2023网络安全重要趋势

毕马威发布了《2023网络安全重要趋势》这篇报告。该报告主要介绍了关于2023年应聚焦网络安全方面八个关键词，如果有兴趣了解更多相关的内容，请下载原报告阅读。

(相关资料图)

1.数字信任： 一项共同承担的责任

数字信任正引起关注

越来越多高层管理者意识到数字信任的裨益：37%的高 管认为能促进盈利增长是信任提升的最大商业优势。1数 字信任涵盖广泛。网络安全广泛关联到数字信任的问题 （包括可靠性、安全性、隐私性和透明度）。它们会影 响企业所采取的业务开展、价值追求方式、产品、服 务，所用技术，应用系统的数据收集及使用方式，以及 针对客户、员工、供应商和所有第三方合作伙伴、利益 相关者所实施的利益保护手段。

相比而言，65%的高管仍然将信息安全视为被动降低风 险的手段，而非业务赋能要素。2 许多企业仍然将网络安 全视为成本开销，而非对未来的投资，这是一种错误的 理念。首席信息安全官应全面接纳数字信任这一概念， 并阐明安全性作为业务赋能要素将如何为企业的数字化 发展提供稳健支持。

首席信息安全官须协助企业建立数字信任体系，但仅靠 他们并不能完成，而应投入足够的时间，鼓励其他主要 的内外部利益相关者承担在数字信任体系建立过程中的 角色。事实上，首席信息安全官需要向董事会和高管层 阐明此事的重要性，并说明数字信任体系与业务战略的 依存关系。

世界经济论坛认为，业界已开始承认网络安全就如同企 业风险、产品开发和数据管理一样，是一项重要的战略 业务要素。世界经济论坛在其“Earning digital trust: Decision-making for trustworthy technologies”（《赢 取数字信任：为可信任技术制定决策》）报告中提及： “获取数字信任需要一套整体的方案，而网络安全是建 立信任重要维度之一。”

数字信任对客户的意义

虽然一般个体消费者可能不关心企业数据保护程序中的 具体措施，但一旦客户知道数据遭到泄露，便希望了解 企业正采取什么应对措施，也希望确认企业会以客户的 利益为重。企业能迅速、透明地应对数据安全事件，从 而重新建立客户信任。 当今，消费者理解数据泄露事件不可避免，但如果企业 能够持续提供有竞争力的产品价格和优良的服务，并保 持良好的客户体验，当网络安全事件发生时，及时通报 应对情况以及恢复措施，客户一般不会大量流失。

2.以“无形” 措施护航安全

企业安全也应考虑客户体验

企业更应重点关注，为有能力和意愿检测和响应恶意行 为的员工设计并建立落地的恶意行为检测和响应流程。 考虑易用性、客户体验，将安全规划纳入其他企业级别 的重要事项（例如：业务需求），而不是将其纯粹视为 监管的当务之急。

最新的技术发展可为此提供帮助。从防御性人工智能、 机器学习和聊天机器人，到云加密、区块链和增强型检 测及响工具等，均是上述重要事项的核心部分。此外， 提升员工的安全意识，建立统一IT治理策略，倡导员工 审慎对待数字化通信，也将有助安全性提升。首席信息 安全官应思考如何帮助员工自发采取正确措施，并制定 合适的安全管控措施予以支持。

网络安全将持续变化，企业可引入新的网络安全工具和 控制措施。但我们仍然希望企业能够在构建之初就考虑 到人为因素。企业进行重大变更时需要考虑很多因素， 安全性应是其中之一。将安全性嵌入企业日常运行流程 中（如“开发、安全、运营”（ DevSecOps ）和运营 技术与采购）或是一种适当且有效的途径，激励员工安 全行事，以发挥人的防护作用，而非过度管控。

3.实现无边界的、 以数据为中心的未来

对无边界业务零信任

零信任的处理方式有助缩小服务中断或安全事件的影响范围， 使企业能够更好地管控安全事件的影响。

以零信任为基础的安全访问服务边缘（SASE）和网络安 全网格模型在网络整体安全性的构建、分布和统一方式 上有着共同的原则。但最重要的是，随着更多企业采用 以云为中心的理念，安全机制应更多的考虑对数据保 护。

作为当前无边界业务环境的保护伞，零信任框架对身份 鉴别、访问控制的设计和赋能如何顺应时代变化提供了 思路。零信任为基于安全访问服务边缘（SASE）模型以 及全面的分析性网络安全网格架构的业务融合提供了支 持。

新的身份鉴别与访问控制模型

去中心化的身份鉴别与访问控制是首席信息安全官的核 心职责，亦是一项网络传输议题。南北向传输，即用户 到资源，其主要关乎身份识别；而东西向传输，即系统 间横向传输，则与网络区域划分和其他控制领域相关。 数据资源的访问应与用户身份进行匹配。在一个无边界 环境中，若不重视身份和数据治理，便不存在零信任、 安全访问服务边缘（SASE）或网络安全网格。

