德勤：2021網絡安全前瞻調研報告（33頁）.pdf

1、2021網絡安全前瞻調研網絡安全前瞻調研報告報告 網絡安全網絡安全| 為未來賦能您的為未來賦能您的員工員工 34 摘要 洞悉網絡安全的復雜性 56 數字化轉型 網絡安全及轉型挑戰 79 客戶體驗 個性化體驗甚或侵犯權益？合乎道德地使用個人數據 1011 零信任 保護沒有邊界的網絡世界 1213 新興技術 連接新興技術領域 1415 著眼行業網絡安全 沒有萬能的解決方案 1617 結語 深度洞見 調研方法 2021網絡安全前網絡安全前 瞻調研報告瞻調研報告由與 Wakefield Research于 2021年6月6日至8月24 日間聯合開展，采用 線上方式就網絡安全 問題訪問了近600位首 席

2、高管，其中包括約 200位首席信息安全官、 100位首席信息官、 100位首席執行官、 100位首席財務官和 100位首席營銷官，他 們均來自年收入不低 于5億美元的公司。 網絡安全前瞻調研報告 2 收入減少監管罰款 名譽損失 14%17% 知識產權盜竊 22% 對人才留用的 負面影響 16% 股價下跌 19% 運營中斷 32% 領導層變更 17% 其他 3%17% 客戶信任流失/ 負面的品牌效 應 當前情況 當下，企業為保持競爭力，采用融合自建基礎 設施與混合IT架構，并與第三方云供應商開展合 作等一系列信息技術舉措。這些復雜的集成環 境需要不同于傳統內部IT架構的新型管理形式。 受訪的大多

3、數首席信息官和首席信息安全官 （41%）表示，如何轉型以及了解日益復雜的 混合生態系統是其面臨的最大挑戰。 新冠疫情不僅造成市場壓力，還宣告著遠程辦 公時代的到來。無論大型還是小型企業，都在 迅速變革工作環境，隨之而來的就是網絡攻擊 面大大增加，但企業往往很少甚至沒有時間考 慮安全問題。毫無意外，攻擊事件頻繁發生。 69%的受訪者稱在2020年初至2021年5月的期間， 其企業受到的威脅有所增加或顯著增加，各行 業和各地區均是如此。在受訪的全球首席高管 中，有32%表示運營中斷是最大的影響，其次是 知識產權盜竊（22%）和股價下跌（19%）。 盡管風險環境日益嚴峻，數字化轉型和遷移 上云仍是客

4、戶的首要任務。數據在企業內的 流動，它不僅僅能提高效率，還能推動新的 價值創造方式，連通各業務線并豐富客戶體 驗。我們的調查數據凸顯了數據遷移的特點- - 94%的受訪首席財務官表示他們正考慮將其 財務系統或企業資源規劃（ERP）系統遷移 上云。 洞悉復雜性 當下，我們生活在一個網絡無處不 在的世界，其中，數字化轉型持續 加速，遠程辦公日趨普及?？萍紕?新及其驅動的創新文化，似乎已遠 遠超出我們能夠認知、衡量并應對 這些成倍增長的風險的能力。 85% 年收入在5億到300億 美金之間 在1到20個國家運營 87% 40%位于美洲 28%位于歐洲、非洲和 中東地區 32% 位于亞太地區 公司總部

5、公司總部 網絡事件的最大影響網絡事件的最大影響* *受訪者最多可選擇兩項答案，因此各選項的百分比加總超過100%。 3 持續驗證，從不輕信 在被問及管理企業網絡安全的最大障礙時，受 訪者將跨越復雜邊界的數據管理排在首位 （44%），其次是更好地劃定企業網絡風險的 優先順序（31%）。所幸的是現在部署零信任 方案（Zero Trust）已然可行，使用基于持續 風險評估的實時訪問決策替換簡單的實體驗證。 在實施過程中，它是對當今網絡生態系統網絡 邊界模糊的有效應對，認為架構內每個組件都 有弱點，每一層設施均需要保護。 得益于近期計算能力的提升，企業中零信任 架構的出現和采用到企業中廣泛的文化變革，

