乌卡时代企业面临的网络安全挑战日益严峻,根据网络犯罪杂志的预测数据,2023年全球网络犯罪“GDP”可能高达8万亿美元,成为仅次于中美的第三大“经济体”。
如何在数字化转型攻击面和资产暴露面不断扩大的同时,有效地预防和管理安全风险,提高安全弹性和恢复力,已经成为今天企业面临的最复杂和艰巨的挑战之一。
近日,德勤的安全分析师们分享了他们对2023年的网络安全战略预测,希望能帮助企业调整安全策略,更好地管理和控制暴露面。十大预测的目录和详情如下:
1.董事会的“网络安全就续”将成为企业的当务之急
2.物联网设备的可见性和安全性将成为大多数企业关注的主要领域
3.新兴技术的安全性对其能否被采用至关重要
4.以数据为中心的安全和隐私将成为建立品牌和客户信任的必要条件
5.聚焦未来的前瞻性策略
6.组织韧性将继续成为焦点
7.复杂的供应链安全风险将不断涌现
8.由于严重的网络安全人才短缺和不断增长的劳动力成本,企业安全人才整合和外包将成为趋势
9.云安全方法、产品和技术将加速成熟
10.制造业工控OT网络面临不断演变的威胁
一、董事会的“网络安全就续”将成为企业的当务之急
“随着网络威胁形势的不断发展和复杂化,董事会在网络风险监督中的作用变得越来越重要。随着越来越多的企业同等重视客户信任与业务增长,董事会将把网络安全定位为战略推动因素,以在客户、供应商、员工和股东之间建立更牢固的关系。
认识到稳健的网络安全态势可直接对财务产生价值,董事会将更有效地监督网络安全风险管理活动。美国证券交易委员会最近提出的强调治理、风险管理、战略和及时通知投资者的提案也在鼓励企业领导者围绕网络安全和风险重新思考和发展当下与未来的商业模式。”
——德勤美国网络危机管理负责人
Mary Galligan
二、物联网设备的可见性和安全性将成为大多数企业关注的主要领域
“多年来,大多数企业都部署了物联网连接设备,但通常没有足够的安全治理。随着联网设备数量的增长,它们所连接的网络和生态系统的攻击面也在增长,从而带来成倍增加的安全、数据和隐私风险。
领先的企业建立或更新其物联网安全政策和程序,更新其物联网设备的资产清单,监控和修补设备,以更安全的方式进行设备采购和处置,将物联网与IT网络关联起来,更密切地监控连接的设备,以进一步保护端点、管理漏洞和响应事件。”
——德勤美国网络物联网负责人
Wendy Frank
三、安全性是新兴技术能否普及的关键因素
“随着物联网、区块链、5G、量子计算等技术应用的不断加速,与这些技术相关的网络安全风险不断显现。
采用这些技术将有助于管理企业的战略增长计划,但是,这些新兴技术应用能否持续成功将取决于企业是否具备安全实施和管理新技术风险的能力。”
——德勤美国网络与战略风险转型与新兴技术负责人
Kieran Norton
四、以数据为中心的安全和隐私将成为建立品牌和客户信任的必要条件
“企业与客户之间的数字化互动是一种新的生活方式——一个组织近72%的客户互动都是数字化的。这提高了客户对更好地控制其数据并提高组织政策透明度的期望。
客户希望能够更好地控制自己的数据,并提高组织数据处理政策的透明度——用户通常在公司受到信任的情况下才会提高参与度。
因此,企业越来越迫切地需要建立信任维度,并将数据隐私、安全性和合规性作为支持传统方法的机制,以加强客户体验和品牌认知度。”
——德勤美国数据和隐私网络和战略风险负责人
Criss Bradbury
五、聚焦未来的前瞻性策略
“过去几年世界向我们展示了变化发生的速度有多快——从行业动态到地缘政治气候、颠覆性技术和企业优先事项,这强调了为未来做好准备的必要性。唯一不变的是变化,这也给我们带来了发展和创新网络风险管理实践的机会。
随着更多的技术突破和频繁变化的市场趋势,企业面临大量机会利用网络为客户带来更多价值和竞争优势,同时先发制人地预防和化解新兴风险和威胁。
