信息化觀察網(wǎng)

本文來(lái)自安全牛。

在過(guò)去幾個(gè)月，包括Uber、思科、Twilio和Rockstar Games在內(nèi)的大型企業(yè)組織均不幸淪為了網(wǎng)絡(luò)攻擊的受害者。由此可以看出，對(duì)各種類(lèi)型的企業(yè)而言，想做好網(wǎng)絡(luò)安全建設(shè)工作都并非易事。最近，德勤公司的多位資深網(wǎng)絡(luò)安全分析師在接受專(zhuān)業(yè)媒體VentureBeat采訪時(shí)，對(duì)2023年網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展態(tài)勢(shì)進(jìn)行了戰(zhàn)略性預(yù)測(cè)。分析師們認(rèn)為，針對(duì)安全威脅的長(zhǎng)遠(yuǎn)準(zhǔn)備和增強(qiáng)組織網(wǎng)絡(luò)安全彈性，將會(huì)成為幫助組織有效防范潛在威脅的關(guān)鍵性因素。

1.安全防護(hù)將從董事會(huì)開(kāi)始

保障網(wǎng)絡(luò)安全并不是簡(jiǎn)單的技術(shù)性問(wèn)題，2023年的網(wǎng)絡(luò)威脅形勢(shì)將會(huì)更加復(fù)雜，這將促進(jìn)企業(yè)董事會(huì)在網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)管方面發(fā)揮更加重要的作用。獲得客戶信任與業(yè)務(wù)持續(xù)增長(zhǎng)之間有高度的關(guān)聯(lián)性，董事會(huì)的參與有助于將網(wǎng)絡(luò)安全定位于組織數(shù)字化發(fā)展戰(zhàn)略賦能者，以加強(qiáng)客戶、供應(yīng)商、員工和股東之間的關(guān)系。

只有認(rèn)識(shí)到穩(wěn)健的網(wǎng)絡(luò)安全態(tài)勢(shì)對(duì)業(yè)務(wù)發(fā)展有直接影響，董事會(huì)才能更有效地監(jiān)督網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理活動(dòng)。美國(guó)證券交易委員會(huì)（SEC）最近的提案中再次強(qiáng)調(diào)了應(yīng)該加風(fēng)險(xiǎn)治理和管理，并及時(shí)通知投資者，董事會(huì)則是實(shí)現(xiàn)這些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制目標(biāo)的核心。

2.攻擊面管理得到更多重視

很多組織目前已部署了與物聯(lián)網(wǎng)相連的設(shè)備，但往往缺乏足夠的安全治理。隨著聯(lián)網(wǎng)設(shè)備數(shù)量日益增加，與它們相連的網(wǎng)絡(luò)和生態(tài)系統(tǒng)的攻擊面也隨之?dāng)U大，從而導(dǎo)致了安全、數(shù)據(jù)和隱私風(fēng)險(xiǎn)激增。

在2023年，領(lǐng)先的組織將致力于各種聯(lián)網(wǎng)設(shè)備和資產(chǎn)的網(wǎng)絡(luò)安全實(shí)踐，為此制定或更新相關(guān)的管理政策和程序，更充分清點(diǎn)當(dāng)前的網(wǎng)絡(luò)資產(chǎn)，監(jiān)控和修補(bǔ)設(shè)備，在注重安全的情況下完善設(shè)備采購(gòu)和處置實(shí)踐，將物聯(lián)網(wǎng)和IT網(wǎng)絡(luò)深度融合關(guān)聯(lián)，實(shí)現(xiàn)更密切地監(jiān)控聯(lián)網(wǎng)設(shè)備，以進(jìn)一步確保這些端點(diǎn)的安全和事件響應(yīng)。

3.安全性成為新興技術(shù)能否落地的挑戰(zhàn)

隨著物聯(lián)網(wǎng)、區(qū)塊鏈、5G、量子及其他技術(shù)的應(yīng)用繼續(xù)加快，與這些技術(shù)相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)繼續(xù)凸顯出來(lái)。盡管采用這些技術(shù)將有助于推動(dòng)組織的數(shù)字化轉(zhuǎn)型，實(shí)現(xiàn)更快的戰(zhàn)略增長(zhǎng)計(jì)劃，然而如何確保這些技術(shù)的可靠應(yīng)用，將有賴(lài)于組織能否實(shí)施與之匹配的安全管理措施。

