三，這呼應了之前分享的開放作答中介紹的主題。我們不禁想知道，這一選項之所以排名比較靠前，是否與最近在新冠疫情中的經歷有關。我們暫不對所有 9 項成果發表評論，而是直接跳到最后一項成果。只有 3.8%的受訪者認為“招募和留住安全人才”是安

15、全彈性的主要方面。也許受訪者認為留住人才是人力資源部的職責或長期目標，對于影響彈性的事件不太重要。但是，數量充足且訓練有素的安全人員是彈性組織的關鍵成功因素，我們稍后將詳細說明。安全彈性意味著什么？圖 5：受訪者選擇的最重要的安全彈性成果12安全成果報告第 3 卷打造安全彈性如您所想，經歷會影響人們對安全彈性的看法?；叵胍幌挛覀冎暗谋硎?，62%的受訪者曾經歷過影響彈性的安全事件。根據圖 6，這些事件可能引發對優先事項的重新排序。13安全成果報告第 3 卷打造安全彈性圖 6：先前未經歷安全事件與已經歷安全事件的組織根據自己認為的重要程度對安全彈性成果的排名。在未經歷重大安全事件的組織中，“減輕

16、損失”排名第四；而對于經歷過安全事件的組織，這一優先事項排名第一?！斑m應變化”和“緊跟業務發展步伐”排名都有所提升?！邦A防安全事件”和“成熟能力”則排名有所下降。您可能還想知道，對安全彈性的看法是否因受訪者和公司統計學特征而異。數據再次證實了這一點。我們以受訪者的職責為篩選條件，將首席信息安全官和安全主管與擔任技術角色的安全專業人員進行了比較。意見分歧從一開始就出現了。安全主管優先考慮“減輕財務損失”，“遏制安全事件的蔓延和范圍”，以及“不妨礙業務發展”。而技術和運營安全受訪者則分別將上述三個方面排在第 2、5 和 6 位，他們認為“防范重大事件”最重要。這并沒有是非對錯之分；不同職責自然會關

17、注安全彈性的不同方面。但是，確定共同的優先事項，清楚劃分職責，確保所有人團隊合作以實現更好的成果，這不失為明智之舉。14安全成果報告第 3 卷打造安全彈性圖 7：不同工作角色根據自己認為的重要程度對安全彈性成果的排名 15安全成果報告第 3 卷打造安全彈性“我們曾試圖打造性能可達到 99.999%的系統，但已放棄這一想法。涉及到安全彈性時，我們更傾向于打造能夠承受故障的系統，即如果系統出現故障，面臨技術問題，依然能繼續運行?！盌ave Lewis，Cisco Secure 首席信息安全官顧問 “如果組織當下發生（或可能發生）最糟糕的網絡事件，您對組織的彈性狀況信心如何？”我們向受訪者詢問了這一

18、問題。略多于三分之一的受訪者表示非常有信心，其余三分之二的受訪者對組織的表現表示一定程度的懷疑。之所以詢問這樣一個主觀的問題，主要是想了解一下大家對安全彈性現狀的真實看法。然而，如果我們想要實現目標，勢必需要更具體、更謹慎。我們已經收到受訪者對一系列預期安全彈性成果的意見，接下來我們來了解一下組織在實現這些成果方面的現狀。我們請受訪者使用四分制（不及格|勉強及格|表現良好|表現出色）對組織在每個目標的表現進行評分。為了幫助受訪者更客觀地評分，我們對每項成果進行了描述，并舉例說明了不及格和/或表現出色的特征。相關描述和示例詳見附錄 B。如需了解詳細信息或有興趣加以調整以用于自己的組織，歡迎查閱。

19、安全彈性現狀 圖 8：受訪者對于自身組織能否抵御最糟糕網絡事件的信心 16安全成果報告第 3 卷打造安全彈性總體而言，大多數受訪者針對組織的表現給出“表現良好”的評分。但是，不要認為這意味著安全彈性進展順利。如圖 9 所示，幾乎一半的受訪者表示，在 9 項安全彈性成果中，自己的組織至少有 1 項難以實現或完全無法實現。超過四分之一的受訪者表示組織至少有 2 項成果難以實現，10%的受訪者表示至少有 4 項成果給組織造成麻煩。我們由此推斷，許多組織在安全彈性的關鍵領域表現不佳。圖 9：在實現安全彈性成果方面存在困難的組織比例 17安全成果報告第 3 卷打造安全彈性如前所述，受訪者對于這些安全彈性

