德勤發布2023年十大網絡安全戰略預測
烏卡時代企業面臨的網絡安全挑戰日益嚴峻,根據網絡犯罪雜志的預測數據,2023年全球網絡犯罪“GDP”可能高達8萬億美元,成為僅次于中美的第三大“經濟體”。
如何在數字化轉型攻擊面和資產暴露面不斷擴大的同時,有效地預防和管理安全風險,提高安全彈性和恢復力,已經成為今天企業面臨的最復雜和艱巨的挑戰之一。
近日,德勤的安全分析師們分享了他們對2023年的網絡安全戰略預測,希望能幫助企業調整安全策略,更好地管理和控制暴露面。十大預測的目錄和詳情如下:
1.董事會的“網絡安全就續”將成為企業的當務之急
2.物聯網設備的可見性和安全性將成為大多數企業關注的主要領域
3.新興技術的安全性對其能否被采用至關重要
4.以數據為中心的安全和隱私將成為建立品牌和客戶信任的必要條件
5.聚焦未來的前瞻性策略
6.組織韌性將繼續成為焦點
7.復雜的供應鏈安全風險將不斷涌現
8.由于嚴重的網絡安全人才短缺和不斷增長的勞動力成本,企業安全人才整合和外包將成為趨勢
9.云安全方法、產品和技術將加速成熟
10.制造業工控OT網絡面臨不斷演變的威脅
一、董事會的“網絡安全就續”將成為企業的當務之急
“隨著網絡威脅形勢的不斷發展和復雜化,董事會在網絡風險監督中的作用變得越來越重要。隨著越來越多的企業同等重視客戶信任與業務增長,董事會將把網絡安全定位為戰略推動因素,以在客戶、供應商、員工和股東之間建立更牢固的關系。
認識到穩健的網絡安全態勢可直接對財務產生價值,董事會將更有效地監督網絡安全風險管理活動。美國證券交易委員會最近提出的強調治理、風險管理、戰略和及時通知投資者的提案也在鼓勵企業領導者圍繞網絡安全和風險重新思考和發展當下與未來的商業模式。”
——德勤美國網絡危機管理負責人
Mary Galligan
二、物聯網設備的可見性和安全性將成為大多數企業關注的主要領域
“多年來,大多數企業都部署了物聯網連接設備,但通常沒有足夠的安全治理。隨著聯網設備數量的增長,它們所連接的網絡和生態系統的攻擊面也在增長,從而帶來成倍增加的安全、數據和隱私風險。
領先的企業建立或更新其物聯網安全政策和程序,更新其物聯網設備的資產清單,監控和修補設備,以更安全的方式進行設備采購和處置,將物聯網與IT網絡關聯起來,更密切地監控連接的設備,以進一步保護端點、管理漏洞和響應事件。”
——德勤美國網絡物聯網負責人
Wendy Frank
三、安全性是新興技術能否普及的關鍵因素
“隨著物聯網、區塊鏈、5G、量子計算等技術應用的不斷加速,與這些技術相關的網絡安全風險不斷顯現。
采用這些技術將有助于管理企業的戰略增長計劃,但是,這些新興技術應用能否持續成功將取決于企業是否具備安全實施和管理新技術風險的能力。”
——德勤美國網絡與戰略風險轉型與新興技術負責人
Kieran Norton
四、以數據為中心的安全和隱私將成為建立品牌和客戶信任的必要條件
“企業與客戶之間的數字化互動是一種新的生活方式——一個組織近72%的客戶互動都是數字化的。這提高了客戶對更好地控制其數據并提高組織政策透明度的期望。
客戶希望能夠更好地控制自己的數據,并提高組織數據處理政策的透明度——用戶通常在公司受到信任的情況下才會提高參與度。
因此,企業越來越迫切地需要建立信任維度,并將數據隱私、安全性和合規性作為支持傳統方法的機制,以加強客戶體驗和品牌認知度。”
——德勤美國數據和隱私網絡和戰略風險負責人
Criss Bradbury
五、聚焦未來的前瞻性策略
“過去幾年世界向我們展示了變化發生的速度有多快——從行業動態到地緣政治氣候、顛覆性技術和企業優先事項,這強調了為未來做好準備的必要性。唯一不變的是變化,這也給我們帶來了發展和創新網絡風險管理實踐的機會。
隨著更多的技術突破和頻繁變化的市場趨勢,企業面臨大量機會利用網絡為客戶帶來更多價值和競爭優勢,同時先發制人地預防和化解新興風險和威脅。
