與此同時(shí),我們面對的對手不再局限于單個(gè)參與者——包括高度復(fù)雜的組織,這些組織利用人工智能和機(jī)器學(xué)習(xí)的集成工具和能力。威脅的范圍也越來越大,沒有任何組織可以幸免。中小型企業(yè)、政府機(jī)構(gòu)與大公司一樣面臨此類風(fēng)險(xiǎn)。即使是當(dāng)今最復(fù)雜的網(wǎng)絡(luò)控制,無論多么有效,也很快就會(huì)過時(shí)。
在這種環(huán)境下,企業(yè)組織的領(lǐng)導(dǎo)層必須回答關(guān)鍵問題:“我們準(zhǔn)備好在未來三到五年內(nèi)加速數(shù)字化了嗎?” 更具體地說,“我們是否足夠期待以了解今天的技術(shù)投資將如何對未來的網(wǎng)絡(luò)安全產(chǎn)生影響?” (圖 1)。
圖1:全球網(wǎng)絡(luò)威脅正在提升
麥肯錫幫助全球組織加強(qiáng)其網(wǎng)絡(luò)防御的工作表明,許多企業(yè)認(rèn)識(shí)到有必要在其網(wǎng)絡(luò)安全能力方面實(shí)現(xiàn)階躍變化并確保其技術(shù)的彈性。解決方案是通過前瞻性來加強(qiáng)他們的防御——預(yù)測未來新興的網(wǎng)絡(luò)威脅,并了解企業(yè)今天可以使用的大量新防御能力以及他們可以計(jì)劃在明天使用的其他防御能力。
具有大規(guī)模影響的三種網(wǎng)絡(luò)安全趨勢
企業(yè)只有從今天開始采取更加積極主動(dòng)、前瞻性的立場,才能應(yīng)對和減輕未來的干擾。在接下來的三到五年內(nèi),麥肯錫預(yù)計(jì)三大網(wǎng)絡(luò)安全趨勢交叉多種技術(shù)將對組織產(chǎn)生最大影響。
1.隨著云的重要性越來越大,企業(yè)越來越多地負(fù)責(zé)存儲(chǔ)、管理和保護(hù)這些數(shù)據(jù)
移動(dòng)平臺(tái)、遠(yuǎn)程工作和其他轉(zhuǎn)變越來越依賴于對無處不在的大型數(shù)據(jù)集的高速訪問,從而加劇了數(shù)據(jù)泄露的可能性。到 2026 年,網(wǎng)絡(luò)托管服務(wù)市場預(yù)計(jì)將產(chǎn)生 1831.8 億美元。組織收集更多關(guān)于客戶的數(shù)據(jù)——從金融交易到用電量再到社交媒體視圖——以了解和影響購買行為并更有效地預(yù)測需求。2020 年,地球上的每個(gè)人平均每秒創(chuàng)建 1.7 兆字節(jié)的數(shù)據(jù)。
隨著云的重要性越來越大,企業(yè)越來越多地負(fù)責(zé)存儲(chǔ)、管理和保護(hù)這些數(shù)據(jù)以及應(yīng)對爆炸性數(shù)據(jù)量的挑戰(zhàn)。為了執(zhí)行這樣的商業(yè)模式,企業(yè)需要新的技術(shù)平臺(tái),包括可以跨環(huán)境聚合信息的數(shù)據(jù)湖,例如供應(yīng)商和合作伙伴的渠道資產(chǎn)。企業(yè)不僅在收集更多數(shù)據(jù),而且還在集中它們,將它們存儲(chǔ)在云中,并授予包括供應(yīng)商等第三方在內(nèi)的一系列人員和組織的訪問權(quán)限。
最近許多備受矚目的攻擊都利用了這種擴(kuò)展的數(shù)據(jù)訪問權(quán)限。2020 年的 Sunburst 黑客攻擊導(dǎo)致惡意代碼在定期軟件更新期間傳播給客戶。同樣,攻擊者在 2020 年初使用來自頂級連鎖酒店的第三方應(yīng)用的受損員工憑證訪問了超過 500 萬條客人記錄。