20、成果的相對重要性持有不同的看法，因此不同類型的組織表現也不盡相同，這并不足為奇。比如，如圖 10 所示，我們比較了不同規模的組織在實現各項成果方面存在困難的情況。各種規模的公司一致認為“招募和留住安全人員”是最大的挑戰，但共識也僅限于此。我們發現這種觀點特別有趣，因為這讓人感覺困難領域會隨著組織的發展而變化。例如，根據調查結果，對于規模較小的公司而言，“減輕財務損失”的難度最小。（可能是因為比起賠錢，此類組織更擔心倒閉？）但是，對于擁有 1,000 至 9,999 名員工的組織，“減輕財務損失”這項成果在實現難度方面卻連續躋身前三名。對于特大型企業而言，“減輕財務損失”的難度也跌至最后一名。（

21、也許是因為此類企業從高收入中獲得了額外的財務保障？）另一方面，有些事情似乎不會隨著企業發展而改變。如上所述，與其他成果相比，各種規模的組織在招募和留住安全人才方面似乎都面臨更大的困難。這頗具諷刺意味，因為他們也一致認為該成果對安全彈性而言優先級最低。也許這是一種自我應驗的預言？也可能只是直白的實用主義。（“當然，留住優秀人才很難，但我更關心的是如何避免重大安全事件和損失?！保﹫D 10：最具挑戰性的安全彈性成果（按組織規模排列）18安全成果報告第 3 卷打造安全彈性衡量整體安全彈性得分除了評估各組織在單項成果方面的表現之外，我們還希望給出一個總分，反映組織在所有 9 項成果中的表現，進而衡量其整

22、體安全彈性。我們將這個分數稱為“安全彈性得分”，本報告中會多次出現這一稱呼。我們使用了一種名為“項目反應理論”的統計技術來計算此得分。（在上一卷中，安全成果得分亦是采用這種方法。）憑借此技術，我們能夠根據組織在實現所有成果時的表現為其評分，同時考慮獲得不同成果的難度不一這個事實。這種經過驗證的技術也用于給出我們熟悉的標準化測試分數。得分的絕對值沒有特別含義，但確實為比較各種安全計劃提供了一個可靠的參考點。安全彈性得分的分布情況如圖 11 所示，平均值正好為 500 分。除了評估各參與組織在單項成果方面的表現外，我們還希望全面衡量其安全彈性。因此，我們根據各組織在所有 9 項成果中的成績，得出其

23、安全彈性分數。如需了解具體評分細則，請查看下文圖注。簡而言之，分數越高，在更多安全彈性成果方面的表現越好。在下一部分，我們將廣泛使用此得分衡量各種成功因素對于提高安全彈性的成效。圖 11：各參與組織安全彈性得分的分布情況19安全成果報告第 3 卷打造安全彈性接下來是大家期待已久的部分。根據 4,700 多家組織在 9 項成果方面的整體安全彈性得分，我們來探討一下如何提高安全彈性。為此，我們分析了一系列潛在的組織、IT 和安全因素，測試它們與提升安全彈性之間的關聯。通過這一過程，我們基于數據確定了 7 大安全彈性成功因素。這些因素造成多大影響？很高興您有此一問。表現出這些因素的組織得分在本報告各

24、參與組織的所有安全彈性得分中排名前 10%。相比之下，未表現出大部分因素的組織則排名后 10%。所有組織都不希望是這一結果。有助于提高彈性的 7 大成功因素圖 12：遵守 7 大成功因素的要求對整體安全彈性得分的影響 那么，這 7 項能夠增強安全彈性的幸運因素究竟是什么？組織如何能夠從中受益？請注意，真的沒有運氣可言！正如 Denzel Washington 曾經所言：“好運就是當機會來臨時，你早已做好了準備?！北竟澠溆嗖糠钟兄谀鸀橛雍眠\做好準備。20安全成果報告第 3 卷打造安全彈性1.確立高管支持 圖 13：高管支持對安全彈性的影響誠然，這個因素在網絡安全領域相當老套，但其影響不容小覷

