世界经济论坛(WEF)最新的全球网络安全展望2024年洞察报告提供了对网络不平等、网络保险、网络技能短缺、实现网络韧性和构建更好的网络生态系统方面日益扩大的差距的洞察。在如何以零信任的方式弥合这些差距方面做出规定,将使世界经济论坛的网络安全愿景报告变得完整。
埃森哲和世界经济论坛合作进行了这项研究,该研究基于对49个国家的高管的采访。主要发现包括:
地缘政治及其持续的不稳定是全球层面上最大的网络安全驱动因素,共有70%的领导人表示,这一因素影响了他们公司的网络安全战略。
当涉及到GenAI时,攻击者将占据上风。大约一半的人认为,未来两年,GenAI将成为网络安全领域最具影响力的技术。略高于多数(55.9%)的人认为,GenAI将为攻击者提供整体网络优势,而35.1%的人认为它将保持对防御者的平衡。27%的受访CISO将在其安全运营中使用GenAI,以提供警报和事件的数据丰富。大多数网络安全领导者认为,企业将在AI竞争中失利。
领导人担心LLMS变得更加武器化,以及Gen AI被用来创建攻击工具和应用程序。媒体VentureBeat继续看到这一趋势的加速,证实了武器化的LLM时代已经到来。领导人还担心GenAI和LLMS如何被用于创建攻击产品和服务,包括勒索软件即服务和FraudGPT。攻击者正在使用ChatGPT对大规模的社会工程攻击进行微调,并挖掘数据以发起鲸鱼钓鱼攻击。Ivanti发布的《2023年安全准备状况报告》发现,近三分之一的首席执行官和高级管理层成员曾通过点击相同的链接或汇款的方式,成为网络钓鱼诈骗的受害者。
几乎每一位高级领导人都知道,有一位业内同行的公司遭到入侵。绝大多数公司(98%)与至少三分之一的公司有关系,这些公司在过去两年中经历过入侵。
绝大多数领导人(73%)表示,他们正在强调网络安全基础,以缩小安全差距。有一小部分人(13%)认为人为错误将是未来12个月其公司中发生漏洞的主要原因。
弥合信任缺失需要从零信任开始
数十家公司从未报告过勒索软件攻击,特别是在制造业,因为它们希望保持供应商、投资者和客户的信任。
勒索软件攻击去年激增,新的社会攻击也在增加,这些攻击利用了帮助台对黑客的固有信任,这些黑客打电话给他们的同事,并冒充他们的同事获得登录凭据。民族国家攻击者正在微调他们的交易技巧,以发动利润丰厚的勒索软件攻击,目的是窃取数十亿比特币,为他们的导弹计划提供资金,并创建巨大的地下网络来清洗加密货币。
“勒索软件防御不是你在受到攻击时所做的事情,勒索软件防御看起来很像在你的环境中每天都做正确的安全工作 - 从身份和机密管理到配置基础设施,再到管理数据保护和备份” CISO Merritt Baer在去年年底接受VentureBeat采访时建议道。
在零信任的基础上全力以赴,首先假设网络和基础设施已经被攻破,需要遏制入侵。假设各种各样的入侵企图和勒索软件攻击是不可避免的,这是零信任的基石之一。
通过假设所有设备、终端、身份、系统和用户在默认情况下都不受信任,并且需要身份验证和持续验证,则实现了对每个用户、会话和资源请求的信任。NIST 800-207标准为希望采用该框架的公司提供了一个有用的框架。
John Kindervag在Forrester工作期间创建了零信任框架,他在去年的一系列采访中告诉VentureBeat,“你从一个保护面开始。我已经看过了,如果你还没有看过,那就是零信任学习曲线。你不是从一项技术开始的,这是对这一点的误解。当然,供应商希望出售这项技术,因此(他们说)你需要从我们的技术开始。这些都不是真的。你从一个受保护的表面开始,然后你弄清楚[这项技术]。”
以零信任完成世界经济论坛愿景
埃森哲和世界经济论坛的富有洞察力的研究进一步帮助弥合了公司、行业和客户关系中的信任差距,VentureBeat使用零信任原则完成了对调查数据的分析。
以下是世界经济论坛关于网络安全的愿景需要以零信任的方式以及在哪里得到加强:
用零信任框架确保软件供应链的安全需要成为更高的优先事项——世界经济论坛写道:“当涉及到供应链,这是需要最多协作的领域之一时,54%的公司未能充分了解其供应链中的网络脆弱性——这一点就是明证。大公司和中小公司之间的网络成熟度差距正在不断拉大,形成了系统性的供应链安全风险。”施耐德电气全球CISO和CPSO负责网络安全和产品安全的高级副总裁Christophe Blassiau表示,全球公司必须在提高规模较小的合作伙伴的标准方面发挥更大的作用,以防止它们成为威胁载体。
最低权限访问。作为零信任标准的核心要素,世界经济论坛报告称,网络韧性日益重要。采取行动以获得更大的弹性,首先授予每个会话所需的最低特权访问权限。
微分段。建立一个正确的零信任框架的赌注这被认为是任何零信任倡议在规模上到位最困难的方面之一。Holmes在Illumio的一次网络研讨会上说,“如果你不做微细分,你将无法真正可信地告诉人们,你做了一次零信任之旅。如果你在某个地方有一个物理网络,我最近和某人交谈时,他们有一句很棒的话,他们说,‘全球2000年将永远有一个物理网络。’我当时就想,你知道吗?他们可能是对的。在某种程度上,你将需要对其进行微细分。否则,你就不是零信任。”
多因素身份验证(MFA)。正确的MFA需要从将其设计到工作流中并将对用户体验的影响降至最低开始。VentureBeat了解到,CIO和CISO正在推动基于身份的安全意识,同时考虑无密码技术如何减轻对长期MFA的需求。领先的无密码身份验证提供商包括依万提的零登录(ZSO)、Microsoft Azure Active Directory(Azure AD)、OneLogin Workforce Identity、Thales SafeNet Trusted Access和Windows Hello for Business。随着更多的劳动力保持虚拟状态,在移动设备上执行身份管理已成为一项核心要求。
持续监测和评估。该报告强调了进行持续监测和评估的必要性,发现29%的公司报告在过去12个月中受到网络事件的重大影响。正如思科安全与协作执行副总裁兼总经理Jeetu Patel在他最近的世界经济论坛文章中所写的那样,“AI可以从海量数据中学习,以了解恶意行为的指标。然后,AI可以分析加密的流量,以近乎实时的方式推断异常行为,并自动采取适当的行动。拥有这种级别的可见性对于正确地获得零信任至关重要。”
零信任可以把信任变成商业加速器。归根结底,网络安全是一个商业决策。2024年,它将比以往任何时候都更多地受到风险降低潜力和为收入增长做出贡献的能力的评估。2024年,网络安全预算将面临新的审查,这将对整个行业产生反响。
安全领导者需要努力创建一个统一的框架,该框架可以随着其安全和治理需求的变化而适应和灵活处理。零信任有效地实现了这两个目标。
追求零信任并确保每个终端、设备、网络和身份都是可信任的,这是加速企业增长的赌注,现在是时候把网络安全投资视为客户体验和保护收入的关键了。