埃森哲和世界經濟論壇合作進行了這項研究，該研究基于對49個國家的高管的采訪。主要發現包括：

 

地緣政治及其持續的不穩定是全球層面上最大的網絡安全驅動因素，共有70%的領導人表示，這一因素影響了他們公司的網絡安全戰略。

 

當涉及到GenAI時，攻擊者將占據上風。大約一半的人認為，未來兩年，GenAI將成為網絡安全領域最具影響力的技術。略高于多數(55.9%)的人認為，GenAI將為攻擊者提供整體網絡優勢，而35.1%的人認為它將保持對防御者的平衡。27%的受訪CISO將在其安全運營中使用GenAI，以提供警報和事件的數據豐富。大多數網絡安全領導者認為，企業將在AI競爭中失利。

 

領導人擔心LLMS變得更加武器化，以及Gen AI被用來創建攻擊工具和應用程序。媒體VentureBeat繼續看到這一趨勢的加速，證實了武器化的LLM時代已經到來。領導人還擔心GenAI和LLMS如何被用于創建攻擊產品和服務，包括勒索軟件即服務和FraudGPT。攻擊者正在使用ChatGPT對大規模的社會工程攻擊進行微調，并挖掘數據以發起鯨魚釣魚攻擊。Ivanti發布的《2023年安全準備狀況報告》發現，近三分之一的首席執行官和高級管理層成員曾通過點擊相同的鏈接或匯款的方式，成為網絡釣魚詐騙的受害者。

 

幾乎每一位高級領導人都知道，有一位業內同行的公司遭到入侵。絕大多數公司(98%)與至少三分之一的公司有關系，這些公司在過去兩年中經歷過入侵。

 

絕大多數領導人(73%)表示，他們正在強調網絡安全基礎，以縮小安全差距。有一小部分人(13%)認為人為錯誤將是未來12個月其公司中發生漏洞的主要原因。

 

彌合信任缺失需要從零信任開始

 

數十家公司從未報告過勒索軟件攻擊，特別是在制造業，因為它們希望保持供應商、投資者和客戶的信任。

 

勒索軟件攻擊去年激增，新的社會攻擊也在增加，這些攻擊利用了幫助臺對黑客的固有信任，這些黑客打電話給他們的同事，并冒充他們的同事獲得登錄憑據。民族國家攻擊者正在微調他們的交易技巧，以發動利潤豐厚的勒索軟件攻擊，目的是竊取數十億比特幣，為他們的導彈計劃提供資金，并創建巨大的地下網絡來清洗加密貨幣。

 

“勒索軟件防御不是你在受到攻擊時所做的事情，勒索軟件防御看起來很像在你的環境中每天都做正確的安全工作 - 從身份和機密管理到配置基礎設施，再到管理數據保護和備份” CISO Merritt Baer在去年年底接受VentureBeat采訪時建議道。

 

在零信任的基礎上全力以赴，首先假設網絡和基礎設施已經被攻破，需要遏制入侵。假設各種各樣的入侵企圖和勒索軟件攻擊是不可避免的，這是零信任的基石之一。

 

通過假設所有設備、終端、身份、系統和用戶在默認情況下都不受信任，并且需要身份驗證和持續驗證，則實現了對每個用戶、會話和資源請求的信任。NIST 800-207標準為希望采用該框架的公司提供了一個有用的框架。

 

John Kindervag在Forrester工作期間創建了零信任框架，他在去年的一系列采訪中告訴VentureBeat，“你從一個保護面開始。我已經看過了，如果你還沒有看過，那就是零信任學習曲線。你不是從一項技術開始的，這是對這一點的誤解。當然，供應商希望出售這項技術，因此(他們說)你需要從我們的技術開始。這些都不是真的。你從一個受保護的表面開始，然后你弄清楚[這項技術]。”

 

以零信任完成世界經濟論壇愿景

 

埃森哲和世界經濟論壇的富有洞察力的研究進一步幫助彌合了公司、行業和客戶關系中的信任差距，VentureBeat使用零信任原則完成了對調查數據的分析。

 

以下是世界經濟論壇關于網絡安全的愿景需要以零信任的方式以及在哪里得到加強：

 

用零信任框架確保軟件供應鏈的安全需要成為更高的優先事項——世界經濟論壇寫道：“當涉及到供應鏈，這是需要最多協作的領域之一時，54%的公司未能充分了解其供應鏈中的網絡脆弱性——這一點就是明證。大公司和中小公司之間的網絡成熟度差距正在不斷拉大，形成了系統性的供應鏈安全風險。”施耐德電氣全球CISO和CPSO負責網絡安全和產品安全的高級副總裁Christophe Blassiau表示，全球公司必須在提高規模較小的合作伙伴的標準方面發揮更大的作用，以防止它們成為威脅載體。

 

最低權限訪問。作為零信任標準的核心要素，世界經濟論壇報告稱，網絡韌性日益重要。采取行動以獲得更大的彈性，首先授予每個會話所需的最低特權訪問權限。

 

微分段。建立一個正確的零信任框架的賭注這被認為是任何零信任倡議在規模上到位最困難的方面之一。Holmes在Illumio的一次網絡研討會上說，“如果你不做微細分，你將無法真正可信地告訴人們，你做了一次零信任之旅。如果你在某個地方有一個物理網絡，我最近和某人交談時，他們有一句很棒的話，他們說，‘全球2000年將永遠有一個物理網絡。’我當時就想，你知道嗎？他們可能是對的。在某種程度上，你將需要對其進行微細分。否則，你就不是零信任。”

 

多因素身份驗證(MFA)。正確的MFA需要從將其設計到工作流中并將對用戶體驗的影響降至最低開始。VentureBeat了解到，CIO和CISO正在推動基于身份的安全意識，同時考慮無密碼技術如何減輕對長期MFA的需求。領先的無密碼身份驗證提供商包括依萬提的零登錄(ZSO)、Microsoft Azure Active Directory(Azure AD)、OneLogin Workforce Identity、Thales SafeNet Trusted Access和Windows Hello for Business。隨著更多的勞動力保持虛擬狀態，在移動設備上執行身份管理已成為一項核心要求。

 

持續監測和評估。該報告強調了進行持續監測和評估的必要性，發現29%的公司報告在過去12個月中受到網絡事件的重大影響。正如思科安全與協作執行副總裁兼總經理Jeetu Patel在他最近的世界經濟論壇文章中所寫的那樣，“AI可以從海量數據中學習，以了解惡意行為的指標。然后，AI可以分析加密的流量，以近乎實時的方式推斷異常行為，并自動采取適當的行動。擁有這種級別的可見性對于正確地獲得零信任至關重要。”

 

零信任可以把信任變成商業加速器。歸根結底，網絡安全是一個商業決策。2024年，它將比以往任何時候都更多地受到風險降低潛力和為收入增長做出貢獻的能力的評估。2024年，網絡安全預算將面臨新的審查，這將對整個行業產生反響。

 

安全領導者需要努力創建一個統一的框架，該框架可以隨著其安全和治理需求的變化而適應和靈活處理。零信任有效地實現了這兩個目標。

 

追求零信任并確保每個終端、設備、網絡和身份都是可信任的，這是加速企業增長的賭注，現在是時候把網絡安全投資視為客戶體驗和保護收入的關鍵了。

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。

 

版權聲明：本文為企業網D1Net編譯，轉載需在文章開頭注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。