25、。對于高管支持不力的組織，其安全彈性得分比獲得高管得力支持的組織低 39%。當然，真正的難題在于如何獲得高管支持。數據表明，與企業核心使命緊密契合的安全計劃可以獲得更有力的高管支持以及更高的啟動彈性（總體得分提高 32%）。因此，要想與企業高管有效溝通，需對業務如何運作以及安全計劃如何更好地發揮作用有充分的了解。畢竟，在任何關系中，支持都是雙向的。既然談到關系這一主題，就不得不提到分析中的另一觀察結果。我們向受訪者詢問了安全彈性職責在其組織結構圖中的位置。在大多數情況下，上下級關系似乎不會造成太大區別。但我們確實注意到，與其他高管（例如首席信息官、首席運營官、首席技術官、首席財務官）密切參與的

26、組織相比，首席執行官、首席風險官和首席信息安全官密切參與的組織安全彈性得分明顯更高。21安全成果報告第 3 卷打造安全彈性22安全成果報告第 3 卷打造安全彈性“首席信息安全官必須加強與高管團隊的關系。如果組織能夠進行業務調整并獲得高管對預算和員工的支持，則有望提高其安全彈性。良好的關系會促成優秀的安全計劃，進而帶來更好的關系?！盬olfgang Goerlich，思科首席信息安全官顧問 2.營造安全文化 希望提高安全彈性的領導者可能會采取自上而下的方式，提供高管支持，但他們不應該止步于此。他們應該努力在整個組織中培養安全文化，因為數據顯示，如果能夠做到這一點，則組織的彈性得分比安全文化較差的

27、組織高出 46%。46%安全文化較差的組織與安全文化優秀的組織之間的平均彈性得分差異但是，知易行難。怎樣才算強大的安全文化？本報告如何評估安全文化？這些問題都值得一問。我們為受訪者提供了以下指導，幫助他們評估組織安全文化的影響并給予評分：在強大的安全文化中，員工被視為能助力解決問題，而不是問題所在。安全人員了解自己在組織中的作用，非安全人員也知道自己可以發揮作用，比如定期報告所發現的網絡釣魚企圖、潛在惡意軟件和其他事件。在員工滿意度調查或離職會談中，安全不是影響員工滿意度或導致其離職的負面因素。相反，如果頻繁出現安全策略違規和變通辦法，則表明安全文化不佳。以上并不是對強大安全文化的詳盡描述，因

28、為每個組織的安全文化都不盡相同。但這至少在一定程度上反映了受訪者在評價其組織安全文化影響時的想法，希望這對您在衡量自己組織的安全文化時有所啟發。以上描述的字里行間可能會令您覺得，必須與組織其他部門明確溝通安全計劃的政策和理由。與安全計劃無法闡明具體內容以及原因的組織相比，在這方面獲得高分的組織在安全彈性方面的得分高出 27%。每個人都各自為營時，很難建立強大的文化。23安全成果報告第 3 卷打造安全彈性24安全成果報告第 3 卷打造安全彈性“安全意識這一主題正逐漸消失，取而代之的是對安全文化的重視，這會令整個組織脫胎換骨，確保每位員工都成為安全大家庭的一員。許多首席信息安全官現在將簡單的培訓視

29、為常規的合規性工作，而將溝通和改變組織的價值觀視為核心目標?！盧ichard Archdeacon，思科首席信息安全官顧問3.儲備資源 如前所述，招募和留住優秀的安全人才被廣泛認為是最不重要的安全彈性成果，但也是最具挑戰性的成果。前幾卷安全成果報告指出了與網絡安全計劃人員支柱相關的幾項可衡量益處，本報告也不例外。令人驚訝的是，在控制組織員工總數的情況下，我們未發現安全人員的總體規模與安全彈性水平之間存在強相關性。然而，配備額外內部員工和資源以便更好地應對突發網絡事件，似乎確實能起到作用。與沒有“靈活”資源以備不時之需的組織相比，能夠做到這一點的組織的安全彈性得分平均高出 15%。在難以招募和留