对首席信息安全官而言，实施零信任的挑战在于验证设 备和用户身份及其可信度。这要求首席信息安全官从身 份校验角度思考安全性问题，并重点关注企业内用户和 第三方供应商的最小权限访问。

4.新合作， 新模式

了解应保留的安全职能

企业不能将所有的安全管理职能外包，还需要在企业内 部保留适当的专业人才与技能。企业应具备专业知识， 以建立能使内部员工和第三方服务供应商有效运营的内 部控制及安全架构。其中一个要点是，企业应了解其内 部应保留哪些安全职能，然后制定有针对性的人才招聘 策略。

以应用系统上云为例，首席信息安全官需同时扮演经纪 人、协调者和统筹者等多重角色，以协调相关员工和第 三方服务提供商，并进行风险识别、治理与汇报。上述 职能不能完全外包。虽然企业可以将计划与准备阶段的 部分工作进行外包，但应由企业内部了解业务与企业安 全现状以及潜在网络安全事件影响的人员，来进行整体 把控以及质量控制。

找合适的技能组合

首席信息安全官应了解自身的内外部职责，有效应对 不同模式和领域之间的灰色地带，建立适当的控制以 应对复杂多变的环境。然而，这知易行难。 与外部安全服务供应商合作同样要求企业具备独特的 技能。企业须注重流程管理和安全治理技能，而非技 术能力。无论将多少工作外包，企业内部都应具备充 分的安全知识和技能。同时各方应开展定期、清晰的 沟通，以保障对已实施的管控措施以及关键绩效指标 的妥善管理。此外，企业还应商定明确的安全事件响 应流程，并开展应急演练以测试相关系统。

首席信息安全官应定期评估其自身的专业技能，并努 力确保企业具备与云、托管服务供应商有效协作的能 力。为此，首席信息安全官应了解企业的未来信息安 全基础设施建设需求，并确定安全管理体系以提供最 佳支持。企业应着眼于“未来”，即展望未来三至五 年的安全需求，而不应仅仅着眼于企业当下的安全需 求。

5.自动化技术可信

建立可信任的人工智能模型

企业是否正合理应用人工智能以获得最高产的输出？在 某些保险业用例中，算法会自动对生活在特定区域的申 请人作出分级。生活在较不富裕区域的人士与在较上层 地区的人士会分为不同级别。保险费会根据申请人的地 址而异。人工智能具有偏见或歧视性，因此需要加以调 节。

过去应用系统的开发常基于固定的模式，即输入与对应 输出之间的关系不变。开发者也会对此进行测试。终端 用户会决定他们是否喜欢使用该应用，以及是否希望继 续与开发者进行业务往来。

机器学习和人工智能设备旨在不断学习和进化。在此技 术特性下，企业将根本性地改变他们对这些系统的看法 以及系统的优化方式和使用目的。 人们对人工智能有着不同的理解和喜恶情绪，而许多企 业根本不具备足够了解人工智能的专业人员，所以更谈 不上如何安全应用此技术。

如研发运维一体化平台（DevOps）一类的机器已能 够缩短开发周期并确保持续交付。但如果企业还未将 安全性整合进机器赋能的环境中，则大规模应用或许 永远无法实现，因为员工根本不会信任该技术。为 此，76%的高管同意，企业需要对训练、监控人工智 能和机器学习系统产生额外投入。

人工智能和数据隐私

人工智能使许多核心隐私原则得到增强，例如，安全 团队需要更深入地分析用户数据。企业需要考虑其收 集的数据类型符合某些法规的数据最小化收集要求。 此外，鉴于人工智能可能会存在偏见，因此，企业必 须对人工智能的产出保持公开透明。

监管机构、政府和相关行业必须携手合作。人工智能 监管并非仅是隐私问题，还要求数据科学家与隐私专 家合作以确定技术方案应嵌入哪些要求以确保方案的 安全性、可信度和隐私敏感性。此外，政府需要订立 基本要求，并制定数字化建设方向，以号召相关行业 对人工智能创新进行投资。

各地政府机构似乎往往会将人工智能视为一种竞争， 监管机构也正在开始尝试限制新兴人工智能技术带来 的干扰性及高风险性应用。

在二十国集团通过可信任人工智能原则后，人工智能 风险管理及监管领域有了重大进展。新加坡首先颁布 了人工智能安全标准；美国国家标准与技术研究所公 布了人工智能风险管理框架；欧盟也在同年颁布人工 智能法案。正如《通用数据保护条例》对隐私产生巨 大影响一样，这些法规也最终将在人工智能领域带来 重大影响。企业需要为此做好准备。

