2022年行至尾声,回顾这一年,企业组织继续将重点放在降低风险敞口和增强抵御能力上,不断加强自身的勒索软件防御、安全和隐私能力,以确保产品开发、供应链和运营技术(OT)安全。以下是一些有关2023年网络安全形势的预测。
1. 关键基础设施和公共部门将继续成为有吸引力的目标
随着着网络攻击变得越来越复杂,在公共和私营部门之间建立协作社区,对于同步操作和采取统一战线应对关键基础设施威胁至关重要。公共部门已成为网络犯罪分子青睐的目标。有了自动化僵尸网络的加持,攻击者可以更轻松地在计算机系统中寻找易下手的目标。近年来,美国各州和地方政府机构纷纷沦为网络攻击的受害者。
面对越来越多的多样化、复杂和对抗性的网络威胁,传统安全措施已被证明是无效的。公共机构收集和存储着海量敏感数据。与私营部门一样,政府机构也已走向数字化。云计算、移动和SaaS的加入扩大了组织的攻击面,同时也进一步说明了网络安全的强弱取决于组织的弱点。
IT和OT团队必须找到共同点,以消除计划的和意外的IT/OT融合的实质性风险因素。但任务并没有就此结束。与IT安全解决方案协同工作的OT安全解决方案可以成为催化剂,不仅提供了抵御新的网络威胁所需的可见性、安全性和控制,还将这些曾经孤立的团队聚集在一起。
随着对提高系统连通性、加快设备维护和更好地了解资源利用的需求不断增长,互联网OT系统应运而生,其中包括工业控制系统(ICS)和其他系统,如监控和数据采集(SCADA)系统、分布式控制系统(DCS)、远程终端单元(RTUs)和可编程逻辑控制器(PLC)。随着一切都变得面向互联网和云管理,制造业和关键基础设施部门(即医疗保健、制药、化工、发电、石油生产、运输、国防、采矿、食品和农业)正面临着可能比数据泄露更严重的威胁。在未来几年,OT攻击将变得更加普遍,并被用于网络战。
大数据时代的隐私保护,已经受到了世界各国的高度重视。美国、欧盟、中国等国和地区都出台了各种法律法规,来加强个人隐私数据的保护。例如,我国在2019年就发布了《数据安全管理办法(征求意见稿)》,明确了个人信息和重要数据的收集、数据处理使用和安全监督管理的相关标准;2020年3月,国家标准GB/T35273-2020《信息安全技术个人信息安全规范》正式发布;2021年9月《中华人民共和国数据安全法》正式实施。
这些法律法规的公布,为隐私保护的执行奠定了一定的法理依据,但要形成一套完整的法律体系依然任重道远。例如,美国的数据隐私法主要是基于部门的,不同的数据隐私法适用于其他经济部门。如卫生保健领域的HIPAA、教育领域的FERPA、金融领域的GLBA等。虽然这种方法使法律可以根据具体情况进行调整,但它也导致许多企业被豁免于特定的数据隐私监管。
认识到这些差距,未来各国将致力于建立一个全面的框架,以避免控制和处理个人数据的许多企业有漏洞可钻。
弹性不仅仅意味着在威胁显著增加的时刻从跌落中回弹。在处理弹性问题时,关注长期目标而非短期利益是至关重要的。网络安全环境中的弹性应能抵抗、吸收、恢复并适应业务中断。网络弹性不可能一蹴而就。
很长一段时间以来,董事会层面关于获取网络安全信息的对话都围绕着业务语言展开。董事会倾向于制定管理业务风险的战略,而网络安全专业人员倾向于将他们的努力集中在技术、组织和运营层面。根据世界经济论坛的数据,95%的网络安全漏洞是由人为错误造成的。
不幸的是,许多企业仍然错误地认为,网络弹性意味着投资于尖端技术,而很少关注人为因素。修复人类的弱点要从文化开始。企业安全不仅仅是其IT团队的责任,每个员工也有责任。在进行社会工程测试时,需要进行在线知识测试,以了解他们的弱点并进行修复和提升。