6、 揭示了網絡安全的角色如何轉變，其重要性 如何提升。零信任不僅僅是一種技術修復， 它是一套相互交織、洞悉敵對活動及相關業 務風險、并變革于消減風險的方案集合。這 種洞察需要IT部門和業務部門之間的協調， 以及整個企業的安全意識提升和培訓。 摘要 “我們正處在轉型和快速發展 的時期。企業面臨的最大兩項 挑戰分別是混合IT架構和轉型。 這將創造一個更加多元和復雜 的環境。如何實現更多的可見 性，尤其是對云部署，是企業 的當務之急?！?全球網絡安全服務領導人 EMILY MOSSBURG 重構網絡防御 黑客變得越來越老練，也越來越了解資產的市場價值無論 是醫藥知識產權、工程和產品專利、客戶或其他關鍵

7、數據 企業將繼續增加其網絡防御預算。在總年收入超過300億美元 的受訪者中，近75%表示，今年在網絡安全方面的投入將超過 1億美元。 隨之而來的挑戰即是，如何確保這些投入能夠提高在日益復雜的混合網絡 生態系統中被放大的風險的透明度。除獲得技術和經驗外，還要求企業進 行組織變革，以推動從企業到合作伙伴和第三方供應商的有計劃的治理。 技術在發展，首席信息安全官的職責也在改變。隨著網絡在企業中蔓延滲 透，必須重新定位首席信息安全官在企業架構中的位置。除簡化匯報線外， 增進與首席執行官的關系也有利于加強首席信息官對業務優先事項的理解 并及時捕捉創新。首席信息安全官，這一新的運營角色在企業內更高的參 與

8、度，能夠確保網絡安全團隊將必須滿足的要求、技術方案和控制措施完 全嵌入到創新舉措中。這不僅在一開始就將風險降到最低，還能將產品和 服務開發的整體風險降到最低。 鑒于網絡安全對企業深度文化影響，因此我們今年將調研范圍從直接監管 網絡安全的負責人擴大到網絡安全的最廣大的擁護群體：首席執行官、首 席財務官、首席營銷官、首席信息官以及首席信息安全官。他們的觀點彼 此相似，但在不同地區和行業還是存在差異。 展望未來 盡管沒有簡單的組織或技術解決方案能夠洞察支撐現代企業日益復雜的集 成網絡生態，但是，卻有許多組織、文化和運營方面的措施，一旦結合使 用，可以促使企業將網絡安全嵌入其業務舉措和企業文化的核心，

9、嵌入其 不斷發展的技術生態系統。 下一代技術發展將繼續打造更加互聯互通的世界，在此次報告中，我們探 索了其中部分措施并強調了企業洞悉現時技術復雜性和未來技術變革能力 的重要性。 摘要 4 1% 其他 16% 數據分析 15% 云技術 15% 新購或升級ERP 系統 14% 運營技術/工業控 制系統 13% 物聯網 12% 區塊鏈/加密 貨幣 14% 人工智能/認知計算 “公司高管和董事會成員 的主要目標必須是充分了 解數字化轉型給公司帶來 的實際風險，能夠與所 有其他類型的風險一樣同 等地管理此種風險?！?網絡安全服務全球網 絡戰略及轉型領導人 MATTHEW HOLT 認知網絡風險 由于網絡

10、威脅會影響整個企業，可能使業務癱瘓并迅速摧毀來之 不易的聲譽，因此董事會務必要以他們能夠理解的方式評估網絡 風險。他們需要將網絡威脅與其擅長處理的風險進行比較，熟練 分析網絡風險情況，就像其了解資產負債表的健康情況一樣。 一旦他們能夠理解其所面臨的網絡風險的性質和規模，他們才知 道如何分配資源才能最好地減輕風險。 此次調研發現，41%的受訪者使用網絡成熟度評估指導網絡投資 決策；35%使用風險量化工具；23%稱其依賴于公司網絡領導層 的經驗。當被問及對新的和/或現有應用程序進行風險分析/威脅 建模的頻率時，37%的首席信息官和首席信息安全官表示他們每 季度進行一次，29%每月進行一次。盡管這些

