與此同時，我們面對的對手不再局限于單個參與者——包括高度復雜的組織，這些組織利用人工智能和機器學習的集成工具和能力。威脅的范圍也越來越大，沒有任何組織可以幸免。中小型企業、政府機構與大公司一樣面臨此類風險。即使是當今最復雜的網絡控制，無論多么有效，也很快就會過時。

在這種環境下，企業組織的領導層必須回答關鍵問題：“我們準備好在未來三到五年內加速數字化了嗎？” 更具體地說，“我們是否足夠期待以了解今天的技術投資將如何對未來的網絡安全產生影響？” （圖 1）。

圖1：全球網絡威脅正在提升

麥肯錫幫助全球組織加強其網絡防御的工作表明，許多企業認識到有必要在其網絡安全能力方面實現階躍變化并確保其技術的彈性。解決方案是通過前瞻性來加強他們的防御——預測未來新興的網絡威脅，并了解企業今天可以使用的大量新防御能力以及他們可以計劃在明天使用的其他防御能力。

具有大規模影響的三種網絡安全趨勢

企業只有從今天開始采取更加積極主動、前瞻性的立場，才能應對和減輕未來的干擾。在接下來的三到五年內，麥肯錫預計三大網絡安全趨勢交叉多種技術將對組織產生最大影響。

1.隨著云的重要性越來越大，企業越來越多地負責存儲、管理和保護這些數據

移動平臺、遠程工作和其他轉變越來越依賴于對無處不在的大型數據集的高速訪問，從而加劇了數據泄露的可能性。到 2026 年，網絡托管服務市場預計將產生 1831.8 億美元。組織收集更多關于客戶的數據——從金融交易到用電量再到社交媒體視圖——以了解和影響購買行為并更有效地預測需求。2020 年，地球上的每個人平均每秒創建 1.7 兆字節的數據。

隨著云的重要性越來越大，企業越來越多地負責存儲、管理和保護這些數據以及應對爆炸性數據量的挑戰。為了執行這樣的商業模式，企業需要新的技術平臺，包括可以跨環境聚合信息的數據湖，例如供應商和合作伙伴的渠道資產。企業不僅在收集更多數據，而且還在集中它們，將它們存儲在云中，并授予包括供應商等第三方在內的一系列人員和組織的訪問權限。

最近許多備受矚目的攻擊都利用了這種擴展的數據訪問權限。2020 年的 Sunburst 黑客攻擊導致惡意代碼在定期軟件更新期間傳播給客戶。同樣，攻擊者在 2020 年初使用來自頂級連鎖酒店的第三方應用的受損員工憑證訪問了超過 500 萬條客人記錄。

2. 黑客正在使用人工智能、機器學習和其他技術發起越來越復雜的攻擊

單獨工作的傳統黑客不再是主要威脅。今天，網絡黑客是一個價值數十億美元的企業， 完善的機構等級制度和研發預算。攻擊者使用先進的工具，例如人工智能、機器學習和自動化。在接下來的幾年里，他們將能夠加快從偵察到利用的端到端攻擊生命周期——從幾周到幾天或幾小時。例如，Emotet 是一種針對銀行的高級惡意軟件，可以改變其攻擊的性質。2020 年，它利用先進的 AI 和機器學習技術來提高其有效性，使用自動化流程發送情境化的網絡釣魚電子郵件，這些電子郵件劫持了其他電子郵件威脅——其中一些與 COVID-19 通信有關。

其他技術和功能正在使已知的攻擊形式（例如勒索軟件和網絡釣魚）更加普遍。勒索軟件即服務和加密貨幣大大降低了發起勒索軟件攻擊的成本，自 2019 年以來，勒索軟件攻擊的數量每年翻一番。其他類型的中斷通常會引發這些攻擊的激增。例如，在 2020 年 2 月至 2020 年 3 月的第一波 COVID-19 期間，全球勒索軟件攻擊的數量激增了 148%。從 2020 年 1 月到 2020 年 2 月，網絡釣魚攻擊增加了 510%。