随着数字化转型计划的加速,首席安全官(CSO)需要对其组织的网络风险有深入而准确的了解。了解组织风险的细节,应该优先考虑什么,以及如何有效地降低风险,这是为整个组织建立管理威胁的整体计划的最佳基础,同时也是现在乃至2023年网络弹性的优先事项。
2023年MXDR将拥有一个统一平台,可以自动化事件调查,如浓缩、分析、分类和响应,而不是依赖于超负荷的安全工作。组织还将寻求MXDR提供包括24/7监控、关键警报、根本原因分析等功能。
随着预算的全面紧缩,以及对有限的IT和安全人才的竞争日益激烈,“网络安全即服务”(CSaaS)提供商将继续成为许多公司的最佳解决方案。内部安全小组可以专注于其核心任务,因为他们可以依靠合作伙伴专注于特定的媒介。网络安全即服务允许所使用的服务随时间变化并定期重新调整,以确保满足客户的业务需求。
未来近在眼前,数字化转型将加速推动组织的发展。如今,组织中的首席信息安全官(CISO)角色已经发生了转变。CISO领导跨职能团队,以敏捷、前瞻性的安全和隐私策略、投资和计划来迎合数字化转型的速度和巨变。
运营领导者和战术大师都是精通技术和业务的CISO。他们可以提供一致的系统性能,在不断变化的威胁形势下,为整个组织及其生态系统提供安全和隐私。
我们必须停止孤立运作,与所有业务参与者建立关系,将“情景思维”和响应能力嵌入组织网络功能中。但同样重要的是,要解决第一部分问题,董事会需要积极规划和准备应对网络危机;只有了解了风险,企业才能处于正确的战略位置,成功地应对风险。
随着2023年计划的启动,看看在预算讨论中出现了多少零信任计划,有多少产品投资与该计划相关,以及更重要的是,哪些是真正的零信任计划,哪些只是为了节省开支?这将是一件很有趣的事情。处于零信任早期战略阶段的组织需要把它看作一个“多年计划”,这个计划可能已经开始成型,但它并不一定适合您现在的需求。许多团队将努力将新兴的零信任策略(如安全网格、SASE等)转化为实际实现,这将进一步需要有助于实际实施和加速零信任数据倡议的方法。
业务和网络安全的成功是密切相关的。随着董事会在网络风险监督中的作用演变,与组织内部的网络影响者进行强有力对话变得尤为重要。如果董事会和网络/风险团队之间没有密切的沟通,组织可能会面临更大的风险。如果这听起来像是一次网络安全训练,那是因为它确实是!为董事会培养具有业务头脑的网络安全从业者,让他们充当训练有素的“理性之声”,这并不是一个坏主意。
最优秀的企业之所以能够蓬勃发展,是因为它们的最高层人员能够在危机逼近时根据明智的决策实施控制。在2023年,把网络安全排除在成功等式之外无疑是冒险之举。网络安全团队应该用以下内容“装备”董事会:
明确阐述当前业务各方面(不仅仅是IT)面临的网络风险;
近期网络事件的摘要、处理方法和经验教训;
概述短期和长期路线图,描述组织将如何继续发展其网络能力以应对新的、扩大的威胁面,包括确保进展的相关问责;
提供支持基本性能的有意义指标,以及成功管理优先级网络风险的风险指标;
毫无疑问,网络安全应该成为想要保持增长的企业的首要关注点。但在一个不断变化的环境中,随着新威胁和新技术的不断发展,改进和扩大网络安全工作极具挑战性。更糟糕的是,网络安全劳动力危机将会加剧。
充斥着众多功能的网络安全产品表现出对“整合”的迫切需求,未来是关于网络平台的,而非孤立的功能集。重点不应该只是发现问题,而应该是补救。我们需要一种技术,它可以通过简单的实现来显示即时价值。每个人都在谈论技术支出,但却忘记了所有推广和维护技术平台的劳动,以及将网络视为一种服务的原因。
当前的全球形势正在考验我们的弹性。随着组织不断进行数字化转型,它产生了新的和更高的网络风险担忧。对于希望帮助企业适应这些变化的同时继续创新的领导者来说,保护这些数字连接需要放在首位。
来源:嘶吼专业版