在過去幾個月，包括Uber、思科、Twilio和Rockstar Games在內的大型企業(yè)組織均不幸淪為了網絡攻擊的受害者。由此可以看出，對各種類型的企業(yè)而言，想做好網絡安全建設工作都并非易事。最近，德勤公司的多位資深網絡安全分析師在接受專業(yè)媒體VentureBeat采訪時，對2023年網絡安全領域的發(fā)展態(tài)勢進行了戰(zhàn)略性預測。分析師們認為，針對安全威脅的長遠準備和增強組織網絡安全彈性，將會成為幫助組織有效防范潛在威脅的關鍵性因素。

　　1. 安全防護將從董事會開始

　　保障網絡安全并不是簡單的技術性問題，2023年的網絡威脅形勢將會更加復雜，這將促進企業(yè)董事會在網絡風險監(jiān)管方面發(fā)揮更加重要的作用。獲得客戶信任與業(yè)務持續(xù)增長之間有高度的關聯(lián)性，董事會的參與有助于將網絡安全定位于組織數(shù)字化發(fā)展戰(zhàn)略賦能者，以加強客戶、供應商、員工和股東之間的關系。

　　只有認識到穩(wěn)健的網絡安全態(tài)勢對業(yè)務發(fā)展有直接影響，董事會才能更有效地監(jiān)督網絡安全風險管理活動。美國證券交易委員會（SEC）最近的提案中再次強調了應該加風險治理和管理，并及時通知投資者，董事會則是實現(xiàn)這些網絡安全風險控制目標的核心。

　　2. 攻擊面管理得到更多重視

　　很多組織目前已部署了與物聯(lián)網相連的設備，但往往缺乏足夠的安全治理。隨著聯(lián)網設備數(shù)量日益增加，與它們相連的網絡和生態(tài)系統(tǒng)的攻擊面也隨之擴大，從而導致了安全、數(shù)據(jù)和隱私風險激增。

　　在2023年，領先的組織將致力于各種聯(lián)網設備和資產的網絡安全實踐，為此制定或更新相關的管理政策和程序，更充分清點當前的網絡資產，監(jiān)控和修補設備，在注重安全的情況下完善設備采購和處置實踐，將物聯(lián)網和IT網絡深度融合關聯(lián)，實現(xiàn)更密切地監(jiān)控聯(lián)網設備，以進一步確保這些端點的安全和事件響應。

　　3. 安全性成為新興技術能否落地的挑戰(zhàn)

　　隨著物聯(lián)網、區(qū)塊鏈、5G、量子及其他技術的應用繼續(xù)加快，與這些技術相關的網絡安全風險繼續(xù)凸顯出來。盡管采用這些技術將有助于推動組織的數(shù)字化轉型，實現(xiàn)更快的戰(zhàn)略增長計劃，然而如何確保這些技術的可靠應用，將有賴于組織能否實施與之匹配的安全管理措施。

　　4. 隱私保護成為贏得客戶信任的前提

　　組織與客戶之間的數(shù)字化互動已是一種發(fā)展常態(tài)，調查數(shù)據(jù)顯示，目前企業(yè)組織平均有近72%的客戶溝通連接活動是通過數(shù)字化方式來實現(xiàn)。因此，客戶需要對其數(shù)據(jù)擁有更大控制權，同時希望企業(yè)在數(shù)據(jù)處理方面增加透明度。只有組織可以證明自己值得信任，客戶才更愿意共享數(shù)據(jù)，并購買其服務產品。因此，組織需要有一種緊迫感以贏得客戶信任，將數(shù)據(jù)隱私、安全和合規(guī)視為不可或缺的有效機制，不斷加強客戶的溝通體驗和品牌認知。

　　5. 網絡安全需要長遠的規(guī)劃和準備

　　通過研究過去幾年的網絡安全變化，可以發(fā)現(xiàn)組織需要盡快為未來做好長遠規(guī)劃和準備。組織需要在不斷變化中，持續(xù)性地完善網絡風險管理實踐，并尋求創(chuàng)新。由于更多的技術突破和不斷變化的威脅趨勢，組織應該充分利用網絡技術為客戶帶來更多的價值和競爭差異化優(yōu)勢，同時搶先一步探究新興風險和威脅。無論是針對近期的市場應用創(chuàng)新進行規(guī)劃，還是遵守日益嚴格的監(jiān)管要求，組織都需要積極評估并制定統(tǒng)一的網絡戰(zhàn)略，確保數(shù)字化業(yè)務足夠靈活，積極抓住未來機會。

