隨著世界變得更加數(shù)字化、規(guī)范化和互聯(lián)化，風(fēng)險(xiǎn)也在增加，但企業(yè)可以采取措施減少網(wǎng)絡(luò)安全威脅帶來的影響。

自從發(fā)生新冠疫情以來，網(wǎng)絡(luò)世界已成為一個(gè)風(fēng)險(xiǎn)更大的領(lǐng)域。根據(jù)英國(guó)保險(xiǎn)商Hiscox公司日前發(fā)布的2022年網(wǎng)絡(luò)安全準(zhǔn)備情況報(bào)告，美國(guó)和歐洲近一半(48%)的企業(yè)在過去一年中經(jīng)歷了網(wǎng)絡(luò)攻擊。更令人擔(dān)憂的是，盡管企業(yè)將其網(wǎng)絡(luò)安全支出翻了一番，但這些網(wǎng)絡(luò)攻擊仍在發(fā)生。

網(wǎng)絡(luò)安全如今正處于一個(gè)關(guān)鍵的轉(zhuǎn)折點(diǎn)，其中有5個(gè)趨勢(shì)將使網(wǎng)絡(luò)安全威脅形勢(shì)比以前報(bào)告的更危險(xiǎn)、更復(fù)雜、管理成本更高。為了更好地了解這種威脅形勢(shì)的演變，以下做了詳細(xì)的介紹。

1、一切都變得數(shù)字化

根據(jù)調(diào)研機(jī)構(gòu)麥肯錫公司發(fā)布的一份調(diào)查報(bào)告，新冠疫情導(dǎo)致網(wǎng)絡(luò)連接性的突然增長(zhǎng)，這可以將政府和企業(yè)的數(shù)字化轉(zhuǎn)型加快將近七年的時(shí)間。隨著基礎(chǔ)設(shè)施和相關(guān)服務(wù)比疫情發(fā)生之前更容易訪問，網(wǎng)絡(luò)攻擊者也獲得了大量的機(jī)會(huì)來危害遠(yuǎn)程用戶、易受攻擊的系統(tǒng)和防御。

新冠疫情還迫使企業(yè)變得更加依賴數(shù)字化。根據(jù)Ladders公司日前發(fā)布的一份研究報(bào)告，美國(guó)今年將近25%的工作崗位都是遠(yuǎn)程工作，預(yù)計(jì)在2023年這一數(shù)字將會(huì)增加。傳統(tǒng)上在辦公室環(huán)境中保護(hù)員工的網(wǎng)絡(luò)安全邊界如今已變得無(wú)關(guān)緊要。很多員工采用個(gè)人設(shè)備訪問企業(yè)資源，使用不安全的公共Wi-Fi網(wǎng)絡(luò)，并使企業(yè)面臨更大的違規(guī)和網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

2、企業(yè)的運(yùn)營(yíng)環(huán)境成為生態(tài)系統(tǒng)

企業(yè)正在向更多的制造商、供應(yīng)鏈供應(yīng)商、合作伙伴開放他們的基礎(chǔ)設(shè)施和資源，以共享信息并減少貿(mào)易壁壘。這些變化給企業(yè)帶來了網(wǎng)絡(luò)風(fēng)險(xiǎn)，因?yàn)楣芾怼⒈Ｗo(hù)和規(guī)范超出企業(yè)控制范圍的生態(tài)系統(tǒng)具有挑戰(zhàn)性。根據(jù)NCC集團(tuán)的一項(xiàng)研究，去年供應(yīng)鏈中的網(wǎng)絡(luò)攻擊事件增加了51%。

3、物理世界和數(shù)字世界的重疊

隨著物理世界和數(shù)字世界的重疊，將會(huì)出現(xiàn)一種混合威脅格局，其中網(wǎng)絡(luò)空間的攻擊將對(duì)物理世界產(chǎn)生影響(反之亦然)。這可能以業(yè)務(wù)中斷、威脅基礎(chǔ)設(shè)施的物理安全、機(jī)密數(shù)據(jù)被盜或丟失、訴訟甚至生命損失的形式出現(xiàn)。根據(jù)Gartner公司的預(yù)測(cè)，網(wǎng)絡(luò)攻擊者將利用運(yùn)營(yíng)技術(shù)(金融系統(tǒng)、燃料或天然氣管道、電網(wǎng)、供水、醫(yī)療保健或互聯(lián)網(wǎng)本身)危害人們的人身安全。