4.隱私保護(hù)成為贏得客戶信任的前提

組織與客戶之間的數(shù)字化互動(dòng)已是一種發(fā)展常態(tài)，調(diào)查數(shù)據(jù)顯示，目前企業(yè)組織平均有近72%的客戶溝通連接活動(dòng)是通過(guò)數(shù)字化方式來(lái)實(shí)現(xiàn)。因此，客戶需要對(duì)其數(shù)據(jù)擁有更大控制權(quán)，同時(shí)希望企業(yè)在數(shù)據(jù)處理方面增加透明度。只有組織可以證明自己值得信任，客戶才更愿意共享數(shù)據(jù)，并購(gòu)買(mǎi)其服務(wù)產(chǎn)品。因此，組織需要有一種緊迫感以贏得客戶信任，將數(shù)據(jù)隱私、安全和合規(guī)視為不可或缺的有效機(jī)制，不斷加強(qiáng)客戶的溝通體驗(yàn)和品牌認(rèn)知。

5.網(wǎng)絡(luò)安全需要長(zhǎng)遠(yuǎn)的規(guī)劃和準(zhǔn)備

通過(guò)研究過(guò)去幾年的網(wǎng)絡(luò)安全變化，可以發(fā)現(xiàn)組織需要盡快為未來(lái)做好長(zhǎng)遠(yuǎn)規(guī)劃和準(zhǔn)備。組織需要在不斷變化中，持續(xù)性地完善網(wǎng)絡(luò)風(fēng)險(xiǎn)管理實(shí)踐，并尋求創(chuàng)新。由于更多的技術(shù)突破和不斷變化的威脅趨勢(shì)，組織應(yīng)該充分利用網(wǎng)絡(luò)技術(shù)為客戶帶來(lái)更多的價(jià)值和競(jìng)爭(zhēng)差異化優(yōu)勢(shì)，同時(shí)搶先一步探究新興風(fēng)險(xiǎn)和威脅。無(wú)論是針對(duì)近期的市場(chǎng)應(yīng)用創(chuàng)新進(jìn)行規(guī)劃，還是遵守日益嚴(yán)格的監(jiān)管要求，組織都需要積極評(píng)估并制定統(tǒng)一的網(wǎng)絡(luò)戰(zhàn)略，確保數(shù)字化業(yè)務(wù)足夠靈活，積極抓住未來(lái)機(jī)會(huì)。

6.保障網(wǎng)絡(luò)安全彈性仍然是重點(diǎn)

隨著數(shù)字化發(fā)展的深入，企業(yè)的網(wǎng)絡(luò)攻擊面也在進(jìn)一步加大，因此會(huì)面臨眾多的供應(yīng)鏈、地緣政治、網(wǎng)絡(luò)環(huán)境和攻擊事件可能，這將帶來(lái)監(jiān)管部門(mén)越來(lái)越嚴(yán)的審查，也給傳統(tǒng)的風(fēng)險(xiǎn)防御計(jì)劃提出了挑戰(zhàn)。只有全面分析對(duì)核心業(yè)務(wù)運(yùn)營(yíng)構(gòu)成威脅的場(chǎng)景，組織才能采用合適的方法和技術(shù)，以打造安全風(fēng)險(xiǎn)態(tài)勢(shì)感知能力，及時(shí)發(fā)現(xiàn)新興威脅，并提升應(yīng)對(duì)威脅的能力。

7.復(fù)雜的供應(yīng)鏈攻擊或?qū)⒊霈F(xiàn)

今天的組織嚴(yán)重依賴(lài)供應(yīng)鏈，這種高度的依賴(lài)性也使得供應(yīng)鏈安全和風(fēng)險(xiǎn)成為現(xiàn)代企業(yè)組織必須面對(duì)的重要挑戰(zhàn)。2023年，引入到供應(yīng)鏈中的安全威脅在復(fù)雜性、規(guī)模和頻率上都將會(huì)持續(xù)加大，因此組織需要繼續(xù)創(chuàng)新并完善其供應(yīng)鏈安全和風(fēng)險(xiǎn)轉(zhuǎn)變能力，以保持良好的發(fā)展勢(shì)頭。

企業(yè)應(yīng)該部署更加全面的供應(yīng)鏈安全防護(hù)工具，從基于時(shí)間點(diǎn)的第三方評(píng)估轉(zhuǎn)向?qū)崟r(shí)監(jiān)控外來(lái)軟件以及相關(guān)固件、組件中的第三方風(fēng)險(xiǎn)和安全漏洞。

此外，企業(yè)還應(yīng)該積極部署和使用身份及訪問(wèn)管理（IAM）和零信任功能，這些功能可以更有效地確保只有授權(quán)的第三方才能訪問(wèn)系統(tǒng)和數(shù)據(jù)，并減小第三方受攻擊導(dǎo)致的后果。