3. 不斷增長的監管環境以及資源、知識和人才方面的持續差距將超過網絡安全

許多組織缺乏足夠的網絡安全人才、知識和專業知識——而且這種短缺正在擴大。從廣義上講，網絡風險管理沒有跟上數字和分析轉型的發展步伐，許多企業不確定如何識別和管理數字風險。使挑戰更加復雜的是，監管機構正在增加對企業網絡安全能力的指導——通常對金融服務中的信用和流動性風險以及關鍵基礎設施中的運營和物理安全風險進行相同程度的監督和關注。

網絡風險管理沒有跟上數字和分析轉型的發展步伐，許多企業不確定如何識別和管理數字風險。

與此同時，企業面臨著更嚴格的合規要求——這是日益嚴重的隱私問題和備受矚目的違規行為的結果。以美國為例，現在大約有 100 條跨境數據流法規。網絡安全團隊正在管理額外的數據和報告要求，這些要求源于白宮關于改善國家網絡安全的行政命令以及移動電話操作系統的出現，這些操作系統詢問用戶他們希望如何使用來自每個單獨應用程序的數據。

建立超前的防御能力

對于這些轉變中的每一個，我們都看到了組織可以開發的防御能力，以減輕未來網絡威脅的風險和影響。需要明確的是，這些能力并沒有完美地映射到單個班次，而且很多都適用于不止一個班次。管理團隊應考慮所有這些能力，并專注于與公司的獨特情況和背景最相關的能力（圖 2）。

圖2：網絡攻擊種類與頻率都在持續增加 

對趨勢一的回應：零信任能力和用于安全目的的大型數據集

減輕按需訪問無處不在的數據帶來的網絡安全風險需要四種網絡安全能力：零信任能力、行為分析、彈性日志監控和同態加密。

零信任架構 (ZTA)。在整個工業國家，大約 25% 的工人現在每周遠程工作三到五天。混合和遠程工作、增加的云訪問以及物聯網 (IoT) 集成會產生潛在的漏洞。ZTA 將網絡防御的重點從物理網絡周圍的靜態邊界轉移到用戶、資產和資源上，從而降低分散數據的風險。訪問由策略更精細地強制執行：即使用戶可以訪問數據環境，他們也可能無法訪問敏感數據。組織應該根據他們實際面臨的威脅和風險環境以及他們的業務目標來調整零信任能力的采用。他們還應該考慮進行紅隊測試，以驗證其零信任能力的有效性和覆蓋范圍。

行為分析。員工是組織的關鍵漏洞。分析解決方案可以監控訪問請求或設備運行狀況等屬性，并建立基線以識別異常的有意或無意用戶行為或設備活動。這些工具不僅可以啟用基于風險的身份驗證和授權，還可以協調預防和事件響應措施。

大型數據集的彈性日志監控。大數據和物聯網等進步產生的海量數據集和分散式日志使監控活動的挑戰變得復雜。彈性日志監控是一種基于多個開源平臺的解決方案，當這些平臺結合使用時，企業可以將組織中任何地方的日志數據提取到一個位置，然后實時搜索、分析和可視化數據。核心工具中的原生日志采樣功能可以減輕組織的日志管理負擔并澄清潛在的妥協。

同態加密。該技術允許用戶在不首先解密的情況下使用加密數據，從而使第三方和內部合作者可以更安全地訪問大型數據集。它還可以幫助企業滿足更嚴格的數據隱私要求。最近在計算能力和性能方面的突破現在使同態加密適用于更廣泛的應用。

應對趨勢二：使用自動化應對日益復雜的網絡攻擊

為了應對由人工智能和其他高級功能驅動的更復雜的攻擊，組織應該采取基于風險的方法來實現自動化和對攻擊的自動響應。自動化應側重于防御能力，如安全運營中心 (SOC) 對策和勞動密集型活動，如身份和訪問管理 (IAM) 和報告。應該使用人工智能和機器學習來跟上不斷變化的攻擊模式。最后，針對勒索軟件威脅的自動化技術和自動化組織響應的開發有助于降低發生攻擊時的風險。