2. 黑客正在使用人工智能、機(jī)器學(xué)習(xí)和其他技術(shù)發(fā)起越來越復(fù)雜的攻擊
單獨(dú)工作的傳統(tǒng)黑客不再是主要威脅。今天,網(wǎng)絡(luò)黑客是一個(gè)價(jià)值數(shù)十億美元的企業(yè), 完善的機(jī)構(gòu)等級制度和研發(fā)預(yù)算。攻擊者使用先進(jìn)的工具,例如人工智能、機(jī)器學(xué)習(xí)和自動(dòng)化。在接下來的幾年里,他們將能夠加快從偵察到利用的端到端攻擊生命周期——從幾周到幾天或幾小時(shí)。例如,Emotet 是一種針對銀行的高級惡意軟件,可以改變其攻擊的性質(zhì)。2020 年,它利用先進(jìn)的 AI 和機(jī)器學(xué)習(xí)技術(shù)來提高其有效性,使用自動(dòng)化流程發(fā)送情境化的網(wǎng)絡(luò)釣魚電子郵件,這些電子郵件劫持了其他電子郵件威脅——其中一些與 COVID-19 通信有關(guān)。
其他技術(shù)和功能正在使已知的攻擊形式(例如勒索軟件和網(wǎng)絡(luò)釣魚)更加普遍。勒索軟件即服務(wù)和加密貨幣大大降低了發(fā)起勒索軟件攻擊的成本,自 2019 年以來,勒索軟件攻擊的數(shù)量每年翻一番。其他類型的中斷通常會(huì)引發(fā)這些攻擊的激增。例如,在 2020 年 2 月至 2020 年 3 月的第一波 COVID-19 期間,全球勒索軟件攻擊的數(shù)量激增了 148%。從 2020 年 1 月到 2020 年 2 月,網(wǎng)絡(luò)釣魚攻擊增加了 510%。
3. 不斷增長的監(jiān)管環(huán)境以及資源、知識(shí)和人才方面的持續(xù)差距將超過網(wǎng)絡(luò)安全
許多組織缺乏足夠的網(wǎng)絡(luò)安全人才、知識(shí)和專業(yè)知識(shí)——而且這種短缺正在擴(kuò)大。從廣義上講,網(wǎng)絡(luò)風(fēng)險(xiǎn)管理沒有跟上數(shù)字和分析轉(zhuǎn)型的發(fā)展步伐,許多企業(yè)不確定如何識(shí)別和管理數(shù)字風(fēng)險(xiǎn)。使挑戰(zhàn)更加復(fù)雜的是,監(jiān)管機(jī)構(gòu)正在增加對企業(yè)網(wǎng)絡(luò)安全能力的指導(dǎo)——通常對金融服務(wù)中的信用和流動(dòng)性風(fēng)險(xiǎn)以及關(guān)鍵基礎(chǔ)設(shè)施中的運(yùn)營和物理安全風(fēng)險(xiǎn)進(jìn)行相同程度的監(jiān)督和關(guān)注。
網(wǎng)絡(luò)風(fēng)險(xiǎn)管理沒有跟上數(shù)字和分析轉(zhuǎn)型的發(fā)展步伐,許多企業(yè)不確定如何識(shí)別和管理數(shù)字風(fēng)險(xiǎn)。
與此同時(shí),企業(yè)面臨著更嚴(yán)格的合規(guī)要求——這是日益嚴(yán)重的隱私問題和備受矚目的違規(guī)行為的結(jié)果。以美國為例,現(xiàn)在大約有 100 條跨境數(shù)據(jù)流法規(guī)。網(wǎng)絡(luò)安全團(tuán)隊(duì)正在管理額外的數(shù)據(jù)和報(bào)告要求,這些要求源于白宮關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令以及移動(dòng)電話操作系統(tǒng)的出現(xiàn),這些操作系統(tǒng)詢問用戶他們希望如何使用來自每個(gè)單獨(dú)應(yīng)用程序的數(shù)據(jù)。
