新興威脅與未來展望
[1]網路安全新趨勢與未來展望
這是網路安全領域持續挑戰和機遇不斷湧現的地方。在科技不斷發展、世界飛速變化的時代,新的漏洞不斷出現,需要同樣新的解決方案來緩解這些漏洞。這種觀點是預防性的,它考慮了隨著防禦機制的最新進步,未來可能發生的事情。讓我們看看迄今為止網路安全領域的最新進展,以及未來幾年保護我們數字資產的預告。
網路威脅領域發生的一個關鍵轉變可以定義為對關注點的改變:從資料洩露和經濟利益轉向造成業務中斷和聲譽損害。最近一項調查顯示,大多數受訪者現在認為,網路攻擊者的目標是造成業務中斷和聲譽損害。這兩個因素現在成為最令人擔憂的兩個因素,它們將注意力引向了新一波網路威脅,這些威脅不僅在資料丟失的情況下帶來了挑戰。
可能推動攻擊者改變策略的一些因素包括:對公司運營的破壞性不亞於資料竊取,甚至比資料竊取更具破壞性。一次恰到好處的網路攻擊可以擊垮關鍵系統,使生產線停滯,並造成經濟損失。此外,受損的聲譽可能會影響公司多年。此類網路攻擊可能會導致巨大的業務和客戶信任損失,如果敏感的客戶資料暴露或品牌信任度受到損害。領先的組織正在利用最新的尖端技術,搭乘數字化轉型的浪潮。透過將新技術整合到現有系統中,它們也打開了雙刃劍。多方面的機會很有吸引力,但也增加了 IT 環境的複雜性,使其更容易受到網路風險的影響。的確,領導者們始終都在努力尋找平衡點——最大程度地利用新技術帶來的益處,最大程度地減少相關網路風險。在這裡,我們將深入探討塑造網路犯罪態勢的關鍵新興趨勢,以及它們對未來帶來的挑戰。
這項工作揭示的另一個趨勢是供應鏈攻擊,即攻擊者試圖破壞產品和服務的完整性,從而對供應鏈進行攻擊。最近發生的事件,例如 SolarWinds 漏洞,突出了此類攻擊的嚴重後果,這些攻擊有可能讓企業陷入癱瘓。一組駭客入侵了 SolarWinds 的軟體開發流程,SolarWinds 是管理 IT 店鋪的最大軟體供應商之一。透過這種方式,他們設法在其 Orion 平臺中植入了惡意程式碼,並隨後將其分發給數千名客戶,其中包括政府機構和私營公司。在本報告的 2022 年版本中,近 40% 的受訪公司受到了對其合作伙伴(例如供應商或客戶)的網路攻擊的傷害。攻擊不僅本身造成了干擾,而且發生在公司本身並非攻擊目標的情況下——它們的損失就像“附帶傷害”一樣發生在其他人的網路戰中。因此,自然而然地,幾乎所有受訪者都對合作夥伴的網路安全實力感到擔憂,尤其是那些可以訪問其資料的合作伙伴。供應鏈風險是各行各業普遍關注的問題,會破壞關鍵服務。
該報告還概述了公司中可能存在的利益衝突。在這種情況下,安全主管 (CISO) 向 IT 主管 (CIO) 報告,而 IT 主管可能樂於編制預算。然而,該報告指出,大多數經歷過嚴重網路攻擊的 CIO 往往會變得更加重視安全。這可能表明公司總體文化和對最高層網路風險的認識。解決方案可能在於構建正確的激勵機制,無論彙報線如何。
該報告最後指出,需要更好的網路治理實踐,這些實踐將由世界經濟論壇和國家企業董事會協會等機構制定,以使董事會能夠管理網路風險。
除了不斷變化的數字威脅環境之外,最令人不安的趨勢是網路攻擊所展現出的成熟程度。在持續的迭代過程中,攻擊者不斷改進其技術,改進其方法,並突破這些安全系統以竊取敏感資料或破壞重要服務。推動這種變化的因素很多:從任何組織都可以獲得的強大駭客工具庫,到線上論壇的激增,這些論壇促進了網路犯罪分子之間的更廣泛合作,再到國家支援的駭客組織的興起,這些因素都更加令人擔憂。
擁抱安全意識
每個人都需要意識到並參與到構建良好安全文化的過程中。該研究發現,提高員工對網路威脅存在的意識將是增強網路彈性的最具影響力的方面。一支瞭解並能夠管理網路風險的員工隊伍,將增強整個組織的安全性。它呼籲領導者透過要求他們對運營安全措施負責來進一步賦能業務領導者。例如,將需要高階管理人員進行辯護的安全例外情況可以轉變為重視安全的思維方式。一直以來,安全團隊在提供見解和解決方案方面發揮著至關重要的作用。例如,考慮到人力資源團隊透過使用不安全的附件而暴露的漏洞,安全團隊可能會建議使用安全的入口網站來堵塞漏洞,以免造成損害。良好的安全領導力包括為其他業務部門提供諮詢和嵌入網路風險管理實踐。優秀的安全領導者確保將網路安全要求納入業務部門的 KPI,以確保在整個組織內執行和激勵安全行為。
輕鬆交流
不斷上升的網路安全焦慮:今年,與去年相比,更多安全領導者對組織在網路攻擊後的恢復感到擔憂(17%)。更有趣的是,業務領導者在這方面的焦慮,他們的擔憂從 16% 上升到了 27%。業務領導者的意識正在提高,這可能是因為他們對網路攻擊後果的理解更深入——從運營損失到業務合作伙伴和聲譽的損失。
溝通的挑戰
在令人擔憂的平行趨勢中,安全領導者和業務領導者之間的差距正在接近一致,領導者們正受到溝通問題的阻礙。能夠彌合差距的安全領導者擅長將技術資料轉化為對業務領導者有意義的清晰資訊。這種溝通困難是由於以下原因造成的:將抽象的網路威脅轉化為具體的運營風險。當然,像“勒索軟體”這樣簡單的詞語很容易理解,但是,很難解釋複雜網路攻擊的實際執行方式,尤其是針對特定業務資產和資源的攻擊方式。
- ↑ "2023 年全球網路安全展望". 世界經濟論壇.