11、評估通常屬于首席 信息官和首席信息安全官的職責范疇，但更多的利益相關者也務 必要了解這些工作的相關性和重要性。 網絡安全及轉型挑戰 在任何行業，保持競爭力都需要快速開發新產品和 服務并推向市場。 創新型業務模式不僅僅是簡單地將現有 流程數字化，其正在覆蓋供應鏈并打造 新穎的客戶體驗。這種轉型也使企業面 臨新的網絡風險，要求企業采用新的網 絡戰略保護不斷發展的業務模式。為管 理這些風險，公司高管和董事會成員需 擁抱變革，實施跨業務線的有效治理， 并演進風險管理流程以實現對所有新接 入業務的端到端可見度洞察，也包括由 第三方承接運營的業務領域。能否成功 取決于企業高級管理層的承諾， 以及在 網絡安

12、全方面有效投入的同時，他們理 解網絡安全風險的能力。 在被問及如何對其未來一年的數字化轉 型舉措進行排序時，16%的受訪者將數 據分析列為首要任務，15%選擇云技術， 另有15%選擇新購或升級ERP系統。在今 年的調研中， 增加了OT/ICS（運營技術 /工業控制系統）的問題以及回應選項 （14%認為其是首要任務），這表明整 個行業正在努力實現工廠和運營技術環 境的數字化和現代化。 真正具有顛覆性的是變革的速度和規模。 新冠疫情爆發后，整個世界都轉向線上活 動，這種顛覆立刻變得更加明顯。隨著企 業大量員工遠程協作，所有企業部門幾乎 立刻轉型。所幸大部分所需的生態系統， 從云到 Shadow I

13、T (影子IT設施) 到 ICS （工業控制系統），均已就位并準備好迅 速擴張。但不太明顯的是這種轉變背后存 在著網絡風險，目前很少有企業掌握識別 并緩釋網絡風險至可接受水平的的方法。 企業數字化專項舉措企業數字化專項舉措優先級排序優先級排序 數字化轉型 5 構建合適的網絡安全團隊構建合適的網絡安全團隊 期望董事會成員或首席高管成為網 絡安全專家并不現實。但他們卻可 作出招聘決策，組建網絡團隊，幫 助其了解網絡安全問題，并以其能 理解的方式提供相關信息。 10% 物聯網 10% 云遷移與整 合 12% 數據安全 11% 應用程 序安全 11% 基礎設施 安全 10% 事件響應/災 難恢復 13

14、% 威脅探測與監控 12% 網絡轉型 11% 身份解決 方案 全速前進？ 面對規模競爭的壓力，企業領導人 通常過于關注數字化轉型的結果， 而無法充分考慮網絡安全的風險。 這種情況下，就算擊敗競爭對手， 也會產生具有明顯盲點的隧道視野 效應。 隨著網絡安全問題滲透到從客戶觸點 到智能工廠以及員工的遠程設備的各 個角落，IT部門的職責不再局限于管 理防病毒軟件和密碼安全，它不僅要 保持網絡運行，更需要更廣泛、更深 入的思考。 目前，首席信息安全官需要獲得授權 去影響所有業務線、收集整個企業范 圍內的信息并與董事會和高級管理層 直接對話，還要投入資源和人力充分 保障企業最重要的戰略重點和資產。 這在

15、面對首席財務官時很難說清楚，因為對 大筆網絡安全投資的結果通常是毫無結果。 這也意味著零網絡事件是花費很多的。那么， 首席信息安全官該如何規劃其網絡安全預算？ 2019年，首席信息安全官和首席信息官表示 他們的網絡預算平均分配給各個網絡安全項 目。2021年，這一情況并未改變，受訪者再 次表示網絡安全預算進行了類似的平均分配。 首席高管應認識到，管理網絡風險沒有一勞 永逸的解決方案。 因此，網絡安全預算正在增加，著重傾向于 威脅情報、監測和監控、網絡轉型以及數據 安全。在全球范圍內，首席信息安全官和首 席信息官正不斷投資于云上規?；W絡解決 方案；網絡/技術韌性；人工智能驅動的威脅 評估和識別