建立超前的防御能力
對于這些轉(zhuǎn)變中的每一個(gè),我們都看到了組織可以開發(fā)的防御能力,以減輕未來網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)和影響。需要明確的是,這些能力并沒有完美地映射到單個(gè)班次,而且很多都適用于不止一個(gè)班次。管理團(tuán)隊(duì)?wèi)?yīng)考慮所有這些能力,并專注于與公司的獨(dú)特情況和背景最相關(guān)的能力(圖 2)。
圖2:網(wǎng)絡(luò)攻擊種類與頻率都在持續(xù)增加
對趨勢一的回應(yīng):零信任能力和用于安全目的的大型數(shù)據(jù)集
減輕按需訪問無處不在的數(shù)據(jù)帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)需要四種網(wǎng)絡(luò)安全能力:零信任能力、行為分析、彈性日志監(jiān)控和同態(tài)加密。
零信任架構(gòu) (ZTA)。在整個(gè)工業(yè)國家,大約 25% 的工人現(xiàn)在每周遠(yuǎn)程工作三到五天。混合和遠(yuǎn)程工作、增加的云訪問以及物聯(lián)網(wǎng) (IoT) 集成會(huì)產(chǎn)生潛在的漏洞。ZTA 將網(wǎng)絡(luò)防御的重點(diǎn)從物理網(wǎng)絡(luò)周圍的靜態(tài)邊界轉(zhuǎn)移到用戶、資產(chǎn)和資源上,從而降低分散數(shù)據(jù)的風(fēng)險(xiǎn)。訪問由策略更精細(xì)地強(qiáng)制執(zhí)行:即使用戶可以訪問數(shù)據(jù)環(huán)境,他們也可能無法訪問敏感數(shù)據(jù)。組織應(yīng)該根據(jù)他們實(shí)際面臨的威脅和風(fēng)險(xiǎn)環(huán)境以及他們的業(yè)務(wù)目標(biāo)來調(diào)整零信任能力的采用。他們還應(yīng)該考慮進(jìn)行紅隊(duì)測試,以驗(yàn)證其零信任能力的有效性和覆蓋范圍。
行為分析。員工是組織的關(guān)鍵漏洞。分析解決方案可以監(jiān)控訪問請求或設(shè)備運(yùn)行狀況等屬性,并建立基線以識(shí)別異常的有意或無意用戶行為或設(shè)備活動(dòng)。這些工具不僅可以啟用基于風(fēng)險(xiǎn)的身份驗(yàn)證和授權(quán),還可以協(xié)調(diào)預(yù)防和事件響應(yīng)措施。
大型數(shù)據(jù)集的彈性日志監(jiān)控。大數(shù)據(jù)和物聯(lián)網(wǎng)等進(jìn)步產(chǎn)生的海量數(shù)據(jù)集和分散式日志使監(jiān)控活動(dòng)的挑戰(zhàn)變得復(fù)雜。彈性日志監(jiān)控是一種基于多個(gè)開源平臺(tái)的解決方案,當(dāng)這些平臺(tái)結(jié)合使用時(shí),企業(yè)可以將組織中任何地方的日志數(shù)據(jù)提取到一個(gè)位置,然后實(shí)時(shí)搜索、分析和可視化數(shù)據(jù)。核心工具中的原生日志采樣功能可以減輕組織的日志管理負(fù)擔(dān)并澄清潛在的妥協(xié)。