30、住基本安全人員的情況下，組織究竟如何維持額外的內部資源？遺憾的是，我們在此次調查中沒有詢問這些細節，但在未來研究中肯定會涉及這方面。如果組織無法維持額外的內部員工來處理突發事件，也不會因此而失去一切。我們的分析還表明，保留外部事件響應(IR)服務的公司，其安全彈性平均提高 11%。不妨考慮與可靠的 IR 服務提供商簽訂預聘合同，只需一個電話即可獲得幫助。您可能會想，如果額外的內部資源或外部 IR 服務都能提供好處，將二者結合是否會帶來更好的結果。事實似乎確實如此。如果組織同時擁有應對重大網絡事件的內部和外部資源，其安全彈性得分比單獨擁有一種資源的組織高出 13%。15%配備與未配備額外內部員工

31、以響應事件的組織之間的平均彈性得分差異11%采用與未采用外部事件響應服務的組織之間的平均彈性得分差異25安全成果報告第 3 卷打造安全彈性4.簡化混合云環境云架構和遷移一直是 IT 和安全團隊關注的重要話題。許多企業已經從基礎設施到軟件全面采用云，而有些企業仍然堅守其本地環境。但是，哪一種策略更有利于提高安全彈性？您是否相信答案是需結合使用這兩種策略？我們詢問受訪者其 IT 基礎設施通常是托管在本地還是云中（或采用不同程度的混合模式）。然后，我們將這些答案與各組織的安全彈性得分進行關聯分析。以云為主的組織平均得分為 526，而以本地為主的組織平均得分為 525。換言之，我們認為以本地部署為主的

32、環境與以云為主的環境之間，安全彈性成果沒有差異。不過，我們發現，處于從本地環境向云環境遷移階段的組織在安全彈性方面確實表現相對較弱。處于早期混合模式的組織，其安全彈性得分比主要采用本地部署的組織平均低 14%。用土撥鼠之日中 Ned Ryerson 的話說就是：“小心上云第一步，很麻煩！”然而，有證據表明，我們有可能讓上云第一步不那么困難。根據另一個問題的答案，認為其混合環境更易于管理且安全可靠的組織似乎可以緩解云遷移早期階段對彈性造成的負面影響。他們的彈性得分僅下降了 8.5%，而不是 14%。此外，隨著云采用水平的提高，簡化混合環境管理的優勢也在增多。如果擁有更廣泛混合環境的組織能夠簡化管

33、理，從統計學意義而言，其安全彈性得分與本地（或純云）環境基準相當。否則，隨著組織陷入難以管理的混合狀態，這些彈性優勢就會消失?？傮w而言，難以管理的早期混合云環境與易于管理的高級云部署之間的彈性得分相差 15%。15%混合云環境易于管理與難以管理的組織之間的平均彈性得分差異 26安全成果報告第 3 卷打造安全彈性我們由此推斷，保持簡單和順暢是遷移到云的關鍵成功因素。由于混合云部署是這一旅程的必經之路，因此確保擁有合適的工具和服務來管理這些復雜的環境，將有助于組織在整個旅程中保持安全和彈性。值得注意的是，此處描述的一般模式適用于各種規模的組織。不管組織規模大小，純云環境與純本地環境之間的安全彈性沒

34、有太大差異。但是，無論是中小企業還是大型企業，在提高混合云基礎設施的彈性方面都面臨困難。我們注意到一個區別，即大型組織認為其環境復雜且難以管理的可能性是中小企業的三倍，這意味著如果管理不當，遷移到云可能會對安全彈性造成更大的影響。27安全成果報告第 3 卷打造安全彈性圖 14：云采用和易管理性對安全彈性的影響 28安全成果報告第 3 卷打造安全彈性“挑戰在于，大多數情況下，安全從業人員無法左右組織從本地遷移到云的速度。如果無法改變技術，那么您唯一可以利用的其他杠桿就是人員和流程?！盚elen Patton，思科安全業務事業部首席信息安全官 5.最大限度地提高零信任采用率在當今商業環境中，工作可

35、隨時隨地進行，這意味著必須提供無處不在的安全，才能充分保護企業安全。傳統安全方法信任企業網絡內部的一切（設備、用戶、基礎設施等），無法提供這種級別的保護。因此，杜絕盲目信任的方法應運而生。零信任模式可以利用自定義安全策略保護所有應用，對每次訪問嘗試進行身份驗證和持續監控，從而在用戶和設備中建立信任。這帶來一個顯而易見的問題，即是否有證據表明零信任模式可以提高安全彈性。對于這個問題，我們非常高興地表示答案是肯定的。與尚未開始零信任之旅的組織相比，實施成熟零信任的組織，其安全彈性得分提高了 30%！此外，在我們之前討論的 9 項安全彈性成果中，其中 8 項可通過零信任顯著提高成功率。實施成熟零信任

