企业数字化转型的第一步
近期,一项十分权威的研究结果显示:41%的技术领导者将网络安全视为企业创新的主要推动力量。
从2019年新冠流行到现在,数字化转型已达到了空前绝后的地步。与此同时,不断变化的威胁局面意味着企业安全风险正在上升,这使得组织已经在面临着平衡数字化转型与企业安全的艰巨任务。
这项针对301名高级技术管理者的调查发现,网络安全解决方案(22%)是影响业务转型的最重要因素,领先于业务流程(17%)、员工承诺(16%)、领导层关注(14%)和外部投资(13%)。结果显而易见,安全已不再是事后考虑,而是开展数字化转型的第一步。
国内不少专家表示,CISO或CIO正在不断调整企业安全策略,目的在于跟上不断变化的威胁形势。如今,这些角色的演变意味着他们在董事会内部的影响力越来越大,并在塑造企业整体安全战略方面发挥着至关重要的作用。
但是,他们也面临着不少挑战。而目前存在的最主要问题是,如何在员工队伍中贯彻安全意识,如何巩固安全最佳实践,从而匹配业务创新所期望的数字化转型。
从调研中我们发现,大多数企业决策者已认识到安全在促进创新方面的重要性。因此,在数字化转型的过程中,安全问题必须深入到组织的DNA中。为了达成这个目标,文化与技术同样重要。
83%的受访者认为他们拥有开放的安全文化。安全文化在实现更好的安全性、业务转型、增长以及最终业务成功方面起着关键作用。通过以人为本的安全文化,积极创造协作、主动、透明和包容的环境,组织可以赋能员工更加灵活、适应性强和创新的业务转型,从而为组织创造价值。
而其他与人相关的因素,如混合工作模式(27%)、缺乏安全意识(26%)、员工倦怠(26%)和技能短缺(25%),也是组织网络安全中重要的问题。
全球科技巨头如是说
2023年,全球的科技公司高管也分享了他们在2023年的优先事项。
雪佛龙公司CIO表示,网络安全仍然是一个高度优先考虑的问题,这在未来很长一段时间内不会改变。“IT系统的完整性和安全性对公司的运营至关重要,特别是随着我们对IT的依赖和物联网的使用越来越多。”
正是如此。对IT的依赖使网络安全成为一项协同完成的工作,这让CIO与CISO的合作更加密切。一些CIO正专注于支持他们的软件和混合工作环境,还有一些CIO正在实施所谓的“零信任”方法来保护网络和抵御网络攻击。在这种攻击中,任何用户、设备或应用程序都被视为潜在威胁。
戴尔科技公司全球首席技术官约翰·罗斯表示,作为全球商用电脑的制造商,他们正在优先考虑其软件供应链的安全,并开始在2023年拥抱零信任架构的“巨变”。
“如果我们建立了一个基于强大的硬件和软件供应链的零信任架构,我们就实现了在网络攻击者和企业之间的平衡,这是根本性的积极转变。”他说。
瞻博网络公司的CIO莎伦·曼德尔也表示,随着零信任方法变得越来越流行,员工的认可在2023年将变得至关重要。他说:“我们将看到更多的CIO通过加大教育力度,弥补企业安全最大的漏洞——人为因素,并努力使这一过程尽可能地具有成本效益。培养一支防范网络钓鱼和其他数字诈骗意识更强的员工队伍,将带来最大的回报。”
思科系统公司CIO弗莱彻·普雷文则认为,该公司正专注于为远程办公员工解决网络威胁,他们将会在员工的远程办公场所的同一网络段上安装智能设备,筑牢企业安全屏障。言外之意,这家网络设备制造商正在采用零信任架构,以及双因素认证、网络自动化和应用程序扫描等做法。
“威胁形势变得更具挑战性,我们的网络也变得更加漏洞百出。只需要一个失误或放松警惕一分钟,对手就会进来。”他说。
2023年五大网络安全趋势
对于一个有效的网络安全计划,企业首先应该掌握整体威胁环是如何演变的。以下是2023年,企业可以预见的网络安全趋势和威胁。
1
对关键基础设施的灾难性攻击
关键基础设施一直是网络犯罪分子和攻击者的主要目标。鉴于俄乌战争,网络攻击和威胁呈指数级增长。在2021年,美国近90%的关键基础设施受到了一次成功的勒索软件攻击。
近80%的CISO认为世界现在处于网络战争的“永久状态”。
02
“深度伪造”攻击变得更有说服力
深度伪造指人工合成的音频、视频和图像,是一种相对较新的攻击技术。它们作为在诈骗和社会工程攻击中建立信任层的工具,其呈指数级增长。深度造假技术的成熟程度足以骗过大多数毫无戒心的人。
目前,大多数组织都没有意识到“深度伪造”存在的危险,因此没有对员工进行相关培训。但这种情况造成了巨大的风险,甚至会在2023年让企业付出高昂的代价。根据最近的研究判断,“深度伪造”内容的年增长率超过400%,涉及伪造音频和视频的攻击也在增长。国际刑警组织透露,深度造假技术可能很快成为网络犯罪分子的主要工具。
03
新的威胁伴随着元宇宙而出现
最近,元宇宙吸引了大量的目光,他们蜂拥进入虚拟世界。虽然这项技术为社交互动、游戏和商业提供了机会,但攻击者同样也将找到了劫持身份和提取或窃取敏感数据的方法。
如果在区块链上记录了一个元宇宙交互,勒索者和网络犯罪分子就可以跟踪它,从而导致高度复杂和有针对性的诈骗企图。国际刑警组织认为,元宇宙将为网络犯罪铺平新的道路。
04
社交媒体诈骗催生了一个新的安全战场
有预谋的攻击者正在利用社会工程技术进行大规模攻击。他们侵入系统,传播勒索软件或窃取敏感信息。随着社交媒体商务和市场的不断发展,人们越来越依赖数据指标,比如一个人或公司的账户有多少粉丝,账户是否经过验证,账户活跃了多长时间,这使他们更容易受到骗局和网络攻击。
2017年,约有5000人被骗走4200万美元。到2021,近10万人报告称被诈骗,总金额达7.7亿美元。安全专业人士将社会工程评为2023年“最危险”的威胁。
05
企业将注意力转移到安全文化上
2023年,并非所有的事情都是悲观的。正如本文开头所言,向远程和混合办公的模式转变让员工对安全的态度产生了积极影响。良好的安全文化已成为持续培养安全意识的企业的重要标准。
他们意识到,95%的网络安全漏洞是由人为原因造成的,因此强调了建立健全的安全文化的重要性。强大的安全文化可以降低攻击的风险,并将员工作为最后一道防线。87%的科技公司CEO认为,强大的安全文化与技术控制同样重要。
总而言之,2023年,企业不能将网络安全置于数字化转型的次要地位。威胁行为者伺机而动,在不确定的时代蓬勃发展。也许,任何企业在2023年可以采取的最重要的步骤是培养意识文化和建立安全基础。如果他们专注于这两件事,他们将为新的一年和未来做好更充足的准备!
本文来自微信公众号“首席信息官”(ID:CIOmagazine),作者:李伟亮。