無論是規劃近期市場創新,還是遵守日益嚴格的監管和報告要求,企業都需要積極評估并制定統一的網絡安全戰略,使業務足夠敏捷,以便在不確定性機會出現時抓住它。”
——德勤美國網絡與戰略風險主管
Deborah Golden
六、組織韌性將繼續成為焦點
“隨著業務數字化的繼續,企業在全球市場中的聯系越來越緊密,攻擊面不斷擴大,業務中斷的頻率和影響也在同步增加。企業的傳統風險計劃正面臨大量供應鏈、地緣政治、環境和網絡攻擊事件的挑戰,并受到越來越多的監管審查。
企業需要整合核心業務的威脅場景視圖,部署新技術,開發對新興威脅的態勢感知能力以及響應業務中斷的能力。”
——德勤美國網絡風險服務基礎設施實踐技術彈性負責人
Pete Renneker
七、復雜的供應鏈安全風險將不斷涌現
“當今高度互聯的全球經濟導致企業嚴重依賴其供應鏈——從實體和數字產品中的組件到日常運營所需的服務。
這種關鍵的相互依存關系使得供應鏈安全和風險轉型成為當今全球互聯企業的當務之急。
企業現在需要一種整體方法,從基于時間點的第三方安全評估轉向實時監控入站軟件報和固件中的第三方風險和漏洞。
例如,實施包括軟件物料清單(SBOM)在內的供應鏈安全實踐技術,并與新出現的漏洞相關聯,識別風險指標,例如底層組件的地理來源,提供對傳遞依賴性的可見性。
企業還需要聚焦身份和訪問管理(IAM)以及零信任功能的部署和運營,這些安全方案可以更好地控制第三方對系統和數據的訪問,減少第三方網絡安全事件的連帶后果。
供應鏈威脅的復雜性、規模和頻率都在不斷升級和演變,因此企業需要不斷創新并提高其供應鏈安全成熟度。”
——德勤美國網絡風險安全供應鏈負責人
Sharon Chand
八、由于嚴重的網絡人才短缺和不斷增長的勞動力成本,組織人才整合和外包將演變
“隨著網絡安全風險的廣度、復雜性和頻率每天呈指數級增長,以及利益相關者(監管機構、董事會和員工)管理網絡安全風險的壓力越來越大——企業對熟練和經驗豐富的網絡人才有著巨大的需求。
這種需求加上網絡人才市場短缺,尤其是訓練有素的專業技能組合,使得吸引和培訓小眾、稀缺人才變得極其困難。網絡安全人才不足正影響企業的網絡風險管理能力。
隨著人才短缺的持續加劇,更多企業將考慮替代方案,例如核心網絡安全職能的外包和管理。為了保持敏捷并優化運營流程,企業需要在設法聘用和留住專業網絡安全人才的同時,實施外包戰略。”
——德勤美國網絡與戰略風險主管
Deborah Golden
九、云安全方法、產品和技術將加速成熟
“云服務的激增和devops等新開發方法的出現正在創造前所未有的可能性,促使許多企業將現有應用遷移到云端。“上云”可以加速產品開發、增強可擴展性和協作、增加新的收入流、提高業務敏捷性和技術彈性,為業務增長提供了新的機會。
隨著云端部署的成熟以及越來越多的數據和業務功能托管在云中,越來越多的企業意識到,如果安全性沒有融入到轉型過程中,成本高昂的監管成本和破壞性的網絡攻擊可能會抹殺“云優勢”。
基于“安全+數字化轉型”雙管齊下的策略,企業可以通過充分利用云架構的交叉性、可增強開發人員體驗得“設計安全”流程,實施零信任方法,實現敏捷的安全轉型。”
——德勤美國網絡云負責人
Vikram Kunchala
十、工業OT網絡面臨的威脅不斷增長
“網絡攻擊者越來越多地將OT環境武器化,以攻擊控制工業流程和保護OT網絡的硬件和軟件。熟練勞動力的短缺以及重疊的IT和OT環境大大提高了遏制網絡攻擊的難度。
組織可以實施威脅識別、檢測和預防控制方案來管理OT安全風險,這些方案包括提高設備的可見性、實施OT網絡分段、為OT環境實施安全工具、關聯來自OT和IT網絡的安全信息,以及建立能夠同時解決IT和OT安全問題的安全運營中心(SOC)。”
——德勤美國和全球網絡OT主管
Ramsey Hajj