通過基于風險的方法實現自動化。隨著數字化水平的提高，組織可以使用自動化來處理低風險和死記硬背的流程，從而為更高價值的活動騰出資源。至關重要的是，自動化決策應基于風險評估和細分，以確保不會無意中產生額外的漏洞。例如，組織可以對低風險資產應用自動補丁、配置和軟件升級，但對高風險資產使用更直接的監督。

將防御性人工智能和機器學習用于網絡安全。就像攻擊者采用人工智能和機器學習技術一樣，網絡安全團隊也需要發展和擴大相同的能力。具體來說，組織可以使用這些技術和異常模式來檢測和修復不合規的系統。團隊還可以利用機器學習來優化工作流程和技術堆棧，以便隨著時間的推移以最有效的方式使用資源。

對勒索軟件的技術和組織響應。隨著勒索軟件攻擊的復雜性、頻率和范圍的增加，組織必須應對技術和運營變化。技術變化包括使用彈性數據存儲庫和基礎設施、對惡意加密的自動響應和高級多因素身份驗證以限制攻擊的潛在影響，以及不斷解決網絡衛生問題。組織變革包括進行桌面練習、制定詳細的多維劇本，以及為所有選項和突發事件（包括執行響應決策）做好準備，以使業務響應自動化。

對趨勢三的回應：將安全嵌入技術能力以解決日益增長的監管審查和資源缺口

監管審查的加強以及知識、人才和專業知識方面的差距加強了在設計、構建和實施技術能力時構建和嵌入安全性的需求。此外，安全即代碼和軟件物料清單等功能可幫助組織部署安全功能并領先于監管機構的詢問。

安全的軟件開發。企業不應將網絡安全視為事后的想法，而應從一開始就將其嵌入軟件設計中，包括使用軟件材料清單（如下所述）。創建安全軟件開發生命周期 (SSDLC) 的一種重要方法是讓安全和技術風險團隊在每個開發階段與開發人員進行互動。另一個是確保開發人員了解開發團隊自己最能使用的某些安全功能（例如，威脅建模、代碼和基礎設施掃描，以及靜態和動態測試）。根據活動的不同，一些安全團隊可以轉向敏捷產品方法，一些可以采用基于敏捷看板票的混合方法，還有一些——尤其是高度專業化的團隊，

利用 X 作為服務。將工作負載和基礎架構遷移到第三方云環境（例如平臺即服務、基礎架構即服務和超大規模提供商）可以更好地保護組織資源并簡化網絡團隊的管理。云提供商不僅處理許多日常安全、修補和維護活動，還提供自動化功能和可擴展服務。一些組織為了簡單起見尋求整合供應商，但戰略性地使合作伙伴多樣化以限制性能或可用性問題的風險也很重要。

基礎設施和安全即代碼。標準化和編碼基礎設施和控制工程流程可以簡化混合和多云環境的管理并提高系統的彈性。這種方法支持編排補丁以及快速配置和取消配置等流程。

軟件物料清單。隨著合規性要求的增長，組織可以通過正式詳細說明軟件中使用的所有組件和供應鏈關系來減輕管理負擔。與詳細的材料清單一樣，該文檔將通過新的軟件開發流程、代碼掃描工具、行業標準和供應鏈要求列出代碼庫中的開源和第三方組件。除了減輕供應鏈風險外，詳細的軟件文檔還有助于確保安全團隊為監管調查做好準備。

總結

數字化顛覆是不可避免的，并將導致技術驅動的快速變革。隨著組織對技術進行大規模投資——無論是出于創新精神還是出于必要——他們必須意識到相關的網絡風險。攻擊者正在利用新技術引入的漏洞，在這個加速發展的數字世界中，即使是最好的網絡控制也會迅速過時。尋求在未來五年內最有效地定位自己的組織將需要采取不懈和積極主動的方法來建立超視距防御能力。