与此同时,我们面对的对手不再局限于单个参与者——包括高度复杂的组织,这些组织利用人工智能和机器学习的集成工具和能力。威胁的范围也越来越大,没有任何组织可以幸免。中小型企业、政府机构与大公司一样面临此类风险。即使是当今最复杂的网络控制,无论多么有效,也很快就会过时。
在这种环境下,企业组织的领导层必须回答关键问题:“我们准备好在未来三到五年内加速数字化了吗?” 更具体地说,“我们是否足够期待以了解今天的技术投资将如何对未来的网络安全产生影响?” (图 1)。
图1:全球网络威胁正在提升
麦肯锡帮助全球组织加强其网络防御的工作表明,许多企业认识到有必要在其网络安全能力方面实现阶跃变化并确保其技术的弹性。解决方案是通过前瞻性来加强他们的防御——预测未来新兴的网络威胁,并了解企业今天可以使用的大量新防御能力以及他们可以计划在明天使用的其他防御能力。
具有大规模影响的三种网络安全趋势
企业只有从今天开始采取更加积极主动、前瞻性的立场,才能应对和减轻未来的干扰。在接下来的三到五年内,麦肯锡预计三大网络安全趋势交叉多种技术将对组织产生最大影响。
1.随着云的重要性越来越大,企业越来越多地负责存储、管理和保护这些数据
移动平台、远程工作和其他转变越来越依赖于对无处不在的大型数据集的高速访问,从而加剧了数据泄露的可能性。到 2026 年,网络托管服务市场预计将产生 1831.8 亿美元。组织收集更多关于客户的数据——从金融交易到用电量再到社交媒体视图——以了解和影响购买行为并更有效地预测需求。2020 年,地球上的每个人平均每秒创建 1.7 兆字节的数据。
随着云的重要性越来越大,企业越来越多地负责存储、管理和保护这些数据以及应对爆炸性数据量的挑战。为了执行这样的商业模式,企业需要新的技术平台,包括可以跨环境聚合信息的数据湖,例如供应商和合作伙伴的渠道资产。企业不仅在收集更多数据,而且还在集中它们,将它们存储在云中,并授予包括供应商等第三方在内的一系列人员和组织的访问权限。
最近许多备受瞩目的攻击都利用了这种扩展的数据访问权限。2020 年的 Sunburst 黑客攻击导致恶意代码在定期软件更新期间传播给客户。同样,攻击者在 2020 年初使用来自顶级连锁酒店的第三方应用的受损员工凭证访问了超过 500 万条客人记录。
2. 黑客正在使用人工智能、机器学习和其他技术发起越来越复杂的攻击
单独工作的传统黑客不再是主要威胁。今天,网络黑客是一个价值数十亿美元的企业, 完善的机构等级制度和研发预算。攻击者使用先进的工具,例如人工智能、机器学习和自动化。在接下来的几年里,他们将能够加快从侦察到利用的端到端攻击生命周期——从几周到几天或几小时。例如,Emotet 是一种针对银行的高级恶意软件,可以改变其攻击的性质。2020 年,它利用先进的 AI 和机器学习技术来提高其有效性,使用自动化流程发送情境化的网络钓鱼电子邮件,这些电子邮件劫持了其他电子邮件威胁——其中一些与 COVID-19 通信有关。
其他技术和功能正在使已知的攻击形式(例如勒索软件和网络钓鱼)更加普遍。勒索软件即服务和加密货币大大降低了发起勒索软件攻击的成本,自 2019 年以来,勒索软件攻击的数量每年翻一番。其他类型的中断通常会引发这些攻击的激增。例如,在 2020 年 2 月至 2020 年 3 月的第一波 COVID-19 期间,全球勒索软件攻击的数量激增了 148%。从 2020 年 1 月到 2020 年 2 月,网络钓鱼攻击增加了 510%。
3. 不断增长的监管环境以及资源、知识和人才方面的持续差距将超过网络安全
许多组织缺乏足够的网络安全人才、知识和专业知识——而且这种短缺正在扩大。从广义上讲,网络风险管理没有跟上数字和分析转型的发展步伐,许多企业不确定如何识别和管理数字风险。使挑战更加复杂的是,监管机构正在增加对企业网络安全能力的指导——通常对金融服务中的信用和流动性风险以及关键基础设施中的运营和物理安全风险进行相同程度的监督和关注。
网络风险管理没有跟上数字和分析转型的发展步伐,许多企业不确定如何识别和管理数字风险。
与此同时,企业面临着更严格的合规要求——这是日益严重的隐私问题和备受瞩目的违规行为的结果。以美国为例,现在大约有 100 条跨境数据流法规。网络安全团队正在管理额外的数据和报告要求,这些要求源于白宫关于改善国家网络安全的行政命令以及移动电话操作系统的出现,这些操作系统询问用户他们希望如何使用来自每个单独应用程序的数据。
建立超前的防御能力
对于这些转变中的每一个,我们都看到了组织可以开发的防御能力,以减轻未来网络威胁的风险和影响。需要明确的是,这些能力并没有完美地映射到单个班次,而且很多都适用于不止一个班次。管理团队应考虑所有这些能力,并专注于与公司的独特情况和背景最相关的能力(图 2)。
图2:网络攻击种类与频率都在持续增加
对趋势一的回应:零信任能力和用于安全目的的大型数据集
减轻按需访问无处不在的数据带来的网络安全风险需要四种网络安全能力:零信任能力、行为分析、弹性日志监控和同态加密。