16、，以構建企業的網絡防線。 企業企業以近乎平均以近乎平均的網絡安的網絡安 全預算全預算分配應對分配應對各領域的各領域的 風險風險 數字化轉型 6 85% 是 11% 否 4% 不知道/ 不確定 個性化體驗甚或侵犯權益？ 合乎道德地使用個人數據 我們都期望個性化、有針對性的體驗，從食品配送到出差旅行和醫療保健的 一切都能基于我們過往的互動軌跡。我們不希望自己總有被營銷人員跟蹤的 感覺，無休止的硬塞一些我們不感興趣的優惠券。 公司如何管理客戶數據，在保護隱私的同時實現在線連接和個人體驗， 可能是盈利或虧損，乃至能否長期存續的差異因素。 您是否能衡量并證明對全球數據隱您是否能衡量并證明對全球數據隱 私

17、條例的遵守情況？私條例的遵守情況？ 隱私設計 對于每一個面向客戶的項目，務必要在項目最初 考慮隱私和安全。反思與客戶建立這種程度的接 觸度對業務模式的重要性，并仔細思考提供恰當 服務水平所需的信息類型以及此等信息誰可以訪 問、如何儲存和保護方式。在問到首席營銷官是 否能夠衡量并證明對全球數據隱私條例的遵守情 況時，絕大多數受訪者（85%）回答可以。 避免數據膨脹 僅僅收集大量數據希望未來有用，這是對資源的浪 費并可能導致失敗。若客戶沒有看到明顯的好處， 他們是反感提供個人信息的。收集并有效使用個人 數據打造真實、個性化和人性化的體驗將推動企業 發展。但另一方面，所擁有的數據越多，面臨的風 險也

18、越多。關鍵在于如何平衡。在被問及是否收集 個人數據時，受訪的首席營銷官中有一半表示收集 數據打造個性化客戶體驗更為重要，另一半則表示 不收集個人數據以防數據泄露更為重要。 客戶體驗 7 51% 極好 還行 40% 有待提高 9% 價值與信任 如今，人們意識到其個人數據擁有內在價值。 他們將交出個人數據視為一種投資，并想要 知道有何回報：提供個人數據應使生活更加 便利。像任何有價值的東西一樣，個人數據 必須安全可靠。同時，人們對機構提出更多 要求，謀求選擇如何及何時使用其個人數據。 當公司可信的兌現他們的承諾時，客戶關系 會加深。 客戶行為反映出他們對公司的信任程度。高 信任分數與回頭客密切相關

19、當客戶認為 公司誠實可靠，他們的復購率會上升540%， 此外，還會在社交媒體上強烈支持。因此， 受信任企業的表現大大優于其他企業，例如， 受信任企業在過去一年的抗風險能力高出兩 倍。 根據我們的調研，91%的首席營銷官認為其 企業“極好”或“還行”地平衡了收集數據 和建立信任。如此高的信任度讓人不禁要問， 其他首席高管也這么認為嗎？這當然表明首 席高管間需采用協同方式，以確保盲點不會 被忽視。 道德監管 消費者越來越愿意購買有綠色環保產品公司的 產品，并積極響應社會問題。同時，他們也擔 憂公司如何使用其個人數據。 傳統而言，公司聽從監管機構的指引哪些該做 哪些不該做。雖然遵守世界各地的各種法律

20、至 關重要，但如果無法解釋分享數據的目的，僅 僅假設人們愿意分享個人數據已遠遠不夠。另 外，解釋要使用通俗易懂的語言。 無論公司處于哪個地區，那些將信任植入公司 DNA并清楚地傳達愿意遵守客戶隱私權保護的 公司將得到客戶的忠實擁護。公司應編制簡潔 明了的用戶協議，便于用戶訪問、刪除或遷移 其個人數據。當客戶看到公司認真考慮數據政 策并公開數據足跡時，他們更愿意與公司分享 數據。 以隱私 設計開 始 使用所收 集的數據， 不收集不 需要的數 據 打破孤島， 使信息變 得可訪問 并可在企 業中自由 流動 建立無 縫體驗 并堅守 誠信 如果/當發 生數據漏 洞，則利 用這個契 機從錯誤 中學習并 建

