当下,我们生活在一个网络无处不在的世界,其中,数字化转型持续加速,远程办公日趋普及。科技创新及其驱动的创新文化,似乎已远超出我们能够认知、衡量并应对这些成倍增长的风险的能力。
尽管风险环境日益严峻,数字化转型和迁移上云仍是客户的首要任务。数据在企业内的流动,它不仅仅能提高效率,还能推动新的价值创造方式,连通各业务线并丰富客户体验。我们的调查数据凸显了数据迁移的特——94%的受访首席财务官表示他们正考虑将其财务系统或企业资源规划(ERP)系统迁移上云。
当前情况 当下,企业为保持竞争力,采用融合自建基础设施与混合IT架构,并与第三方云供应商开展合作等一系列信息技术举措。这些复杂的集成环境需要不同于传统内部IT架构的新型管理形式。受访的大多数首席信息官和首席信息安全官(41%)表示,如何转型以及了解日益复杂的混合生态系统是其面临的最大挑战。
新冠疫情不仅造成市场压力,还宣告着远程办公时代的到来。无论大型还是小型企业,都在迅速变革工作环境,随之而来的就是网络攻击面大大增加,但企业往往很少甚至没有时间考虑安全问题。毫无意外,攻击事件频繁发生。
69%的受访者称在2020年初至2021年5月的期间,其企业受到的威胁有所增加或显著增加,各行业和各地区均是如此。在受访的全球首席高管中,有32%表示运营中断是最大的影响,其次是知识产权盗窃(22%)和股价下跌(19%)。
持续验证,从不轻信 在被问及管理企业网络安全的最大障碍时,受访者将跨越复杂边界的数据管理排在首位(44%),其次是更好地划定企业网络风险的优先顺序(31%)。所幸的是现在部署零信任方案(Zero Trust)已然可行,使用基于持续风险评估的实时访问决策替换简单的实体验证。在实施过程中,它是对当今网络生态系统网络边界模糊的有效应对,认为架构内每个组件都有弱点,每一层设施均需要保护。
得益于近期计算能力的提升,企业中零信任架构的出现和采用到企业中广泛的文化变革,揭示了网络安全的角色如何转变,其重要性如何提升。零信任不仅仅是一种技术修复,它是一套相互交织、洞悉敌对活动及相关业务风险、并变革于消减风险的方案集合。这种洞察需要IT部门和业务部门之间的协调,以及整个企业的安全意识提升和培训。
重构网络防御
黑客变得越来越老练,也越来越了解资产的市场价值——无论是医药知识产权、工程和产品专利、客户或其他关键数据——企业将继续增加其网络防御预算。在总年收入超过300亿美元的受访者中,近75%表示,今年在网络安全方面的投入将超过1亿美元。
随之而来的挑战即是,如何确保这些投入能够提高在日益复杂的混合网络生态系统中被放大的风险的透明度。
除获得技术和经验外,还要求企业进行组织变革,以推动从企业到合作伙伴和第三方供应商的有计划的治理。技术在发展,首席信息安全官的职责也在改变。随着网络在企业中蔓延渗透,必须重新定位首席信息安全官在企业架构中的位置。除简化汇报线外,增进与首席执行官的关系也有利于加强首席信息官对业务优先事项的理解并及时捕捉创新。
首席信息安全官,这一新的运营角色在企业内更高的参与度,能够确保网络安全团队将必须满足的要求、技术方案和控制措施完全嵌入到创新举措中。这不仅在一开始就将风险降到最低,还能将产品和服务开发的整体风险降到最低。
鉴于网络安全对企业深度文化影响,因此我们今年将调研范围从直接监管网络安全的负责人扩大到网络安全的最广大的拥护群体:首席执行官、首席财务官、首席营销官、首席信息官以及首席信息安全官。他们的观点彼此相似,但在不同地区和行业还是存在差异。
尽管没有简单的组织或技术解决方案能够洞察支撑现代企业日益复杂的集成网络生态,但是,却有许多组织、文化和运营方面的措施,一旦结合使用,可以促使企业将网络安全嵌入其业务举措和企业文化的核心,嵌入其不断发展的技术生态系统。
下一代技术发展将继续打造更加互联互通的世界,在此次报告中,我们探索了其中部分措施并强调了企业洞悉现时技术复杂性和未来技术变革能力的重要性。
网络安全及转型挑战
创新型业务模式不仅仅是简单地将现有流程数字化,其正在覆盖供应链并打造新颖的客户体验。这种转型也使企业面临新的网络风险,要求企业采用新的网络战略保护不断发展的业务模式。
为管理这些风险,公司高管和董事会成员需拥抱变革,实施跨业务线的有效治理,并演进风险管理流程以实现对所有新接入业务的端到端可见度洞察,也包括由第三方承接运营的业务领域。能否成功取决于企业高级管理层的承诺,以及在网络安全方面有效投入的同时,他们理解网络安全风险的能力。
