德勤發布2023年網絡安全的十大戰略預測

德勤公司的分析師提出了一系列預測，并指出了網絡安全、未來的前瞻性以及業務彈性在幫助企業更好地控制未來威脅行為者的風險方面發揮的重要作用。

1.企業董事會的網絡安全準備將成為企業的當務之急

德勤公司美國網絡危機管理負責人Mary Galligan：隨著網絡威脅形勢的持續發展和日益復雜，企業董事會在網絡風險監管方面發揮的作用變得越來越重要。隨著企業將客戶信任與持續增長放在一起，企業董事會將網絡定位為戰略推動者，以在客戶、供應商、員工和股東之間建立更牢固的關系。

認識到穩健的網絡安全態勢對財務影響的直接價值，使企業董事會能夠更有效地監督網絡安全風險管理活動。美國證券交易委員會最近的建議強調了治理、風險管理、戰略和及時通知投資者，這應該鼓勵領導者考慮以網絡風險和企業董事會為中心，發展和塑造他們當前和未來的業務模式。

2.物聯網設備可見性和安全性將是大多數企業關注的主要領域

德勤公司美國網絡物聯網主管Wendy Fran：多年來，大多數企業都部署了物聯網設備，但往往缺乏足夠的安全治理。隨著物聯網設備數量的增長，它們所連接的網絡和生態系統受到的網絡攻擊面也在增長，從而帶來了更多的安全、數據和隱私風險。

在未來的一年里，行業領先的企業將通過建立或更新相關的政策和程序，更新其物聯網設備的清單，監控和修補設備，在考慮到安全的情況下完善設備采購和處置實踐，將物聯網和IT網絡相關聯，更密切地監控連接設備，以進一步確保這些端點的安全，管理漏洞，并響應事件。

3.新興技術的安全性對其采用至關重要

德勤公司美國轉型與新興技術網絡與戰略風險負責人Kieran Norton：隨著物聯網、區塊鏈、5G、量子計算和其他技術的應用繼續加速，與這些技術相關的網絡安全風險將變得更加明顯。

采用這些技術將有助于管理企業的戰略增長計劃，然而，它們的持續成功將基于企業導航和實施適當的技術安全措施的能力。

4.以數據為中心的安全和隱私對于建立品牌和客戶信任至關重要

德勤公司美國數據與隱私網絡與戰略風險負責人Criss Bradbury：企業和客戶之間的數字互動是一種新的生活方式，企業中將近72%的客戶互動是數字的。

這提高了客戶對自己的數據有更大控制權的期望，也提高了企業數據處理政策的透明度——這通常是為了獲得更多的共享數據的意愿，如果企業值得信任，他們會更積極地參與進來。

因此，企業越來越迫切需要實現信任的維度，并將數據隱私、安全和合規納入機制，以支持加強客戶體驗和品牌感知的方法。

5.為未來的安全做好準備

德勤美國網絡與戰略風險主管Deborah Golden：當回顧過去的幾年，我們看到變化發生得有多快——從行業動態到地緣政治氣候、顛覆性技術和企業優先事項，這強調了為未來安全做好準備的必要性。變化是唯一不變的，它帶來了發展和創新網絡風險管理實踐的機會。

隨著更多的技術突破和不斷變化的市場趨勢，企業有很多的機會利用網絡為客戶帶來更多價值和競爭優勢，同時預先應對尚未發現的風險和威脅。

無論是規劃近期的市場創新，還是遵守日益增加的監管和報告要求，企業都需要積極評估并建立統一的網絡戰略，使業務足夠敏捷，在機會出現時抓住它們。

6.企業的彈性將仍然是重點

德勤公司美國網絡風險服務基礎設施業務技術彈性主管Pete Renewer：隨著業務數字化的繼續，企業在全球市場中的聯系越來越緊密，從而擴大了網絡攻擊面，增加了中斷的頻率和影響。大量的供應鏈、地緣政治、環境和網絡攻擊事件正挑戰著傳統的風險程序，并吸引著越來越多的監管審查。

通過對威脅核心業務運營的場景進行綜合分析，企業可以采用新的技術，對新出現的威脅進行態勢感知，提高對中斷的響應能力。

7.復雜的供應鏈安全風險將繼續存在

德勤公司美國網絡風險安全供應鏈負責人Sharon Chand：當今全球經濟的超級互聯已經促使企業嚴重依賴其供應鏈——從實體和數字產品中的組件到日常運營所需的服務。

這種關鍵的相互依賴使得供應鏈安全成為當今全球互聯企業的當務之急。

企業現在需要一種全面的方法，包括從實時的第三方評估轉向對入站打包軟件和固件組件中的第三方風險和漏洞的實時監控。

例如，這包括圍繞軟件材料清單(SBOM)實施行業領先的實踐技術，并將輸出與新出現的漏洞相關聯，識別風險指標，如底層組件的地理來源，以及提供可傳遞依賴性的可見性。

企業也在關注部署和操作身份和訪問管理(IAM)和零信任功能，以更好地管理授權第三方訪問系統和數據，并減少第三方泄露的后果。

引入供應鏈的威脅在復雜性、規模和頻率上持續發展，因此企業需要繼續創新并完善其供應鏈安全和降低風險的能力。

8.由于網絡人才嚴重短缺和勞動力成本不斷上升，企業人才整合和外包將不斷演變

德勤公司美國網絡與戰略風險主管Deborah Golden：隨著網絡安全風險的廣度、復雜性和頻率與日俱增，以及來自利益相關方(監管機構、董事會和員工)管理網絡安全風險的壓力越來越大，企業對熟練和有經驗的網絡人才有著巨大的需求。

網絡人才市場的短缺，尤其是訓練有素的專業技能的短缺，使這種需求更加強烈，這使得吸引和培養難以找到的人才變得極其困難。企業爭相填補所需職位，影響了他們管理網絡風險的能力。

9.云安全方法、產品和技術將加速成熟

德勤公司美國網絡云計算業務負責人Vikram Kunchala：云計算服務的普及和像Devops這樣的新開發方法的出現正在創造前所未有的可能性，推動許多企業將業務遷移到云平臺上，并使現有的應用程序現代化。這種發展通過加速開發、增強可擴展性和協作、新的收入流、業務敏捷性和更強的技術彈性為業務增長提供了機會。

隨著這些部署的成熟，越來越多的數據和業務功能被托管在云中，人們越來越意識到，如果不將安全納入轉型過程，成本高昂的監管失誤和破壞性的網絡攻擊可能會讓這些好處化為烏有。

通過將安全和數字化轉型結合起來，利用基于云計算的架構的交叉性，現代化的“設計安全”流程來增強開發人員的體驗，并采用零信任原則，企業可以實現敏捷的安全轉型，以提高信心。

10.在制造和其他環境中對運營技術的不斷演變的威脅

德勤公司美國和全球網絡OT負責人Ramsey Hajj：網絡攻擊者越來越多地將運營技術(OT)環境武器化，以攻擊控制工業過程的硬件和軟件。熟練勞動力短缺以及IT和OT環境重疊，將會使控制網絡事件變得困難。

企業可以通過采取一些步驟來實施網絡威脅識別、檢測和預防控制，以降低安全風險。企業可以通過提高設備的可見性、實施OT網絡分割、實施OT環境的安全工具、關聯OT和IT網絡的安全信息，以及建立安全運營中心(SOC)來解決OT問題。