德勤:從戰略角度看2023年網絡安全發展態勢
在過去幾個月,包括Uber、思科、Twilio和Rockstar Games在內的大型企業組織均不幸淪為了網絡攻擊的受害者。由此可以看出,對各種類型的企業而言,想做好網絡安全建設工作都并非易事。最近,德勤公司的多位資深網絡安全分析師在接受專業媒體VentureBeat采訪時,對2023年網絡安全領域的發展態勢進行了戰略性預測。分析師們認為,針對安全威脅的長遠準備和增強組織網絡安全彈性,將會成為幫助組織有效防范潛在威脅的關鍵性因素。
1. 安全防護將從董事會開始
保障網絡安全并不是簡單的技術性問題,2023年的網絡威脅形勢將會更加復雜,這將促進企業董事會在網絡風險監管方面發揮更加重要的作用。獲得客戶信任與業務持續增長之間有高度的關聯性,董事會的參與有助于將網絡安全定位于組織數字化發展戰略賦能者,以加強客戶、供應商、員工和股東之間的關系。
只有認識到穩健的網絡安全態勢對業務發展有直接影響,董事會才能更有效地監督網絡安全風險管理活動。美國證券交易委員會(SEC)最近的提案中再次強調了應該加風險治理和管理,并及時通知投資者,董事會則是實現這些網絡安全風險控制目標的核心。
2. 攻擊面管理得到更多重視
很多組織目前已部署了與物聯網相連的設備,但往往缺乏足夠的安全治理。隨著聯網設備數量日益增加,與它們相連的網絡和生態系統的攻擊面也隨之擴大,從而導致了安全、數據和隱私風險激增。
在2023年,領先的組織將致力于各種聯網設備和資產的網絡安全實踐,為此制定或更新相關的管理政策和程序,更充分清點當前的網絡資產,監控和修補設備,在注重安全的情況下完善設備采購和處置實踐,將物聯網和IT網絡深度融合關聯,實現更密切地監控聯網設備,以進一步確保這些端點的安全和事件響應。
3. 安全性成為新興技術能否落地的挑戰
隨著物聯網、區塊鏈、5G、量子及其他技術的應用繼續加快,與這些技術相關的網絡安全風險繼續凸顯出來。盡管采用這些技術將有助于推動組織的數字化轉型,實現更快的戰略增長計劃,然而如何確保這些技術的可靠應用,將有賴于組織能否實施與之匹配的安全管理措施。
4. 隱私保護成為贏得客戶信任的前提
組織與客戶之間的數字化互動已是一種發展常態,調查數據顯示,目前企業組織平均有近72%的客戶溝通連接活動是通過數字化方式來實現。因此,客戶需要對其數據擁有更大控制權,同時希望企業在數據處理方面增加透明度。只有組織可以證明自己值得信任,客戶才更愿意共享數據,并購買其服務產品。因此,組織需要有一種緊迫感以贏得客戶信任,將數據隱私、安全和合規視為不可或缺的有效機制,不斷加強客戶的溝通體驗和品牌認知。
5. 網絡安全需要長遠的規劃和準備
通過研究過去幾年的網絡安全變化,可以發現組織需要盡快為未來做好長遠規劃和準備。組織需要在不斷變化中,持續性地完善網絡風險管理實踐,并尋求創新。由于更多的技術突破和不斷變化的威脅趨勢,組織應該充分利用網絡技術為客戶帶來更多的價值和競爭差異化優勢,同時搶先一步探究新興風險和威脅。無論是針對近期的市場應用創新進行規劃,還是遵守日益嚴格的監管要求,組織都需要積極評估并制定統一的網絡戰略,確保數字化業務足夠靈活,積極抓住未來機會。
6. 保障網絡安全彈性仍然是重點
隨著數字化發展的深入,企業的網絡攻擊面也在進一步加大,因此會面臨眾多的供應鏈、地緣政治、網絡環境和攻擊事件可能,這將帶來監管部門越來越嚴的審查,也給傳統的風險防御計劃提出了挑戰。只有全面分析對核心業務運營構成威脅的場景,組織才能采用合適的方法和技術,以打造安全風險態勢感知能力,及時發現新興威脅,并提升應對威脅的能力。
7. 復雜的供應鏈攻擊或將出現
今天的組織嚴重依賴供應鏈,這種高度的依賴性也使得供應鏈安全和風險成為現代企業組織必須面對的重要挑戰。2023年,引入到供應鏈中的安全威脅在復雜性、規模和頻率上都將會持續加大,因此組織需要繼續創新并完善其供應鏈安全和風險轉變能力,以保持良好的發展勢頭。
企業應該部署更加全面的供應鏈安全防護工具,從基于時間點的第三方評估轉向實時監控外來軟件以及相關固件、組件中的第三方風險和安全漏洞。
此外,企業還應該積極部署和使用身份及訪問管理(IAM)和零信任功能,這些功能可以更有效地確保只有授權的第三方才能訪問系統和數據,并減小第三方受攻擊導致的后果。
8. 網絡安全專業人才缺口繼續擴大
隨著網絡安全風險的廣度、復雜性和頻率急劇加大,利益相關者(監管機構、董事會和業務人員)對管理網絡安全風險的要求越來越大,因此企業組織對技能嫻熟、經驗豐富的網絡人才有著巨大的需求。
由于這種需求加上網絡人才短缺(尤其是訓練有素的專業技能),組織通常很難快速找到合適的人才,這將嚴重影響它們管理網絡風險的能力。隨著這種人才短缺現象越來越嚴峻,更多的組織會考慮其他出路,比如選擇專業的外包服務。不過,為了保持靈活、有效的安全運營流程,組織需要在采用外包策略的同時致力于招募和留住專業網絡安全人才。
9. 云安全技術將加快成熟
云服務的普及和DevOps等新型開發方法的出現推動更多組織將業務遷移到云端,這為企業組織業務增長創造了新的發展機會。隨著云計算技術日趨成熟,更多的數據和業務職能被托管在云端,組織需要意識到:如果不將安全納入到轉型過程中,代價高昂的數據泄漏和破壞性網絡攻擊可能會讓云計算的好處蕩然無存。只有同時積極擁抱安全和數字化轉型,并采用零信任原則,組織才能實現云化敏捷安全發展的轉型。
10. 工業互聯網應用面臨不斷變化的威脅
隨著物聯網、大數據、人工智能等先進IT技術的快速發展,制造業為重塑企業核心競爭力,正加速推動IT與OT的融合,改造傳統的生產關系與業務流程,從產品研發、業務管理到生產車間全方位推動企業的數字化轉型與智能制造。當工業網絡從封閉走向開放,工控安全問題也逐漸顯現,由于很多關鍵生產與運營數據屬于企業的核心商業機密和資產,一旦泄露,將會給企業帶來巨大損失。更重要的是,工控系統承載著事關社會經濟乃至國家安全的重要工業數據,一旦被竊取、篡改或流動至境外,將對國家安全造成嚴重威脅。
工業企業必須要應對好OT安全風險,為此可以采取諸多措施,包括加強設備可見性、實施OT網絡分段、部署先進安全工具等。同時,在新的威脅形勢下,以大數據分析、AI技術為基礎的工控安全統一管理平臺將得到更多應用。通過平臺化的管控模式,不僅能夠實現對多種安全設備的集中監控、系統分析、統一運營,還可以有效提升工業企業的安全風險響應速度與未知威脅感知能力,全面提升工業企業的安全防護能力。