36、，不能一蹴而就；彈性優勢也很難在一朝一夕之間全部獲得。這需要一個過程。本報告囿于篇幅，無法繪制該旅程的詳細路線圖，但我們確實可以提供大量資源，為那些有興趣實施零信任的組織提供幫助。我們將重點介紹一些關鍵步驟，展示逐步采用零信任模式的優勢。對許多組織而言，零信任之旅的第一步是通過多因素身份驗證(MFA)驗證用戶和設備。根據受訪者的回答，部署 MFA 可將安全彈性得分提高 11%。30%未實施零信任與已完善地實施零信任的組織之間的平均彈性得分差異 29安全成果報告第 3 卷打造安全彈性許多繼續零信任之旅的組織還會對用戶和設備進行持續驗證，對工作負載進行微分段。數據顯示，這些組織的安全彈性得分提升了

37、 6%。切勿忽視這些提升，請記住隨著基本分數的提高，大比例提升的難度會越來越大。我們來了解一下零信任之旅中的另一個里程碑，這個里程碑已接近終點。在這一里程碑階段，組織通過自適應策略、廣泛監控以及協調用戶工作流程，加強了 MFA、持續驗證和微分段。這就引出我們所謂的“成熟”零信任實施，可將上述安全彈性得分提高 30%。圖 15：零信任實施里程碑對安全彈性的影響 30安全成果報告第 3 卷打造安全彈性31安全成果報告第 3 卷打造安全彈性“歸根結底，零信任是一種適用于任何技術的理念。光有技術遠遠不夠，為達到所選擇的目標，各組織在這一旅程中會采取不同的路線。找到實施其核心原則的正確技術，才能最終獲得

38、零信任安全的全部優勢，從而提高企業的彈性?！盬endy Nather，思科首席信息安全官顧問主管 6.擴展檢測和響應能力只需瀏覽一下最近的新聞標題，即可感受到現代網絡威脅的載體多種多樣。但是，如果您對此持懷疑態度，需要更有說服力的證據，不妨深入研究 MITRE ATT&CK 框架中列出的數百種攻擊技術和細分具體技術。關鍵是，所有這些策略和技術都需要多個觀測點才能有效地檢測和響應。擴展檢測和響應(XDR)提供跨網絡、云、終端和應用的數據可視性，同時應用分析和自動化功能來檢測、分析、搜索當前和未來的威脅并采取補救措施。您大概可以猜到發展趨勢。隨著檢測和響應能力的擴展，可以覆蓋更多入侵載體和企業資產

39、，安全彈性是否得到顯著改善？讓我們拭目以待。為了對此進行測試，我們將針對尚未在 XDR（或其前身“終端檢測和響應 EDR”）方面取得進展的組織確定基準。這些組織的平均安全彈性得分為 393分。換言之，在所有參與組織中，只有 14%的組織比自己的安全彈性得分低。顯然，大多數組織都不希望是這一排名。由于許多組織將 EDR 視為 XDR 的基本組成部分，因此我們認為這是旅程中的第一個里程碑。聲稱實施 EDR 的組織的整體安全彈性得分比基準高出 23%。不算太糟糕，但也不是真正的 XDR，我們繼續往下看。45%未實施 XDR 和已完善地實施 XDR 的組織之間的平均彈性得分差異32安全成果報告第 3

40、卷打造安全彈性聲稱已部署 XDR 基本要素的組織，其安全彈性得分又增加了 10%，比未部署 EDR 或 XDR 的組織高出 33%。所謂“基本”，是指在終端和網絡上具有檢測和響應能力，但尚未全部集成在一起。擴展能力固然很好，但任何從事過安全運營的人都知道，更廣泛、更深入的可視性也會帶來更大的挑戰。必須分類和響應的事件數量不斷增加，因此，新聞中頻頻出現安全事件。在我們看來，要想將 XDR 基本組件集成到統一解決方案中，可通過兩大因素，即網絡威脅情報和自動化/協調。如果檢測和響應能力知道要查找的內容以及如何找到這些內容，則能發揮最佳效果。為此，許多企業尋求高質量的網絡威脅情報。安全自動化和協調是成