4、新技術(shù)帶來新風(fēng)險(xiǎn)

物聯(lián)網(wǎng)、多云、5G和邊緣計(jì)算等技術(shù)的出現(xiàn)將會(huì)創(chuàng)造黑客攻擊者可以利用的數(shù)百億個(gè)入口點(diǎn)。人工智能技術(shù)將受到操縱，甚至可能使偏見制度化，并做出不公平甚至不安全的判斷。世界的連接性越強(qiáng)，破壞的可能性就越大。

5、法規(guī)變得更加復(fù)雜

網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件的大規(guī)模激增使得各國(guó)政府迫切需要規(guī)范網(wǎng)絡(luò)空間的活動(dòng)。幾乎每個(gè)國(guó)家都在發(fā)布某種形式的數(shù)據(jù)保護(hù)或隱私立法。這些法規(guī)正在迅速發(fā)展，并且取決于企業(yè)經(jīng)營(yíng)所在的地理區(qū)域，跟蹤和實(shí)施法規(guī)要求可能是一項(xiàng)復(fù)雜的工作。不合規(guī)會(huì)使企業(yè)掉入陷阱，包括運(yùn)營(yíng)失敗、代價(jià)高昂的罰款和處罰，以及失去客戶信任。

有助于提高網(wǎng)絡(luò)安全性能的最佳實(shí)踐

企業(yè)可以遵循以下這些最佳實(shí)踐來提升網(wǎng)絡(luò)安全性能：

• 識(shí)別、優(yōu)先考慮和實(shí)施圍繞風(fēng)險(xiǎn)的控制。定期評(píng)估安全成熟度。
• 采用ISO27001或NIST網(wǎng)絡(luò)安全框架等框架。采取有組織的安全方法的企業(yè)可以更快地檢測(cè)違規(guī)行為，并在關(guān)鍵網(wǎng)絡(luò)安全指標(biāo)上優(yōu)于其他企業(yè)。
• 發(fā)展以人為本的網(wǎng)絡(luò)安全。評(píng)估員工的反應(yīng)、行為和模式，以創(chuàng)建適應(yīng)網(wǎng)絡(luò)安全價(jià)值觀和風(fēng)險(xiǎn)的員工文化。
• 加強(qiáng)供應(yīng)鏈。定期執(zhí)行供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估，關(guān)注關(guān)鍵供應(yīng)商，監(jiān)控風(fēng)險(xiǎn)敞口，并終止不符合安全標(biāo)準(zhǔn)的供應(yīng)商的流程。
• 避免使用太多工具。遵循平臺(tái)方法，而不是部署一組不同的技術(shù)。確保企業(yè)的網(wǎng)絡(luò)安全是多層次的措施，同時(shí)關(guān)注人員、流程和技術(shù)。
• 優(yōu)先保護(hù)關(guān)鍵資產(chǎn)。注意對(duì)關(guān)鍵基礎(chǔ)設(shè)施的潛在攻擊可能造成的損害。
• 盡可能實(shí)現(xiàn)自動(dòng)化。網(wǎng)絡(luò)安全人才已經(jīng)供不應(yīng)求，監(jiān)控整個(gè)威脅面似乎勢(shì)不可擋。投資網(wǎng)絡(luò)安全工具始終是一個(gè)好主意，這些工具利用人工智能和機(jī)器學(xué)習(xí)為工作人員的努力提供補(bǔ)充，并加快威脅檢測(cè)和響應(yīng)時(shí)間。
• 定期監(jiān)控安全指標(biāo)，以幫助企業(yè)領(lǐng)導(dǎo)者深入了解企業(yè)中的安全有效性、合規(guī)性和安全意識(shí)水平。

網(wǎng)絡(luò)安全始終是一項(xiàng)正在進(jìn)行的工作。在整個(gè)攻擊面上具有前瞻性的可見性和場(chǎng)景是有效風(fēng)險(xiǎn)管理的關(guān)鍵。這有助于了解哪些漏洞如果被利用會(huì)對(duì)業(yè)務(wù)造成最大危害。而并非所有風(fēng)險(xiǎn)都可以緩解，必須接受一些風(fēng)險(xiǎn)并進(jìn)行權(quán)衡。