1、执行摘要不公平的竞争环境:网络安全激励措施不对称长期以来,网络犯罪分子总是抢得先机,接连不断地找到窃取数据、终止服务和中断合法信息流的新途径,这并不是因为他们更强大,而是因为攻击者和防御者的激励措施不对称。为更好地了解激励措施不对称这一情况,我们对五大行业的 800 名网络安全专业人员进行了调查。本报告确定了三项重要的激励措施不对称:企业结构与犯罪企业可用流之间的激励措施不对称、策略与实施之间的激励措施不对称,以及管理人员与执行人员之间的激励措施不对称。 不公平的竞争环境: 网络安全激励措施不对称了解更多信息要阅读完整报告,请访问 。1联系我们执行摘要不公平的竞争环境:网络安全激励措施不对称
2、三层不对称的激励措施使防御者错失先机,身陷困境攻击者与防御者攻击者的激励措施是根据易变分散的市场特性制订的,因而可灵活迅速地适应市场,而防御者却受到行政体制和自上而下的决策方式的约束。策略与实施虽然 90% 以上的组织都制订了网络安全策略,但完全实施其策略的组织却不到一半。管理人员与执行人员制订网络策略的管理人员采用不同的方式来评估策略执行人员是否成功实施,限制了他们的效率。企业结构与犯罪企业虽然大多数网络攻击都是以恪守层级和行政体制规定的某些类型的组织为攻击目标,但网络犯罪分子是在神秘开放的自由职业者世界中采用明确的激励措施进行运作的。对于创新的待售产品和服务,网络犯罪市场每天都会对“价格信
3、号”作出反应。其推陈新的速度非常快。因此,网络犯罪市场各部分(从极其老练、资源充裕的犯罪分子和民族国家资助的暴徒到黑客行动主义者和网络犯罪即服务客户)在动态竞争的环境下快速创新。为完成此研究,我们通过采访技术网络安全专家和执法官员,深入了解这些市场。 网络犯罪市场可提供大量专业知识,让其精英成员变成交易专家。最常见的专业人员是恶意软件程序员、恶意网站设计者、基础设施专家、漏洞利用和漏洞黑客以及策划社会工程方案的骗子。分配利润时,这些专家以其做出的贡献作为分配依据。在动态竞争环境下,网络犯罪市场根据信誉信息不断淘汰能力较差的犯罪分子,并将精英成员吸纳到高层。这种直接竞争和薪酬模式加快了使用新漏洞
4、或漏洞利用的速度。高达 42% 的安全漏洞在曝光后 30 天内就会遭到犯罪分子入侵。例如,在曾占统治地位的 Angler 漏洞利用工具包(据估计,此工具包活动已占到 82% 的漏洞利用工具包活动)的开发者被捕后,依赖 Angler 的攻击者们在几周内就用 Neutrino 漏洞利用工具包替代它传输其负载了。大多数犯罪分子很少做研究或根本不做研究就利用犯罪精英分子的成果,通常会通过黑市网络市场以及大量长期不修补漏洞的系统快速分发这些成果。这样有益于他们保持低成本。根据网络犯罪趣闻来看,许多犯罪分子似乎都来自俄罗斯和东欧。这是有一定道理的,主要是由于这些区域开设了高等数学和计算机科学课程,同时缺少
5、合法的就业机会。在这些区域中,即使是合法的 IT 员工和电信公司,也会兼职犯罪工作,有时甚至会在其 Facebook 页面上公开发布其黑市网络身份信息。公司网络安全防御团队可从这些黑市上了解到许多情况。明确的激励措施和信誉奖可对态度和效率产生积极影响。策略与实施之间脱节大多数受访者表明,现在网络安全是各组织所面临的头号风险。70% 以上的主管在董事会议中都听到有关网络安全风险的介绍,特别是关于六年前还未跻身 10 大难题之列的问题介绍。几乎所有 (93%) 受访者都表明,其所在组织已制订旨在处理新型和现有威胁的网络安全策略。 第一项不对称就是源自于此。许多高管认为已在组织内部全面实施其策略,但
6、只有 30% 以上的操作者认同此观点。这两个群体一致认同的是,网络安全有效性的主要指标是数据泄露数量,但自此之后他们的意见出现分歧。管理人员更依赖于性能指标,比如从数据泄露隐患恢复的成本,或网络安全支出回报。操作者更依赖于技术措施,比如漏洞扫描和渗透测试。超过半数 (54%) 的高管受访者对信誉影响的关心远超过对网络安全事件实际影响的关心。重要的是,不到三分之一 (32%) 的专业人员认为,网络安全事件会使收入或收益减少,可能会让其产生虚假的安全感。 2执行摘要不公平的竞争环境:网络安全激励措施不对称策略与实施脱节还体现在,确保网络防御措施不公开面临新风险的组织所使用的方法。大多数 (71%)