41、熟 XDR 實施的紐帶。上述兩個因素共同成就了前所未有的 XDR。具備這些能力的組織在所有 9 項彈性成果方面的表現都顯著提高，總體彈性得分比在 XDR 方面未取得進展的組織高出 45%。圖 16：XDR 實施里程碑對安全彈性的影響 33安全成果報告第 3 卷打造安全彈性7.將安全擴展至邊緣 混合辦公（包括移動辦公、設備激增以及應用在多個云提供商上的高度分散）快速發展，保護這種廣泛的互聯面臨著越來越大的挑戰，超出人類極限。當前流行的安全連接模式不足以應對這些挑戰。因此，最終用戶和 IT 專業人員都面臨著這樣一個現實：體驗支離破碎，且沒有保障。安全接入服務邊緣(SASE)提供了一種策略，可將網絡

42、和安全融合到云交付服務中，簡化運營，在面對不斷變化的業務需求時保持彈性。本報告中是否有證據表明 SASE 確實能提高彈性？是的！我們沒有深入探討 SASE 實施傳統組件的具體細節（請參閱 Gartner 的定義），但我們確實詢問了參與組織在這方面的總體進展情況。與未在 SASE 方面制定計劃或取得進展的組織相比，聲稱已部署 SASE 的組織的整體安全彈性得分高出 15%。我們還發現，在 9 項安全彈性成果中，其中有 8 項可通過實施 SASE 提高成功率。27%未實施 SASE 與已完善地實施 SASE 的組織之間的平均彈性得分差異 34安全成果報告第 3 卷打造安全彈性圖 17：安全彈性主要

43、舉措 主動出擊，采取舉措 在開展此次大型調查的同時，我們還邀請了一個由 IT 和安全高管組成的焦點小組，分享他們目前為提高組織網絡彈性而采取的三大舉措。以下是他們的看法。別急，敬請往下看！思科擴展了 Gartner 對 SASE 的定義，納入了高級威脅檢測和響應能力等組件。我們確實詢問了組織在這些能力方面的情況，因此很想知道既具備這些能力又實施 SASE 的組織是否更具彈性。事實證明，此類組織的安全彈性確實達到新的高度，比尚未開始部署 SASE 的組織的基準高出 27%。35安全成果報告第 3 卷打造安全彈性NIST網絡安全框架最初為順應 2013 年美國行政命令“保護關鍵基礎設施的安全”而制

44、定，現如今已被全球各種不同類型的組織用于降低網絡風險、提高彈性。網絡安全框架廣泛使用，我們認為評估其中定義的相關活動對 9 項安全彈性成果的影響會非常有用。網絡安全框架中定義的活動涉及 13 項能力，我們要求每個受訪者對這些能力的實施水平進行評分。我們的專家之所以選擇這些能力，是基于其與安全彈性的潛在相關性。然后，我們對數據進行了分析，確定各項能力與安全彈性成果之間的相關性。具體結果如下列影響表所示，所有數據由 Nerdery 傾情提供。網絡安全（彈性）框架 圖 18：NIST網絡安全框架活動與安全彈性成果的相關性 36安全成果報告第 3 卷打造安全彈性藍色方塊表示 NIST 能力和安全彈性成

45、果具有統計學顯著相關性。這些藍色方塊中的百分比表示，在有效實施相應 NIST 能力的組織中，成功實現相應安全彈性成果的可能性增加情況。比如，能夠很好地“跟蹤關鍵系統和數據”的組織，在“遏制安全事件的蔓延和范圍”方面表現出色的可能性要高出近 11%（左上角方框）。所有其他方框都可以用同樣的方式解釋。與本系列第 1 卷最初的安全成果表一樣，您可利用此圖“自行打造安全計劃”。如需了解如何提高特定彈性成果，請從左側選擇該成果，然后橫向瀏覽，根據數據查找對應選項。另一方面，如需了解網絡安全框架中的某項活動如何增強組織的彈性，請從頂部選擇該活動，然后縱向瀏覽與之交叉的成果列表。我們根據這一方法在表中自行選

