德勤:从战略角度看2023年网络安全发展态势
在过去几个月,包括Uber、思科、Twilio和Rockstar Games在内的大型企业组织均不幸沦为了网络攻击的受害者。由此可以看出,对各种类型的企业而言,想做好网络安全建设工作都并非易事。最近,德勤公司的多位资深网络安全分析师在接受专业媒体VentureBeat采访时,对2023年网络安全领域的发展态势进行了战略性预测。分析师们认为,针对安全威胁的长远准备和增强组织网络安全弹性,将会成为帮助组织有效防范潜在威胁的关键性因素。
1. 安全防护将从董事会开始
保障网络安全并不是简单的技术性问题,2023年的网络威胁形势将会更加复杂,这将促进企业董事会在网络风险监管方面发挥更加重要的作用。获得客户信任与业务持续增长之间有高度的关联性,董事会的参与有助于将网络安全定位于组织数字化发展战略赋能者,以加强客户、供应商、员工和股东之间的关系。
只有认识到稳健的网络安全态势对业务发展有直接影响,董事会才能更有效地监督网络安全风险管理活动。美国证券交易委员会(SEC)最近的提案中再次强调了应该加风险治理和管理,并及时通知投资者,董事会则是实现这些网络安全风险控制目标的核心。
2. 攻击面管理得到更多重视
很多组织目前已部署了与物联网相连的设备,但往往缺乏足够的安全治理。随着联网设备数量日益增加,与它们相连的网络和生态系统的攻击面也随之扩大,从而导致了安全、数据和隐私风险激增。
在2023年,领先的组织将致力于各种联网设备和资产的网络安全实践,为此制定或更新相关的管理政策和程序,更充分清点当前的网络资产,监控和修补设备,在注重安全的情况下完善设备采购和处置实践,将物联网和IT网络深度融合关联,实现更密切地监控联网设备,以进一步确保这些端点的安全和事件响应。
3. 安全性成为新兴技术能否落地的挑战
随着物联网、区块链、5G、量子及其他技术的应用继续加快,与这些技术相关的网络安全风险继续凸显出来。尽管采用这些技术将有助于推动组织的数字化转型,实现更快的战略增长计划,然而如何确保这些技术的可靠应用,将有赖于组织能否实施与之匹配的安全管理措施。
4. 隐私保护成为赢得客户信任的前提
组织与客户之间的数字化互动已是一种发展常态,调查数据显示,目前企业组织平均有近72%的客户沟通连接活动是通过数字化方式来实现。因此,客户需要对其数据拥有更大控制权,同时希望企业在数据处理方面增加透明度。只有组织可以证明自己值得信任,客户才更愿意共享数据,并购买其服务产品。因此,组织需要有一种紧迫感以赢得客户信任,将数据隐私、安全和合规视为不可或缺的有效机制,不断加强客户的沟通体验和品牌认知。
5. 网络安全需要长远的规划和准备
通过研究过去几年的网络安全变化,可以发现组织需要尽快为未来做好长远规划和准备。组织需要在不断变化中,持续性地完善网络风险管理实践,并寻求创新。由于更多的技术突破和不断变化的威胁趋势,组织应该充分利用网络技术为客户带来更多的价值和竞争差异化优势,同时抢先一步探究新兴风险和威胁。无论是针对近期的市场应用创新进行规划,还是遵守日益严格的监管要求,组织都需要积极评估并制定统一的网络战略,确保数字化业务足够灵活,积极抓住未来机会。
6. 保障网络安全弹性仍然是重点
随着数字化发展的深入,企业的网络攻击面也在进一步加大,因此会面临众多的供应链、地缘政治、网络环境和攻击事件可能,这将带来监管部门越来越严的审查,也给传统的风险防御计划提出了挑战。只有全面分析对核心业务运营构成威胁的场景,组织才能采用合适的方法和技术,以打造安全风险态势感知能力,及时发现新兴威胁,并提升应对威胁的能力。
7. 复杂的供应链攻击或将出现
今天的组织严重依赖供应链,这种高度的依赖性也使得供应链安全和风险成为现代企业组织必须面对的重要挑战。2023年,引入到供应链中的安全威胁在复杂性、规模和频率上都将会持续加大,因此组织需要继续创新并完善其供应链安全和风险转变能力,以保持良好的发展势头。
企业应该部署更加全面的供应链安全防护工具,从基于时间点的第三方评估转向实时监控外来软件以及相关固件、组件中的第三方风险和安全漏洞。
此外,企业还应该积极部署和使用身份及访问管理(IAM)和零信任功能,这些功能可以更有效地确保只有授权的第三方才能访问系统和数据,并减小第三方受攻击导致的后果。
8. 网络安全专业人才缺口继续扩大
随着网络安全风险的广度、复杂性和频率急剧加大,利益相关者(监管机构、董事会和业务人员)对管理网络安全风险的要求越来越大,因此企业组织对技能娴熟、经验丰富的网络人才有着巨大的需求。
由于这种需求加上网络人才短缺(尤其是训练有素的专业技能),组织通常很难快速找到合适的人才,这将严重影响它们管理网络风险的能力。随着这种人才短缺现象越来越严峻,更多的组织会考虑其他出路,比如选择专业的外包服务。不过,为了保持灵活、有效的安全运营流程,组织需要在采用外包策略的同时致力于招募和留住专业网络安全人才。
9. 云安全技术将加快成熟
云服务的普及和DevOps等新型开发方法的出现推动更多组织将业务迁移到云端,这为企业组织业务增长创造了新的发展机会。随着云计算技术日趋成熟,更多的数据和业务职能被托管在云端,组织需要意识到:如果不将安全纳入到转型过程中,代价高昂的数据泄漏和破坏性网络攻击可能会让云计算的好处荡然无存。只有同时积极拥抱安全和数字化转型,并采用零信任原则,组织才能实现云化敏捷安全发展的转型。
10. 工业互联网应用面临不断变化的威胁
随着物联网、大数据、人工智能等先进IT技术的快速发展,制造业为重塑企业核心竞争力,正加速推动IT与OT的融合,改造传统的生产关系与业务流程,从产品研发、业务管理到生产车间全方位推动企业的数字化转型与智能制造。当工业网络从封闭走向开放,工控安全问题也逐渐显现,由于很多关键生产与运营数据属于企业的核心商业机密和资产,一旦泄露,将会给企业带来巨大损失。更重要的是,工控系统承载着事关社会经济乃至国家安全的重要工业数据,一旦被窃取、篡改或流动至境外,将对国家安全造成严重威胁。
工业企业必须要应对好OT安全风险,为此可以采取诸多措施,包括加强设备可见性、实施OT网络分段、部署先进安全工具等。同时,在新的威胁形势下,以大数据分析、AI技术为基础的工控安全统一管理平台将得到更多应用。通过平台化的管控模式,不仅能够实现对多种安全设备的集中监控、系统分析、统一运营,还可以有效提升工业企业的安全风险响应速度与未知威胁感知能力,全面提升工业企业的安全防护能力。