7、 受访者表明,他们正在维护集成现有技术和新技术的安全平台,而 64% 的受访者表明,他们还购买了重叠的安全技术。此策略看似合理的实施策略,但未充分集成的重叠安全技术有时会导致安全缺口,因为配置和监控系统不同,则很难制订并强制实施一致的安全策略。 管理人员与执行人员的激励措施不同网络犯罪分子为获得成果制订了直接的激励措施,具体形式包括现金收益、发布公告或让其目标难堪。调查表明,不仅是缺少激励网络安全专业人员的措施,而且高管对现有激励措施影响的信心远超过努力实施激励措施的实施工作人员。 几乎超过半数的执行人员受访者表明,其所在组织没有任何激励措施,此数量是持同样观点的领导人数的五倍以上。这可能是因
8、为组织结构中不知道业绩激励措施的员工越来越少,或者是员工认为提供的激励措施无效。幸运的是,65% 的专业人员受访者表明,他们个人自发增强了其组织的网络安全防御。表明对网络安全专业人员实施现有激励措施的管理人员,最有可能确定提供经济补偿 (60%) 或表彰 (58%)。但是,非管理人员所表明的相同的激励措施实施情况降低了 15 到 25 个百分点。当被问到希望看到哪些激励措施时,运营商对经济补偿 (63%) 和表彰或奖励 (62%) 的重视几乎是相同的。这一点与表明职业发展机会是与奖金一样重要还是比奖金更重要的研究是一致的。向网络犯罪分子学习各组织可以向 Black Hat 社区学习,改善不对称
9、的问题。 Security-as-a-Service 可为“网络犯罪即服务”计数操作提供必要的灵活性。专业顾问可在必要时运用专业知识和焦点资源增强内部团队的能力。业绩激励措施和表彰可促使我们加强防御,缩短漏洞修补周期。必须通过实验来确定适合各组织的指标和激励措施组合方式,从而提升防御速度,增强防御重心,实现更完善的安全成果。3执行摘要不公平的竞争环境:网络安全激励措施不对称向犯罪市场借鉴 的经验教训犯罪市场防御者模拟行为利用市场力量Crime-as-a-service开放分散的犯罪市场利用竞争和市场定价原则最大程度地降低了准入门槛、推动了创新,并帮助成功的企业迅速实现规模发展。Security
10、-as-a-service扩大外包和开放承包有助于降低成本,提高竞争力,并推动有效的安全技术和做法的广泛使用。利用公开公布信息以公开暴露的漏洞为目标利用公布的漏洞信息避免了成本高昂的漏洞研究和利用开发,可迅速将新公布的漏洞整合到攻击中,以便在防御者修补漏洞之前最大程度地提升攻击值。改善修补措施通过改善修补措施,尽快更换陈旧系统,更快速地响应公开披露的安全漏洞,不仅可以加强安全保护,还可以提高攻击者的成本。增强透明度开放论坛和在线广告开放论坛和公开广告有助于成功的新攻击和犯罪商业模式的扩散以及最佳做法的广泛使用。信息共享与协作扩大信息共享范围可以减少重复投入,降低防御者的成本,还有助于传播可明显
11、改善安全性的新技术和实践的信息。降低准入壁垒“能够熟练使用计算机的人”犯罪分子生态系统没有正式文凭和地域限制要求,能够引进合法生态系统所轻视的人才,并最大程度地发挥其价值。利用全球人才库吸纳更丰富的人才资源,包括容易卷入网络犯罪的新生力量和外部 ICT 专家,缩小与犯罪市场相比的技术能力和人力资源方面的差距。调整激励措施自由职业市场对业绩给予奖励在自由职业犯罪市场中,攻击链各个级别、各个职能领域的实施者都会因其杰出贡献受到市场的奖励,也会因其业绩不佳受到市场惩罚。业绩激励措施为了将激励权从管理层下放到运营层,必须向实现良好安全成果的员工和经理授予物质和精神奖励之类的激励。4McAfee、迈克菲和 McAfee 徽标是 McAfee, LLC 或其分支机构在美国和/或其他国家/地区的注册商标或商标。其他商标和品牌可能是其各自所有者的财产。 Copyright 2017 McAfee, LLC. 2480_02172017 年 2 月北京市东城区北三环东路 36 号北京环球贸易中心 D 座 18 层,100013电话:8610 8572 (CSIS),2017 年 3 月。