46、擇安全計劃，得出下列觀察結果。這些絕不是唯一的要點，我們不想破壞或影響您自己的探索。如果不想受到我們想法的左右，請直接跳到結論部分。是的，這是安全領域的老生常談，類似于“為系統安裝補丁”。是的，許多演示文稿中都充斥著這一概念，提到了“保護核心資產”和孫子語錄。也許這事出有因。我們很難忽視這些數據所傳達的信息?！案欔P鍵系統和數據”排名第 1，是整體而言最有效的活動?！白R別主要網絡風險情形”排名其后。也就是說，在 NIST網絡安全框架中，與檢測、響應和恢復等通常與彈性相關的功能相比，屬于識別功能的兩項活動更能提高安全彈性。值得深思（和行動?。?，對吧？了解您要保護的資產以及要防御的威脅觀察結果 1

47、37安全成果報告第 3 卷打造安全彈性觀察結果 3配置人員和制定計劃會帶來高投資回報率 最后一點結尾處提到了人員，這就引出了上表中的另一個主題，即網絡安全框架中多項活動都涉及到人員或計劃（在制定計劃時要考慮到人員）。其中一項活動是制定事件響應計劃并將其傳達給員工。另一活動要求定期更新計劃，而不是將其束之高閣（或置于共享驅動器）。我們已經提過響應計劃（包括與外部各方的協調）的重要性。當然，如果響應人員沒有經過充分培訓，不知道如何實施這些計劃，那么這些計劃毫無價值。組織可以通過多項技術解決方案提高安全彈性。但是，在每項解決方案的背后，都離不開在網絡危機期間配置、維護和操作這些解決方案的人員。幫助這

48、些人員了解該做什么以及如何做，就是在幫助組織。觀察結果 4關鍵不在于資金，而在于.對于過去經歷過重大事件的首席信息安全官和組織而言，“減輕安全事件造成的財務損失”是最重要的彈性成果。請注意，我們的分析顯示，在網絡安全框架定義的 13 項活動中，其中 8 項可提高成功實現該成果的幾率。我們不會列出所有相關活動，您可以自行完成，然后參考 NIST 文檔了解更多詳細信息，獲取實施指南。需要強調的是，表中突出顯示的有效活動涵蓋了監管、人員、流程和基于技術的控制。這證實了一個主題，即要想盡量減少損失，充分提高彈性，一維單點解決方案遠遠不夠。網絡彈性不僅關乎您自己 在回顧與彈性成果相關的網絡安全框架活動時

49、，很難忽視組織的成功與外部各方有很大干系?！皳碛谐渥愕木W絡保險為防御提供后盾”總排名第 4?！肮芾硎录憫突謴瓦^程中的 PR”排名第 5?！皽y試基本第三方服務”排名第 6，“確保發生網絡事件時能繼續提供服務”排名第 8?！芭c外部各方協調響應計劃”排名第 9。因此，請盡一切辦法，確保準備妥當，以應對突發破壞性網絡事件。但是，這一天真正到來時，不要孤軍奮戰。實踐經驗以及本報告中的數據清楚表明，網絡彈性遠遠超出您自己和周圍人的范疇。觀察結果 238安全成果報告第 3 卷打造安全彈性至此，想必大家已經心中有數。您是否感覺更具彈性了？或者至少感覺已踏上彈性之旅？建立安全彈性需要投入大量的工作，但首先要

50、制定計劃。如果您希望確保組織在任何情況下都能蓬勃發展，我們愿隨時提供支持，助您制定和執行計劃，幫您撥云見日，找到清晰的方向。無論您是在努力應對風險評估、勒索軟件、監管合規性、響應和恢復還是其他安全挑戰，您都不必孤軍奮戰。如需了解更多信息，請訪問：查看我們一系列以數據為基礎、基于調研的研究報告 深入了解如何借助安全彈性為企業保駕護航 結論 關于 Cisco SecureCisco Secure 秉持不斷優化、簡化的安全原則。我們提供以客戶為中心的精簡安全方法，可確保各產品不僅易于部署、易于管理、易于使用，而且可以協同工作。我們通過最廣泛、集成度最高的平臺，幫助所有財富百強企業隨時隨地保障工作安全