无论是规划近期市场创新,还是遵守日益严格的监管和报告要求,企业都需要积极评估并制定统一的网络安全战略,使业务足够敏捷,以便在不确定性机会出现时抓住它。”
——德勤美国网络与战略风险主管
Deborah Golden
六、组织韧性将继续成为焦点
“随着业务数字化的继续,企业在全球市场中的联系越来越紧密,攻击面不断扩大,业务中断的频率和影响也在同步增加。企业的传统风险计划正面临大量供应链、地缘政治、环境和网络攻击事件的挑战,并受到越来越多的监管审查。
企业需要整合核心业务的威胁场景视图,部署新技术,开发对新兴威胁的态势感知能力以及响应业务中断的能力。”
——德勤美国网络风险服务基础设施实践技术弹性负责人
Pete Renneker
七、复杂的供应链安全风险将不断涌现
“当今高度互联的全球经济导致企业严重依赖其供应链——从实体和数字产品中的组件到日常运营所需的服务。
这种关键的相互依存关系使得供应链安全和风险转型成为当今全球互联企业的当务之急。
企业现在需要一种整体方法,从基于时间点的第三方安全评估转向实时监控入站软件报和固件中的第三方风险和漏洞。
例如,实施包括软件物料清单(SBOM)在内的供应链安全实践技术,并与新出现的漏洞相关联,识别风险指标,例如底层组件的地理来源,提供对传递依赖性的可见性。
企业还需要聚焦身份和访问管理(IAM)以及零信任功能的部署和运营,这些安全方案可以更好地控制第三方对系统和数据的访问,减少第三方网络安全事件的连带后果。
供应链威胁的复杂性、规模和频率都在不断升级和演变,因此企业需要不断创新并提高其供应链安全成熟度。”
——德勤美国网络风险安全供应链负责人
Sharon Chand
八、由于严重的网络人才短缺和不断增长的劳动力成本,组织人才整合和外包将演变
“随着网络安全风险的广度、复杂性和频率每天呈指数级增长,以及利益相关者(监管机构、董事会和员工)管理网络安全风险的压力越来越大——企业对熟练和经验丰富的网络人才有着巨大的需求。
这种需求加上网络人才市场短缺,尤其是训练有素的专业技能组合,使得吸引和培训小众、稀缺人才变得极其困难。网络安全人才不足正影响企业的网络风险管理能力。
随着人才短缺的持续加剧,更多企业将考虑替代方案,例如核心网络安全职能的外包和管理。为了保持敏捷并优化运营流程,企业需要在设法聘用和留住专业网络安全人才的同时,实施外包战略。”
——德勤美国网络与战略风险主管
Deborah Golden
九、云安全方法、产品和技术将加速成熟
“云服务的激增和devops等新开发方法的出现正在创造前所未有的可能性,促使许多企业将现有应用迁移到云端。“上云”可以加速产品开发、增强可扩展性和协作、增加新的收入流、提高业务敏捷性和技术弹性,为业务增长提供了新的机会。
随着云端部署的成熟以及越来越多的数据和业务功能托管在云中,越来越多的企业意识到,如果安全性没有融入到转型过程中,成本高昂的监管成本和破坏性的网络攻击可能会抹杀“云优势”。
基于“安全+数字化转型”双管齐下的策略,企业可以通过充分利用云架构的交叉性、可增强开发人员体验得“设计安全”流程,实施零信任方法,实现敏捷的安全转型。”
——德勤美国网络云负责人
Vikram Kunchala
十、工业OT网络面临的威胁不断增长
“网络攻击者越来越多地将OT环境武器化,以攻击控制工业流程和保护OT网络的硬件和软件。熟练劳动力的短缺以及重叠的IT和OT环境大大提高了遏制网络攻击的难度。
组织可以实施威胁识别、检测和预防控制方案来管理OT安全风险,这些方案包括提高设备的可见性、实施OT网络分段、为OT环境实施安全工具、关联来自OT和IT网络的安全信息,以及建立能够同时解决IT和OT安全问题的安全运营中心(SOC)。”
——德勤美国和全球网络OT主管
Ramsey Hajj
—-数据来源:GoUpSec 微信公众号