8.網(wǎng)絡(luò)安全專(zhuān)業(yè)人才缺口繼續(xù)擴(kuò)大

隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的廣度、復(fù)雜性和頻率急劇加大，利益相關(guān)者（監(jiān)管機(jī)構(gòu)、董事會(huì)和業(yè)務(wù)人員）對(duì)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的要求越來(lái)越大，因此企業(yè)組織對(duì)技能嫻熟、經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)人才有著巨大的需求。

由于這種需求加上網(wǎng)絡(luò)人才短缺（尤其是訓(xùn)練有素的專(zhuān)業(yè)技能），組織通常很難快速找到合適的人才，這將嚴(yán)重影響它們管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力。隨著這種人才短缺現(xiàn)象越來(lái)越嚴(yán)峻，更多的組織會(huì)考慮其他出路，比如選擇專(zhuān)業(yè)的外包服務(wù)。不過(guò)，為了保持靈活、有效的安全運(yùn)營(yíng)流程，組織需要在采用外包策略的同時(shí)致力于招募和留住專(zhuān)業(yè)網(wǎng)絡(luò)安全人才。

9.云安全技術(shù)將加快成熟

云服務(wù)的普及和DevOps等新型開(kāi)發(fā)方法的出現(xiàn)推動(dòng)更多組織將業(yè)務(wù)遷移到云端，這為企業(yè)組織業(yè)務(wù)增長(zhǎng)創(chuàng)造了新的發(fā)展機(jī)會(huì)。隨著云計(jì)算技術(shù)日趨成熟，更多的數(shù)據(jù)和業(yè)務(wù)職能被托管在云端，組織需要意識(shí)到：如果不將安全納入到轉(zhuǎn)型過(guò)程中，代價(jià)高昂的數(shù)據(jù)泄漏和破壞性網(wǎng)絡(luò)攻擊可能會(huì)讓云計(jì)算的好處蕩然無(wú)存。只有同時(shí)積極擁抱安全和數(shù)字化轉(zhuǎn)型，并采用零信任原則，組織才能實(shí)現(xiàn)云化敏捷安全發(fā)展的轉(zhuǎn)型。

10.工業(yè)互聯(lián)網(wǎng)應(yīng)用面臨不斷變化的威脅

隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等先進(jìn)IT技術(shù)的快速發(fā)展，制造業(yè)為重塑企業(yè)核心競(jìng)爭(zhēng)力，正加速推動(dòng)IT與OT的融合，改造傳統(tǒng)的生產(chǎn)關(guān)系與業(yè)務(wù)流程，從產(chǎn)品研發(fā)、業(yè)務(wù)管理到生產(chǎn)車(chē)間全方位推動(dòng)企業(yè)的數(shù)字化轉(zhuǎn)型與智能制造。當(dāng)工業(yè)網(wǎng)絡(luò)從封閉走向開(kāi)放，工控安全問(wèn)題也逐漸顯現(xiàn)，由于很多關(guān)鍵生產(chǎn)與運(yùn)營(yíng)數(shù)據(jù)屬于企業(yè)的核心商業(yè)機(jī)密和資產(chǎn)，一旦泄露，將會(huì)給企業(yè)帶來(lái)巨大損失。更重要的是，工控系統(tǒng)承載著事關(guān)社會(huì)經(jīng)濟(jì)乃至國(guó)家安全的重要工業(yè)數(shù)據(jù)，一旦被竊取、篡改或流動(dòng)至境外，將對(duì)國(guó)家安全造成嚴(yán)重威脅。

工業(yè)企業(yè)必須要應(yīng)對(duì)好OT安全風(fēng)險(xiǎn)，為此可以采取諸多措施，包括加強(qiáng)設(shè)備可見(jiàn)性、實(shí)施OT網(wǎng)絡(luò)分段、部署先進(jìn)安全工具等。同時(shí)，在新的威脅形勢(shì)下，以大數(shù)據(jù)分析、AI技術(shù)為基礎(chǔ)的工控安全統(tǒng)一管理平臺(tái)將得到更多應(yīng)用。通過(guò)平臺(tái)化的管控模式，不僅能夠?qū)崿F(xiàn)對(duì)多種安全設(shè)備的集中監(jiān)控、系統(tǒng)分析、統(tǒng)一運(yùn)營(yíng)，還可以有效提升工業(yè)企業(yè)的安全風(fēng)險(xiǎn)響應(yīng)速度與未知威脅感知能力，全面提升工業(yè)企業(yè)的安全防護(hù)能力。