51、。如需詳細了解我們如何簡化體驗，促進您取得成功并提供面向未來的安全保護，請訪問 3 卷打造安全彈性附錄 A：受訪者群體統計數據 圖 A1：受訪者主要所在市場 40安全成果報告第 3 卷打造安全彈性圖 A2：參與調查的組織代表的行業 41安全成果報告第 3 卷打造安全彈性圖 A4：受訪者的主要安全職務和職責 圖 A3：參與調查的組織員工人數 42安全成果報告第 3 卷打造安全彈性附錄 B：安全彈性成果 1.遏制安全事件的蔓延或控制其范圍：發生安全事件時，采取控制措施和流程遏制其蔓延，比如限制橫向移動，阻止權限提升，縮短停留時間，避免傳播到其他部門。能夠有效控制事件以避免進一步惡化，或者近期有執行

52、測試以驗證這些能力，則表明組織在這一成果方面取得了成功。2.減輕安全事件造成的財務損失：發生安全事件時，通過控制措施和流程降低其影響程度和相關損失，進而降低成本。比如制定計劃和程序，以實現快速恢復、避免品牌形象受損、減少下游其他各方的損失、規避訴訟、通過網絡保險轉移風險等。寄希望于最好的結果，或者采取“兵來將擋水來土掩”的策略，則表明組織在實現這一成果方面存在困難。3.適應外部突發變化事件或趨勢：安全計劃非常靈活，能夠有效應對組織外部不可預見、無法掌控的事件所引發的變化情況。在新冠疫情期間，能夠很好地適應向遠程辦公的突然過渡，應對隨后的混合辦公趨勢，加快全數字化轉型，則表明組織在這一成果方面取

53、得成功。4.緊跟業務需求和業務發展的步伐：安全計劃能夠充分應對不斷變化的業務需求，而且不會阻礙通過新的來源獲得收入。在某些情況下，安全解決方案可以提供競爭優勢，甚至可以創造凈收入。如果企業高管將安全部門視為業務障礙或單純的成本中心，則表明組織在實現這一成果方面存在困難。5.不斷完善并提升安全能力：通過安全計劃制定目標，跟蹤進度，尋求不斷提高其有效性。安全計劃可能并非在所有方面都很成熟，但應了解最需改進之處，并制定相應計劃。如果安全計劃停滯不前，無法抵御現代威脅，或者未做好充分準備，無法實施下一次控制，則表明組織在實現這一成果方面存在困難。43安全成果報告第 3 卷打造安全彈性6.防范重大網絡安

54、全事件并減少損失：我們認為，在實現這一目標方面非常成功的組織在過去幾年中未曾經歷重大或極具影響力的安全事件（內部和/或外部高度關注的事件）。此外，我們沒有理由懷疑，組織遲早會發生重大損失事件。預計組織會出現輕微甚至中等程度的事件，但關鍵是組織是否已經并將繼續保持杜絕重大安全事件。7.通過中斷事件確保業務連續性：系統故障、網絡中斷和其他技術中斷對關鍵業務運營的影響極小。即便發生需要廣泛或快速變更架構和/或流程的突發事件，組織也能成功應對。8.實行具有成本效益的安全計劃：高管認為安全計劃具有良好的投資回報率。沒有因為安全成本過高而怨聲載道。購買的產品閑置率較低。人員配備精簡，但不至于出現短缺。高管

55、和安全主管共同制定了相應計劃，可在不增加風險的情況下減少安全預算，這是一個良好的成功標志。9.招募和留住優秀的安全人員：組織在安全行業有口皆碑，是許多人夢寐以求的工作場所?？杖钡陌踩毼煌ǔ玫娇焖偬钛a，而無需提供額外的激勵。人才不斷晉升發展而不是紛紛離職，人才流失率較低。員工滿意度一直很高。44安全成果報告第 3 卷打造安全彈性45安全成果報告第 3 卷打造安全彈性歐歐歐歐 Cisco Systems International BV，荷蘭阿姆斯特丹歐歐歐歐 Cisco Systems(USA)Pte.Ltd.新加坡歐歐歐歐 Cisco Systems,Inc.加州圣荷西發布日期：2022 年 12 月 2022 思科和/或其附屬公司。版權所有。Cisco 和 Cisco 徽標是思科和/或其附屬公司在美國和其他國家/地區的商標或注冊商標。要查看思科商標的列表，請訪問 11/22