在被问及如何对其未来一年的数字化转型举措进行排序时,16%的受访者将数据分析列为首要任务,15%选择云技术,另有15%选择新购或升级ERP系统。在今年的调研中, 增加了OT/ICS(运营技术/工业控制系统)的问题以及回应选项(14%认为其是首要任务),这表明整个行业正在努力实现工厂和运营技术环境的数字化和现代化。
真正具有颠覆性的是变革的速度和规模。新冠疫情爆发后,整个世界都转向线上活动,这种颠覆立刻变得更加明显。随着企业大量员工远程协作,所有企业部门几乎立刻转型。所幸大部分所需的生态系统,从云到 Shadow IT (影子IT设施) 到 ICS(工业控制系统),均已就位并准备好迅速扩张。但不太明显的是这种转变背后存在着网络风险,目前很少有企业掌握识别并缓释网络风险至可接受水平的的方法。
由于网络威胁会影响整个企业,可能使业务瘫痪并迅速摧毁来之不易的声誉,因此董事会务必要以他们能够理解的方式评估网络风险。他们需要将网络威胁与其擅长处理的风险进行比较,熟练分析网络风险情况,就像其了解资产负债表的健康情况一样。一旦他们能够理解其所面临的网络风险的性质和规模,他们才知道如何分配资源才能最好地减轻风险。
此次调研发现,41%的受访者使用网络成熟度评估指导网络投资决策;35%使用风险量化工具;23%称其依赖于公司网络领导层的经验。当被问及对新的和/或现有应用程序进行风险分析/威胁建模的频率时,37%的首席信息官和首席信息安全官表示他们每季度进行一次,29%每月进行一次。
尽管这些评估通常属于首席信息官和首席信息安全官的职责范畴,但更多的利益相关者也务必要了解这些工作的相关性和重要性。
保护没有边界的网络世界
在传统环境中,IT资源均包含在明确的网络边界内。外部流量不得信任,而所有内部流量得以信任。现在呢?我们生活在一个高度互联的世界,一切事物的联系都日益紧密。对于大多数现代企业而言,网络边界基本上已经消失。
72%的受访者表示,其所在企业仅在去年就经历了1至10起网络攻击和数据泄露事件。如今企业面临的挑战是“如何才能完全消除固有的信任”?这对我们如何建立现代安全架构而言是一次颠覆性变革。幸运的是,零信任安全架构能够满足要求。
零信任并非一种技术或单一的解决方案,而是一套基于“持续验证,从不轻信”这一基本原则的安全架构策略。其理念是将传统的基于边界或“城堡与护城河式” 的安全管理方式,转变为按需在单个资源与客户之间构建信任的安全管理方式。在零信任模式下,用户将基于经不断重新验证的内外部因素建立可信连接。
大多数企业已经有意或无意地走上了“零信任”之旅,所采用方法因战术、架构或战略的主导程度而不同。虽然零信任适用于所有行业和领域,但并不能提供一个 “万能”的解决方案。零信任是一项历时多年的倡议,是一次打破业务、IT和各网络领域之间数据孤岛的变革。任何零信任之旅都将面临荆棘阻碍,需要整个企业给予强有力的领导层支持、投资和认同才能确保成功。
您需要考量与企业相关的业务驱动因素、现有功能和用例。牢记网络安全基本原理至关重要:您想要保护哪些资产?这些资产在哪里?谁(身份)和哪些(设备)应能够访问这些资产,且须满足哪些条件?
要回答这些问题,企业需确定执行IT资产管理和数据治理功能的优先顺序,以了解自身资产和数据的类别和重要性并由此创建访问控制策略。然后确定您的目标并将其嵌入端到端策略,这是实现所期望业务成果的最可靠方法。
然而,这并非易事。受访者纷纷表示“数据管理/边界和复杂性加剧”是在企业在网络安全管理中面临的最大挑战。
零信任不仅仅是一项技术解决方案,更是一次文化变革。其对整个企业的影响不可小觑。沟通、员工专业培训、认知和运营流程调整等软因素是取得成功的关键要素。总而言之,此等计划需要结合所有利益相关者的承诺以制定与业务契合的战略,以及强有力的领导、专用架构、技术工作组和可落地试点计划的支持。
......
请添加UA客服微信:
UnitedAccelerator
回复“行业报告”即可获取完整版报告
及时掌握最新行业信息与资料
联合汇创新加速器是由煦实信息科技(上海)有限公司打造的创业加速平台,旨在通过联合多家行业头部企业、风险投资机构、地方政府等资源,汇聚各行业的人才力量为初创企业提供包括产品、知识、业务、融资、政策、运营管理等在内的创业加速服务,推进初创企业的快速发展。想要了解更多有关联合汇的详细内容,欢迎关注联合汇公众号。
资料来源:
德勤:2021网络安全前瞻调研报告