6.智能世界安全

在智能设备互联世界中应用 CIAS框架

首席信息安全官应考虑智能设备产品生命周期中四个组成 部分的相关风险，其中各个组成部分有着不同的“开发安全-运营”（DevSecOps）要务。这些组成部分包括：从设计实施到发布的产品开发流程，管理不断延伸的供 应链，维护和持续更新软件以及终端用户（无论是另一 家企业还是个人消费者）。这四个组成部分有助首席信 息安全官制定安全规划并确保产品的安全性。首席信息 安全官必须洞悉业务的所有领域。

7.应对多变的网络攻击

优化安全运营战略

时间是安全防御关键。企业能多快侦测到攻击者、能 多快遏制住他们的攻击、多快能恢复服务？ 与此同 时，企业如何降低信息和系统损害？最大的问题不在 于攻击者如何进入，而是已经获得了哪些信息，是否 是关键信息。应用系统是否具有后门，还是被内部人 员进行攻击？

攻击者从初次入侵到成功攻破系统所需的时间正在缩 短。现在，攻击者仅需数日或更短时间便能在企业内 部成功部署勒索软件。攻击者还不断提升自动化的攻 击手段，甚至利用人工智能来协助其规划及实施攻 击。首席信息安全官及其团队须在更短时间内识别入 侵行为并采取快速、果断的遏制行动。

安全运营中心通常呈三角形结构：顶部是规模较小， 但专业化威胁搜寻团队，中部是二级调查员，底部是 许多一级威胁要预警分析员，对不断增加的威胁预警 信息进行分类。但是，这个三角形结构应倒转过来。

如今的安全运营中心需较少的一级人员、更多二级调 查员以及大量威胁搜寻人员，以侦测潜在的灾难事 件。为实现此目的，满足日益增加的外部攻击者和外 部威胁频率，企业需要实现安全运营第一层级的自动 化。

一个有效的安全运营中心需要利用更先进的科技、汇 集相关数据，信任已有的安全产品和设备管理安全预 警事件，并结合人工分析和先进机器学习和机器人流 程自动化能力。在此过程中，您可通过新的业务相关 数据源以分析潜在攻击，并进一步探索安全运营、物 理安全、预防舞弊和内部威胁管理。

对多数安全组织而言，建立充分的信任是一项挑战。 假设首席信息安全官及其团队能够利用人工智能执行 上述工作，统筹管理防火墙、安全日志和SIEC，并评 估各类威胁情报源和漏洞扫描工具，那可以称得上开 始建立信任。这也是安全运营中心的目标，但目前该 目标仍未实现。

驾驭及留用网络技术专才

人才的流失与留用问题，必然是最优先考虑事项。许 多企业需要为安全运营中心建立可持续的发展途径与 模式。在团队疲于监控系统之时，他们会调配更多人 手应对，而非向在职人员提供合理培训。 因此，员工会感到发展停滞并最终选择离开，造成安 全运营中心的人员不断流失。这完全归因于他们不重 视人才培训。在攻击者不断提升自身技术、手段和策 略，使攻击变得更有效、快速的同时，首席信息安全 官却缺乏所需的人力资源来抵御攻击。

8.业务连续性

主动协调在事件发生前后的作用

在应对网络攻击事件的过程中，首席信息安全官的主要 目标是为企业提供所需的专业见解以维持业务正常运 行。他们必须摒弃日常的技术细节，并有策略地主动与 企业进行沟通，以说明事件的严重性以及告知企业须如 何应对，从而实现快速恢复。

首席信息安全官的主要工作是作为沟通者，向企业阐明 安全事件的潜在业务影响以及网络安全的价值。除此之 外，还需综合考虑事件响应和事件恢复这两大业务连续 性的重要组成部分。

此事可通过建立小型“危机委员会小组”实现。该小 组应由首席信息安全官、首席执行官、首席财务官和 首席法律顾问组成。 遗憾的是，多数企业并没有正式成立这个重要的小组， 因为他们认为信息安全事件不太可能会发生。如果真的 发生，他们也认为自己的业务连续性计划（多数是数年 前制定，并基于过时的场景组合）已足够应付，但事实 并非如此。

保障最低业务运行

此举不仅是为了在控制失效时保持良好的安全性，还在 于弄清楚企业需要采取什么措施才能恢复业务。企业领 导者往往只会着眼于眼前境况，因为多数人在危机过程 中往往无法做到高瞻远瞩。此时，首席信息安全官便须 发出理性的声音，务实地建议企业应恢复最低限度的业 务运行流程，即维持日常基本运营、支付员工薪酬和确 保业务系统持续运行。

此恢复过程耗时越久，便越有可能出现生存危机。攻击 者总会出其不意制造问题。他们在金钱的驱动下会快速 创新，迫使首席信息安全官始终被动挨打。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）

关键词：