　　6. 保障網絡安全彈性仍然是重點

　　隨著數(shù)字化發(fā)展的深入，企業(yè)的網絡攻擊面也在進一步加大，因此會面臨眾多的供應鏈、地緣政治、網絡環(huán)境和攻擊事件可能，這將帶來監(jiān)管部門越來越嚴的審查，也給傳統(tǒng)的風險防御計劃提出了挑戰(zhàn)。只有全面分析對核心業(yè)務運營構成威脅的場景，組織才能采用合適的方法和技術，以打造安全風險態(tài)勢感知能力，及時發(fā)現(xiàn)新興威脅，并提升應對威脅的能力。

　　7. 復雜的供應鏈攻擊或將出現(xiàn)

　　今天的組織嚴重依賴供應鏈，這種高度的依賴性也使得供應鏈安全和風險成為現(xiàn)代企業(yè)組織必須面對的重要挑戰(zhàn)。2023年，引入到供應鏈中的安全威脅在復雜性、規(guī)模和頻率上都將會持續(xù)加大，因此組織需要繼續(xù)創(chuàng)新并完善其供應鏈安全和風險轉變能力，以保持良好的發(fā)展勢頭。

　　企業(yè)應該部署更加全面的供應鏈安全防護工具，從基于時間點的第三方評估轉向實時監(jiān)控外來軟件以及相關固件、組件中的第三方風險和安全漏洞。

　　此外，企業(yè)還應該積極部署和使用身份及訪問管理（IAM）和零信任功能，這些功能可以更有效地確保只有授權的第三方才能訪問系統(tǒng)和數(shù)據(jù)，并減小第三方受攻擊導致的后果。

　　8. 網絡安全專業(yè)人才缺口繼續(xù)擴大

　　隨著網絡安全風險的廣度、復雜性和頻率急劇加大，利益相關者（監(jiān)管機構、董事會和業(yè)務人員）對管理網絡安全風險的要求越來越大，因此企業(yè)組織對技能嫻熟、經驗豐富的網絡人才有著巨大的需求。

　　由于這種需求加上網絡人才短缺（尤其是訓練有素的專業(yè)技能），組織通常很難快速找到合適的人才，這將嚴重影響它們管理網絡風險的能力。隨著這種人才短缺現(xiàn)象越來越嚴峻，更多的組織會考慮其他出路，比如選擇專業(yè)的外包服務。不過，為了保持靈活、有效的安全運營流程，組織需要在采用外包策略的同時致力于招募和留住專業(yè)網絡安全人才。

　　9. 云安全技術將加快成熟

　　云服務的普及和DevOps等新型開發(fā)方法的出現(xiàn)推動更多組織將業(yè)務遷移到云端，這為企業(yè)組織業(yè)務增長創(chuàng)造了新的發(fā)展機會。隨著云計算技術日趨成熟，更多的數(shù)據(jù)和業(yè)務職能被托管在云端，組織需要意識到：如果不將安全納入到轉型過程中，代價高昂的數(shù)據(jù)泄漏和破壞性網絡攻擊可能會讓云計算的好處蕩然無存。只有同時積極擁抱安全和數(shù)字化轉型，并采用零信任原則，組織才能實現(xiàn)云化敏捷安全發(fā)展的轉型。

　　10. 工業(yè)互聯(lián)網應用面臨不斷變化的威脅

　　隨著物聯(lián)網、大數(shù)據(jù)、人工智能等先進IT技術的快速發(fā)展，制造業(yè)為重塑企業(yè)核心競爭力，正加速推動IT與OT的融合，改造傳統(tǒng)的生產關系與業(yè)務流程，從產品研發(fā)、業(yè)務管理到生產車間全方位推動企業(yè)的數(shù)字化轉型與智能制造。當工業(yè)網絡從封閉走向開放，工控安全問題也逐漸顯現(xiàn)，由于很多關鍵生產與運營數(shù)據(jù)屬于企業(yè)的核心商業(yè)機密和資產，一旦泄露，將會給企業(yè)帶來巨大損失。更重要的是，工控系統(tǒng)承載著事關社會經濟乃至國家安全的重要工業(yè)數(shù)據(jù)，一旦被竊取、篡改或流動至境外，將對國家安全造成嚴重威脅。

　　工業(yè)企業(yè)必須要應對好OT安全風險，為此可以采取諸多措施，包括加強設備可見性、實施OT網絡分段、部署先進安全工具等。同時，在新的威脅形勢下，以大數(shù)據(jù)分析、AI技術為基礎的工控安全統(tǒng)一管理平臺將得到更多應用。通過平臺化的管控模式，不僅能夠實現(xiàn)對多種安全設備的集中監(jiān)控、系統(tǒng)分析、統(tǒng)一運營，還可以有效提升工業(yè)企業(yè)的安全風險響應速度與未知威脅感知能力，全面提升工業(yè)企業(yè)的安全防護能力。

更多信息可以來這里獲取==>>電子技術應用-AET<<