世界经济论坛发布“全球网络安全展望”,预测新兴技术、新型威胁等
摘译 | 李秋娟/赛博研究院实习研究员
来源 | WEF
2022年对企业安全来说是艰难的一年。战争助长了网络犯罪分子和勒索软件即服务(RaaS)的猖獗。不幸的是,2023年的预计威胁形势可能会变得更糟。当前,各类组织都面临着潜在的、系统性且具有传染性网络风险,它们往往超出任何单一实体的理解或控制。企业领导人开始意识到,网络攻击者正在利用迅速发展新技术,而网络安全法规已成为许多地区合规业务以及高管间对话中更为突出的因素。
01
全球网络环境预测
网络威胁的特征正在改变,具体包括新兴技术、新型威胁和法律法规三方面。
新兴技术
商业和网络领导者对新兴技术的看法较为一致。大多数组织领导人都认识到,机器学习等几个新兴技术领域正在迅速实施,应用于越来越广泛的流程,并将影响组织的网络风险状况。
在本报告的受访者中,AI和机器学习(20%)、云技术的广泛采用(19%)、用户身份和访问管理技术的进步(15%)将在未来两年对企业的网络风险战略产生最大影响;其他新兴技术的影响力同样不可忽视。
这表明,新技术的结合运用将极大地增加组织数字环境的复杂性,在数字转型过程的所有阶段,网络风险管理都十分重要。因此,企业必须在追求新技术创造的价值和迎接随之而来的潜在网络风险之间寻找平衡,以便在未来有效地规避风险。
新型威胁
威胁形势变得越来越不稳定。专业化的网络犯罪集团持续增长,更多攻击类型出现,并对组织造成了大范围系统性的影响。
Fortinet公司首席安全策略师兼全球威胁情报副总裁Derek Manky认为,犯罪集团正在把更多的资源投入到网络犯罪活动中,并开始与民族国家行为体融合,衍生出更多的新型攻击方式和更明确的目标破坏行为,使威胁的波动性逐渐加大。
因此,有必要为企业的战略发展和有效风险管理创造空间,增加CISO及其团队在战术防御上的研发。
网络攻击者有多种形式,动机也各不相同。在网络安全术语中,这些不同的群体通常被捆绑在一起,称为“威胁行为者”(threat actors)。在网络安全领域,攻击者具有结构性优势:他们只需要在整个组织中找到一个可利用的弱点即可发动攻击。这意味着攻击者要比防御者覆盖的范围更少,并且防御或恢复得更快。
2021-2022年间,一系列重大的全球网络事件,迫使许多组织将重点放在监控和评估威胁信息上。在遭受攻击后,网络安全团队有时会被迫忽略战略上重要的防御活动,以解决眼前的战术问题。
从单个组织的角度来看,威胁数据包含大量“噪音”,可能需要花费时间来确定哪些威胁可能对组织的安全和运营产生重大影响;此外,组织的监控和评估周期从每年一次大幅缩短到每季度一次,都增加了组织的机会成本和网安部门的负担。
世界经济论坛的访问和研讨结果表明,将网络风险管理嵌入组织活动的多个部门(如风险管理、业务连续性规划、财务、产品开发等),更容易制定应对威胁环境变化的战略,并使组织在发生网络攻击时更具弹性。
法律法规
报告显示,人们对法律法规和监管活动的看法发生了重大转变。
在2022年的报告中,过半数受访者不同意网络和隐私法规能够有效降低其组织的网络风险。持此观点的人认为,制定网络安全法规的过程定可能耗费较长的时间,但网络攻击只需要几秒钟——新兴技术的实施速度往往超过了推行安全规则的速度,从而无法对组织进行有效保护。
而今年的报告显示,73%的受访者认同了法律法规的有效性。大规模网络安全事件频发,在此背景下,法律法规在将私营部门的资源转移到网络安全防护和网络弹性增强方面的作用愈发明显。
还有76%的商业领导者和70%的网络领导者认为,进一步的执法行动可以提高组织的网络弹性。尽管面临合规相关的挑战,受访者仍然承认政府的依法监管行为带来了许多有效的网络安全行动。他们相信适当的执法行动将提高整个行业和供应链的网络安全质量,使组织的业务更不容易受到网络攻击的波及。
同样地,对网络事件进行调查和处罚,也大幅增加了政策制定者与私营企业之间的接触,提高了监管机构对组织网络弹性关键影响的认识。
02
如何应对网络安全威胁、转变战略思想?
报告提供了丰富的调查数据和研究见解,为增强组织网络弹性、改善部门间沟通提供了可行的建议。包括:
改善沟通
相比去年而言,企业安全高管对其组织的网络弹性水平更为担忧(27%),整体的网络风险意识水平提高(17%)。这可能是由于企业领导人对重大网络攻击对其业务运营、商业关系和声誉损害有了更深刻的认识。
但是,网络威胁的技术性和其对运营造成不良影响的间接性,构成了网络安全高管和商业领导之间合作的障碍。向董事会解释“勒索软件”等常见术语容易,但将网络犯罪活动或威胁行为者定位到特定资产和资源却是很复杂的,量化和评估网络风险同样困难。
因此,需要找到一个共同的出发点,搭建安全部门和企业高管展开对话的桥梁。网络领导者应积极缩小与非技术受众之间的沟通差距,使其建议得到管理者的认同,以便构建风险管理战略。宏观层面(地缘政治)和微观层面(个人数字安全)可以作为讨论组织业务和网络安全的切入点。另外,董事会及其他高管也需要强化对安全团队作用的理解。
审查组织结构设计
调查结果显示,只有25%的受访者表示企业中的CISO会直接向CEO报告。受访的其他安全高管则强调了首席信息官(CIO)作为组织的网络安全倡导者的重要性。因此,网络领导者能够接触到高级业务领导层仍然十分重要。
建立安全文化
安全文化关乎每个员工的认知。参与调查的网络领导者认为,提高员工对网络攻击的认识能够对企业未来的网络弹性能力产生非常积极的影响。一个组织的网络防护能力是随着其员工对网络风险理解的加深而增长的。
在可能的情况下,安全文化应该置于比基本操作培训更为高阶的议题之上。网络领导者可以设置网络安全要求,建议业务部门将其纳入关键绩效指标(KPI),从而促进网络安全相关规定得到执行,并产生正向结果和激励。
缩小网络人才差距
扩大和促进网络招聘中的包容性和多样性,从而增加组织内部网络专业人员的比例。可以改变招聘条件,注重专业或经验的多样性,以便无技术背景、在传统教育体系之外的人也能有机会得到有适合他们的职位。雇用一系列具有不同意见、背景、经验和身份的人,能够获得包括网络安全在内任何场景下更强的洞察力,为组织带来更好的成果。员工入职后,还可以通过培训,使这些成员成为更高效的网络员工。
CYBER RESEARCH INSTITUTE