零信任架构 (ZTA)。在整个工业国家,大约 25% 的工人现在每周远程工作三到五天。混合和远程工作、增加的云访问以及物联网 (IoT) 集成会产生潜在的漏洞。ZTA 将网络防御的重点从物理网络周围的静态边界转移到用户、资产和资源上,从而降低分散数据的风险。访问由策略更精细地强制执行:即使用户可以访问数据环境,他们也可能无法访问敏感数据。组织应该根据他们实际面临的威胁和风险环境以及他们的业务目标来调整零信任能力的采用。他们还应该考虑进行红队测试,以验证其零信任能力的有效性和覆盖范围。
行为分析。员工是组织的关键漏洞。分析解决方案可以监控访问请求或设备运行状况等属性,并建立基线以识别异常的有意或无意用户行为或设备活动。这些工具不仅可以启用基于风险的身份验证和授权,还可以协调预防和事件响应措施。
大型数据集的弹性日志监控。大数据和物联网等进步产生的海量数据集和分散式日志使监控活动的挑战变得复杂。弹性日志监控是一种基于多个开源平台的解决方案,当这些平台结合使用时,企业可以将组织中任何地方的日志数据提取到一个位置,然后实时搜索、分析和可视化数据。核心工具中的原生日志采样功能可以减轻组织的日志管理负担并澄清潜在的妥协。
同态加密。该技术允许用户在不首先解密的情况下使用加密数据,从而使第三方和内部合作者可以更安全地访问大型数据集。它还可以帮助企业满足更严格的数据隐私要求。最近在计算能力和性能方面的突破现在使同态加密适用于更广泛的应用。
应对趋势二:使用自动化应对日益复杂的网络攻击
为了应对由人工智能和其他高级功能驱动的更复杂的攻击,组织应该采取基于风险的方法来实现自动化和对攻击的自动响应。自动化应侧重于防御能力,如安全运营中心 (SOC) 对策和劳动密集型活动,如身份和访问管理 (IAM) 和报告。应该使用人工智能和机器学习来跟上不断变化的攻击模式。最后,针对勒索软件威胁的自动化技术和自动化组织响应的开发有助于降低发生攻击时的风险。
通过基于风险的方法实现自动化。随着数字化水平的提高,组织可以使用自动化来处理低风险和死记硬背的流程,从而为更高价值的活动腾出资源。至关重要的是,自动化决策应基于风险评估和细分,以确保不会无意中产生额外的漏洞。例如,组织可以对低风险资产应用自动补丁、配置和软件升级,但对高风险资产使用更直接的监督。
将防御性人工智能和机器学习用于网络安全。就像攻击者采用人工智能和机器学习技术一样,网络安全团队也需要发展和扩大相同的能力。具体来说,组织可以使用这些技术和异常模式来检测和修复不合规的系统。团队还可以利用机器学习来优化工作流程和技术堆栈,以便随着时间的推移以最有效的方式使用资源。
对勒索软件的技术和组织响应。随着勒索软件攻击的复杂性、频率和范围的增加,组织必须应对技术和运营变化。技术变化包括使用弹性数据存储库和基础设施、对恶意加密的自动响应和高级多因素身份验证以限制攻击的潜在影响,以及不断解决网络卫生问题。组织变革包括进行桌面练习、制定详细的多维剧本,以及为所有选项和突发事件(包括执行响应决策)做好准备,以使业务响应自动化。
对趋势三的回应:将安全嵌入技术能力以解决日益增长的监管审查和资源缺口
监管审查的加强以及知识、人才和专业知识方面的差距加强了在设计、构建和实施技术能力时构建和嵌入安全性的需求。此外,安全即代码和软件物料清单等功能可帮助组织部署安全功能并领先于监管机构的询问。
安全的软件开发。企业不应将网络安全视为事后的想法,而应从一开始就将其嵌入软件设计中,包括使用软件材料清单(如下所述)。创建安全软件开发生命周期 (SSDLC) 的一种重要方法是让安全和技术风险团队在每个开发阶段与开发人员进行互动。另一个是确保开发人员了解开发团队自己最能使用的某些安全功能(例如,威胁建模、代码和基础设施扫描,以及静态和动态测试)。根据活动的不同,一些安全团队可以转向敏捷产品方法,一些可以采用基于敏捷看板票的混合方法,还有一些——尤其是高度专业化的团队,
利用 X 作为服务。将工作负载和基础架构迁移到第三方云环境(例如平台即服务、基础架构即服务和超大规模提供商)可以更好地保护组织资源并简化网络团队的管理。云提供商不仅处理许多日常安全、修补和维护活动,还提供自动化功能和可扩展服务。一些组织为了简单起见寻求整合供应商,但战略性地使合作伙伴多样化以限制性能或可用性问题的风险也很重要。
基础设施和安全即代码。标准化和编码基础设施和控制工程流程可以简化混合和多云环境的管理并提高系统的弹性。这种方法支持编排补丁以及快速配置和取消配置等流程。
软件物料清单。随着合规性要求的增长,组织可以通过正式详细说明软件中使用的所有组件和供应链关系来减轻管理负担。与详细的材料清单一样,该文档将通过新的软件开发流程、代码扫描工具、行业标准和供应链要求列出代码库中的开源和第三方组件。除了减轻供应链风险外,详细的软件文档还有助于确保安全团队为监管调查做好准备。
总结
数字化颠覆是不可避免的,并将导致技术驱动的快速变革。随着组织对技术进行大规模投资——无论是出于创新精神还是出于必要——他们必须意识到相关的网络风险。攻击者正在利用新技术引入的漏洞,在这个加速发展的数字世界中,即使是最好的网络控制也会迅速过时。寻求在未来五年内最有效地定位自己的组织将需要采取不懈和积极主动的方法来建立超视距防御能力。