世界經(jīng)濟論壇(WEF)最新的全球網(wǎng)絡安全展望2024年洞察報告提供了對網(wǎng)絡不平等、網(wǎng)絡保險、網(wǎng)絡技能短缺、實現(xiàn)網(wǎng)絡韌性和構建更好的網(wǎng)絡生態(tài)系統(tǒng)方面日益擴大的差距的洞察。在如何以零信任的方式彌合這些差距方面做出規(guī)定，將使世界經(jīng)濟論壇的網(wǎng)絡安全愿景報告變得完整。

埃森哲和世界經(jīng)濟論壇合作進行了這項研究，該研究基于對49個國家的高管的采訪。主要發(fā)現(xiàn)包括：

地緣政治及其持續(xù)的不穩(wěn)定是全球?qū)用嫔献畲蟮木W(wǎng)絡安全驅(qū)動因素，共有70%的領導人表示，這一因素影響了他們公司的網(wǎng)絡安全戰(zhàn)略。

當涉及到GenAI時，攻擊者將占據(jù)上風。大約一半的人認為，未來兩年，GenAI將成為網(wǎng)絡安全領域最具影響力的技術。略高于多數(shù)(55.9%)的人認為，GenAI將為攻擊者提供整體網(wǎng)絡優(yōu)勢，而35.1%的人認為它將保持對防御者的平衡。27%的受訪CISO將在其安全運營中使用GenAI，以提供警報和事件的數(shù)據(jù)豐富。大多數(shù)網(wǎng)絡安全領導者認為，企業(yè)將在AI競爭中失利。

領導人擔心LLMS變得更加武器化，以及Gen AI被用來創(chuàng)建攻擊工具和應用程序。媒體VentureBeat繼續(xù)看到這一趨勢的加速，證實了武器化的LLM時代已經(jīng)到來。領導人還擔心GenAI和LLMS如何被用于創(chuàng)建攻擊產(chǎn)品和服務，包括勒索軟件即服務和FraudGPT。攻擊者正在使用ChatGPT對大規(guī)模的社會工程攻擊進行微調(diào)，并挖掘數(shù)據(jù)以發(fā)起鯨魚釣魚攻擊。Ivanti發(fā)布的《2023年安全準備狀況報告》發(fā)現(xiàn)，近三分之一的首席執(zhí)行官和高級管理層成員曾通過點擊相同的鏈接或匯款的方式，成為網(wǎng)絡釣魚詐騙的受害者。

幾乎每一位高級領導人都知道，有一位業(yè)內(nèi)同行的公司遭到入侵。絕大多數(shù)公司(98%)與至少三分之一的公司有關系，這些公司在過去兩年中經(jīng)歷過入侵。

絕大多數(shù)領導人(73%)表示，他們正在強調(diào)網(wǎng)絡安全基礎，以縮小安全差距。有一小部分人(13%)認為人為錯誤將是未來12個月其公司中發(fā)生漏洞的主要原因。

彌合信任缺失需要從零信任開始

數(shù)十家公司從未報告過勒索軟件攻擊，特別是在制造業(yè)，因為它們希望保持供應商、投資者和客戶的信任。

勒索軟件攻擊去年激增，新的社會攻擊也在增加，這些攻擊利用了幫助臺對黑客的固有信任，這些黑客打電話給他們的同事，并冒充他們的同事獲得登錄憑據(jù)。民族國家攻擊者正在微調(diào)他們的交易技巧，以發(fā)動利潤豐厚的勒索軟件攻擊，目的是竊取數(shù)十億比特幣，為他們的導彈計劃提供資金，并創(chuàng)建巨大的地下網(wǎng)絡來清洗加密貨幣。

“勒索軟件防御不是你在受到攻擊時所做的事情，勒索軟件防御看起來很像在你的環(huán)境中每天都做正確的安全工作 - 從身份和機密管理到配置基礎設施，再到管理數(shù)據(jù)保護和備份” CISO Merritt Baer在去年年底接受VentureBeat采訪時建議道。

在零信任的基礎上全力以赴，首先假設網(wǎng)絡和基礎設施已經(jīng)被攻破，需要遏制入侵。假設各種各樣的入侵企圖和勒索軟件攻擊是不可避免的，這是零信任的基石之一。

通過假設所有設備、終端、身份、系統(tǒng)和用戶在默認情況下都不受信任，并且需要身份驗證和持續(xù)驗證，則實現(xiàn)了對每個用戶、會話和資源請求的信任。NIST 800-207標準為希望采用該框架的公司提供了一個有用的框架。