21、立更多 的信任 讓信任成為指明燈 闡述您試圖打造的客戶體驗場景，以及為此所需（和不需要）的數據。企業中 的相關主體都對建立客戶信任負有責任。 讓公共 關系部 門參與 所有工 作 *Deloitte HX TrustID research，2020年10月至2021年6月 客戶體驗 您認為貴公司營銷部門在收集數據和建立客戶信任之間的平衡如何？您認為貴公司營銷部門在收集數據和建立客戶信任之間的平衡如何？ 020103040506 8 阿根廷 澳大利亞 巴西 中國 法國 德國 印度 日本 英國 美國 從不參與每半年一次每年一次不定期每季度一次每次 100% 56%33%11% 13%50%38% 7

22、5%25% 75%5%21% 33%67% 100% 10%40% 62%33%5% 50% 42%47%11% “客戶不會像企業那樣 從隱私、安全和身份等 方面擔憂其數據使用， 而是會想該公司是否 考慮到了我的最大利益？ 他們使用我的數據是對 我有利還是對他們有利？ 他們是否在竭盡所能地 保護我的個人信息？” 網絡安全服務全球數據與 隱私保護領導人ANNIKA SPONSELEE 關于數據泄露 盡管各企業采取了最高級的防范措施，數據泄露事件 仍層出不窮。明智的做法是警惕數據泄露隨時可能發 生，并未雨綢繆。措手不及只會讓情況變得更糟。您 的事件響應態度將詮釋貴司品牌的聲譽。您應與您的 網絡安全

23、團隊一起開展事件響應計劃演練和數據泄露 場景測試，并協力制定恢復計劃和相關溝通策略。 根據我們的調查，各首席營銷官表示正全力協作其網 絡安全團隊， 其中46%表示他們會每季度參與一次此 等計劃和測試。全球響應程度不一，較之于其他國家， 阿根廷、德國和澳大利亞的首席營銷官與其網絡安全 團隊的協作程度更高。 當發生泄露事件時，您有義務將所發生情形充分告知客戶。清楚地 向客戶簡述您所采取的響應舉措，并選擇最恰當的信息傳遞方式： 是否有必要由首席執行官親自致函，公司提供禮品或給予其他補償？ 即使事態嚴峻，溝通得宜也可以加深與客戶的關系。將客戶利益放 在首位，處理好棘手情況，可以幫助您的聲譽迅速反彈，并

24、取得客 戶更深的信任。 打破數據孤島 首席營銷官和首席體驗官往往先根據品牌和營銷要求制定決策，最后才與首 席信息安全官確認數據收集得當與否（通常答案為“否”）。不同團隊對數 據收集持不同看法。一個團隊認為其工作需要收集盡可能多的數據，而另一 團隊認為只需收集必要的數據并加以保護。而最佳實踐是協力研究如何在收 集用以提供無縫體驗所需信息的同時，盡可能地降低公司及其客戶所擔風險。 在利用數據將客戶體驗點連接起來之前，企業應有將數據孤島鏈接的人才。 反之，在設計隱私政策和溝通機制時，企業也應引入市場營銷人才。這對品 牌營銷和信息傳遞而言日益重要，而他們可以提供幫助。 您多久參與一次您多久參與一次貴企

25、業貴企業的網絡安全事件響應計劃和測試？的網絡安全事件響應計劃和測試？ 客戶體驗 9 “當前存在一種誤解，即認 為采用零信任理念需實施大 規模的淘汰和取代計劃。 其實退一步，戰略性地考慮 采取迭代和增量法來實現你 的目標狀態，這點至關重 要?！?網絡安全服務美國零信任安全 架構領導人ANDREW RAFLA 72%的受訪者表示，其所在企業僅在去年就經歷了1至10起網絡攻擊和數據泄露事件。 如今企業面臨的挑戰是“如何才能完全消除固有的信任”？這對我們如何建立現代安 全架構而言是一次顛覆性變革。幸運的是，零信任安全架構能夠滿足要求。 保護沒有邊界的 網絡世界 在傳統環境中，IT資源均包含在明確的網絡