同態(tài)加密。該技術(shù)允許用戶在不首先解密的情況下使用加密數(shù)據(jù),從而使第三方和內(nèi)部合作者可以更安全地訪問大型數(shù)據(jù)集。它還可以幫助企業(yè)滿足更嚴(yán)格的數(shù)據(jù)隱私要求。最近在計(jì)算能力和性能方面的突破現(xiàn)在使同態(tài)加密適用于更廣泛的應(yīng)用。
應(yīng)對趨勢二:使用自動(dòng)化應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊
為了應(yīng)對由人工智能和其他高級功能驅(qū)動(dòng)的更復(fù)雜的攻擊,組織應(yīng)該采取基于風(fēng)險(xiǎn)的方法來實(shí)現(xiàn)自動(dòng)化和對攻擊的自動(dòng)響應(yīng)。自動(dòng)化應(yīng)側(cè)重于防御能力,如安全運(yùn)營中心 (SOC) 對策和勞動(dòng)密集型活動(dòng),如身份和訪問管理 (IAM) 和報(bào)告。應(yīng)該使用人工智能和機(jī)器學(xué)習(xí)來跟上不斷變化的攻擊模式。最后,針對勒索軟件威脅的自動(dòng)化技術(shù)和自動(dòng)化組織響應(yīng)的開發(fā)有助于降低發(fā)生攻擊時(shí)的風(fēng)險(xiǎn)。
通過基于風(fēng)險(xiǎn)的方法實(shí)現(xiàn)自動(dòng)化。隨著數(shù)字化水平的提高,組織可以使用自動(dòng)化來處理低風(fēng)險(xiǎn)和死記硬背的流程,從而為更高價(jià)值的活動(dòng)騰出資源。至關(guān)重要的是,自動(dòng)化決策應(yīng)基于風(fēng)險(xiǎn)評估和細(xì)分,以確保不會(huì)無意中產(chǎn)生額外的漏洞。例如,組織可以對低風(fēng)險(xiǎn)資產(chǎn)應(yīng)用自動(dòng)補(bǔ)丁、配置和軟件升級,但對高風(fēng)險(xiǎn)資產(chǎn)使用更直接的監(jiān)督。
將防御性人工智能和機(jī)器學(xué)習(xí)用于網(wǎng)絡(luò)安全。就像攻擊者采用人工智能和機(jī)器學(xué)習(xí)技術(shù)一樣,網(wǎng)絡(luò)安全團(tuán)隊(duì)也需要發(fā)展和擴(kuò)大相同的能力。具體來說,組織可以使用這些技術(shù)和異常模式來檢測和修復(fù)不合規(guī)的系統(tǒng)。團(tuán)隊(duì)還可以利用機(jī)器學(xué)習(xí)來優(yōu)化工作流程和技術(shù)堆棧,以便隨著時(shí)間的推移以最有效的方式使用資源。
對勒索軟件的技術(shù)和組織響應(yīng)。隨著勒索軟件攻擊的復(fù)雜性、頻率和范圍的增加,組織必須應(yīng)對技術(shù)和運(yùn)營變化。技術(shù)變化包括使用彈性數(shù)據(jù)存儲(chǔ)庫和基礎(chǔ)設(shè)施、對惡意加密的自動(dòng)響應(yīng)和高級多因素身份驗(yàn)證以限制攻擊的潛在影響,以及不斷解決網(wǎng)絡(luò)衛(wèi)生問題。組織變革包括進(jìn)行桌面練習(xí)、制定詳細(xì)的多維劇本,以及為所有選項(xiàng)和突發(fā)事件(包括執(zhí)行響應(yīng)決策)做好準(zhǔn)備,以使業(yè)務(wù)響應(yīng)自動(dòng)化。
對趨勢三的回應(yīng):將安全嵌入技術(shù)能力以解決日益增長的監(jiān)管審查和資源缺口