John Kindervag在Forrester工作期間創(chuàng)建了零信任框架，他在去年的一系列采訪中告訴VentureBeat，“你從一個保護面開始。我已經(jīng)看過了，如果你還沒有看過，那就是零信任學習曲線。你不是從一項技術開始的，這是對這一點的誤解。當然，供應商希望出售這項技術，因此(他們說)你需要從我們的技術開始。這些都不是真的。你從一個受保護的表面開始，然后你弄清楚[這項技術]。”

以零信任完成世界經(jīng)濟論壇愿景

埃森哲和世界經(jīng)濟論壇的富有洞察力的研究進一步幫助彌合了公司、行業(yè)和客戶關系中的信任差距，VentureBeat使用零信任原則完成了對調(diào)查數(shù)據(jù)的分析。

以下是世界經(jīng)濟論壇關于網(wǎng)絡安全的愿景需要以零信任的方式以及在哪里得到加強：

用零信任框架確保軟件供應鏈的安全需要成為更高的優(yōu)先事項——世界經(jīng)濟論壇寫道：“當涉及到供應鏈，這是需要最多協(xié)作的領域之一時，54%的公司未能充分了解其供應鏈中的網(wǎng)絡脆弱性——這一點就是明證。大公司和中小公司之間的網(wǎng)絡成熟度差距正在不斷拉大，形成了系統(tǒng)性的供應鏈安全風險?！笔┠偷码姎馊駽ISO和CPSO負責網(wǎng)絡安全和產(chǎn)品安全的高級副總裁Christophe Blassiau表示，全球公司必須在提高規(guī)模較小的合作伙伴的標準方面發(fā)揮更大的作用，以防止它們成為威脅載體。

最低權限訪問。作為零信任標準的核心要素，世界經(jīng)濟論壇報告稱，網(wǎng)絡韌性日益重要。采取行動以獲得更大的彈性，首先授予每個會話所需的最低特權訪問權限。

微分段。建立一個正確的零信任框架的賭注這被認為是任何零信任倡議在規(guī)模上到位最困難的方面之一。Holmes在Illumio的一次網(wǎng)絡研討會上說，“如果你不做微細分，你將無法真正可信地告訴人們，你做了一次零信任之旅。如果你在某個地方有一個物理網(wǎng)絡，我最近和某人交談時，他們有一句很棒的話，他們說，‘全球2000年將永遠有一個物理網(wǎng)絡。’我當時就想，你知道嗎?他們可能是對的。在某種程度上，你將需要對其進行微細分。否則，你就不是零信任。”

多因素身份驗證(MFA)。正確的MFA需要從將其設計到工作流中并將對用戶體驗的影響降至最低開始。VentureBeat了解到，CIO和CISO正在推動基于身份的安全意識，同時考慮無密碼技術如何減輕對長期MFA的需求。領先的無密碼身份驗證提供商包括依萬提的零登錄(ZSO)、Microsoft Azure Active Directory(Azure AD)、OneLogin Workforce Identity、Thales SafeNet Trusted Access和Windows Hello for Business。隨著更多的勞動力保持虛擬狀態(tài)，在移動設備上執(zhí)行身份管理已成為一項核心要求。

持續(xù)監(jiān)測和評估。該報告強調(diào)了進行持續(xù)監(jiān)測和評估的必要性，發(fā)現(xiàn)29%的公司報告在過去12個月中受到網(wǎng)絡事件的重大影響。正如思科安全與協(xié)作執(zhí)行副總裁兼總經(jīng)理Jeetu Patel在他最近的世界經(jīng)濟論壇文章中所寫的那樣，“AI可以從海量數(shù)據(jù)中學習，以了解惡意行為的指標。然后，AI可以分析加密的流量，以近乎實時的方式推斷異常行為，并自動采取適當?shù)男袆印碛羞@種級別的可見性對于正確地獲得零信任至關重要?！?/p>

零信任可以把信任變成商業(yè)加速器。歸根結底，網(wǎng)絡安全是一個商業(yè)決策。2024年，它將比以往任何時候都更多地受到風險降低潛力和為收入增長做出貢獻的能力的評估。2024年，網(wǎng)絡安全預算將面臨新的審查，這將對整個行業(yè)產(chǎn)生反響。

安全領導者需要努力創(chuàng)建一個統(tǒng)一的框架，該框架可以隨著其安全和治理需求的變化而適應和靈活處理。零信任有效地實現(xiàn)了這兩個目標。

追求零信任并確保每個終端、設備、網(wǎng)絡和身份都是可信任的，這是加速企業(yè)增長的賭注，現(xiàn)在是時候把網(wǎng)絡安全投資視為客戶體驗和保護收入的關鍵了。