監(jiān)管審查的加強(qiáng)以及知識(shí)、人才和專業(yè)知識(shí)方面的差距加強(qiáng)了在設(shè)計(jì)、構(gòu)建和實(shí)施技術(shù)能力時(shí)構(gòu)建和嵌入安全性的需求。此外,安全即代碼和軟件物料清單等功能可幫助組織部署安全功能并領(lǐng)先于監(jiān)管機(jī)構(gòu)的詢問。
安全的軟件開發(fā)。企業(yè)不應(yīng)將網(wǎng)絡(luò)安全視為事后的想法,而應(yīng)從一開始就將其嵌入軟件設(shè)計(jì)中,包括使用軟件材料清單(如下所述)。創(chuàng)建安全軟件開發(fā)生命周期 (SSDLC) 的一種重要方法是讓安全和技術(shù)風(fēng)險(xiǎn)團(tuán)隊(duì)在每個(gè)開發(fā)階段與開發(fā)人員進(jìn)行互動(dòng)。另一個(gè)是確保開發(fā)人員了解開發(fā)團(tuán)隊(duì)自己最能使用的某些安全功能(例如,威脅建模、代碼和基礎(chǔ)設(shè)施掃描,以及靜態(tài)和動(dòng)態(tài)測試)。根據(jù)活動(dòng)的不同,一些安全團(tuán)隊(duì)可以轉(zhuǎn)向敏捷產(chǎn)品方法,一些可以采用基于敏捷看板票的混合方法,還有一些——尤其是高度專業(yè)化的團(tuán)隊(duì),
利用 X 作為服務(wù)。將工作負(fù)載和基礎(chǔ)架構(gòu)遷移到第三方云環(huán)境(例如平臺(tái)即服務(wù)、基礎(chǔ)架構(gòu)即服務(wù)和超大規(guī)模提供商)可以更好地保護(hù)組織資源并簡化網(wǎng)絡(luò)團(tuán)隊(duì)的管理。云提供商不僅處理許多日常安全、修補(bǔ)和維護(hù)活動(dòng),還提供自動(dòng)化功能和可擴(kuò)展服務(wù)。一些組織為了簡單起見尋求整合供應(yīng)商,但戰(zhàn)略性地使合作伙伴多樣化以限制性能或可用性問題的風(fēng)險(xiǎn)也很重要。
基礎(chǔ)設(shè)施和安全即代碼。標(biāo)準(zhǔn)化和編碼基礎(chǔ)設(shè)施和控制工程流程可以簡化混合和多云環(huán)境的管理并提高系統(tǒng)的彈性。這種方法支持編排補(bǔ)丁以及快速配置和取消配置等流程。
軟件物料清單。隨著合規(guī)性要求的增長,組織可以通過正式詳細(xì)說明軟件中使用的所有組件和供應(yīng)鏈關(guān)系來減輕管理負(fù)擔(dān)。與詳細(xì)的材料清單一樣,該文檔將通過新的軟件開發(fā)流程、代碼掃描工具、行業(yè)標(biāo)準(zhǔn)和供應(yīng)鏈要求列出代碼庫中的開源和第三方組件。除了減輕供應(yīng)鏈風(fēng)險(xiǎn)外,詳細(xì)的軟件文檔還有助于確保安全團(tuán)隊(duì)為監(jiān)管調(diào)查做好準(zhǔn)備。
總結(jié)
數(shù)字化顛覆是不可避免的,并將導(dǎo)致技術(shù)驅(qū)動(dòng)的快速變革。隨著組織對技術(shù)進(jìn)行大規(guī)模投資——無論是出于創(chuàng)新精神還是出于必要——他們必須意識(shí)到相關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。攻擊者正在利用新技術(shù)引入的漏洞,在這個(gè)加速發(fā)展的數(shù)字世界中,即使是最好的網(wǎng)絡(luò)控制也會(huì)迅速過時(shí)。尋求在未來五年內(nèi)最有效地定位自己的組織將需要采取不懈和積極主動(dòng)的方法來建立超視距防御能力。