26、邊界內。外部流量 不得信任，而所有內部流量得以信任?，F在呢？我們生活在 一個高度互聯的世界，一切事物的聯系都日益緊密。對于大 多數現代企業而言，網絡邊界基本上已經消失。 數字化的快 速發展導致IT 的復雜性和 成本提高。 如今，移動辦 公人士日益希 望能夠不受地 方和設備限制 開展工作。 數字產品和服 務的發展轉向 云端。 對更優質便 捷的業務協 作和供應鏈 集成的需求。 攻擊方變得更 加老練，能夠 入侵當前的網 絡防御系統。 實時訪問控制 終于，我們有計算能力和技術進行基于風險的訪問控制實時動態 決策。 實時訪問控制不再采用二元法：允許或拒絕。 每個連接請求都將根據一組上下文因素進行驗 證，

27、從而得出基于風險的訪問決策： 源連接是否來自經認證和授權的用戶源連接是否來自經認證和授權的用戶？ 它是否來自已知且安全的設備它是否來自已知且安全的設備？ 該用戶是否經常從該地理位置進行連接該用戶是否經常從該地理位置進行連接？ 連接時間連接時間與該用戶與該用戶歷史記錄是否一致？歷史記錄是否一致？ 是否是否存在其他存在其他應在授予訪問權限之前加應在授予訪問權限之前加 以以重視的信號或威脅情報？重視的信號或威脅情報？ 0102030405 關于零信任 零信任并非一種技術或單一的解決方案，而是一套基于“持續驗證，從不輕信”這一 基本原則的安全架構策略。其理念是將傳統的基于邊界或“城堡與護城河式” 的安

28、 全管理方式，轉變為按需在單個資源與客戶之間構建信任的安全管理方式。在零信任 模式下，用戶將基于經不斷重新驗證的內外部因素建立可信連接。 是什么推動了向零信任的轉變？ 零信任 10 巨大優勢 通過降低運營復雜性和簡化生 態系統集成，它可以： 改善客戶體驗改善客戶體驗 提高業務敏捷性提高業務敏捷性 提升業務彈性提升業務彈性 減少威脅面減少威脅面 實現成本節約實現成本節約 優化優化與業務合作伙伴的協作與業務合作伙伴的協作 加速加速上云之旅上云之旅 網絡衛生轉型與混合IT 網絡安全人才 限制 影子IT 26%41% 20%13% 踏上零信任之旅 大多數企業已經有意或無意地走上了“零信任”之旅，所采用

29、 方法因戰術、架構或戰略的主導程度而不同。雖然零信任適用 于所有行業和領域，但并不能提供一個 “萬能”的解決方案。 零信任是一項歷時多年的倡議，是一次打破業務、IT和各網絡 領域之間數據孤島的變革。任何零信任之旅都將面臨荊棘阻礙， 需要整個企業給予強有力的領導層支持、投資和認同才能確保 成功。 您需要考量與企業相關的業務驅動因素、現有功能和用例。牢 記網絡安全基本原理至關重要：您想要保護哪些資產？這些資 產在哪里？誰（身份）和哪些（設備）應能夠訪問這些資產， 且須滿足哪些條件？要回答這些問題，企業需確定執行IT資產管 理和數據治理功能的優先順序，以了解自身資產和數據的類別 和重要性并由此創建訪

30、問控制策略 。然后確定您的目標并 將其嵌入端到端策略，這是實現所期望業務成果的最可靠方法。 然而，這并非易事。受訪者紛紛表示“數據管理/邊界和復雜性 加劇”是在企業在網絡安全管理中面臨的最大挑戰。 零信任不僅僅是一項技術解決方案，更是一次文化變革。其對 整個企業的影響不可小覷。溝通、員工專業培訓、認知和運營 流程調整等軟因素是取得成功的關鍵要素?？偠灾?，此等計 劃需要結合所有利益相關者的承諾以制定與業務契合的戰略， 以及強有力的領導、專用架構、技術工作組和可落地試點計劃 的支持。 前行之路 科技巨頭正引領零信任的成熟度之旅，并應用這些原則開發、 運營和提供安全服務。其他領先企業正采用零信任戰

31、略以支持 業務優先事項、數字化轉型和企業風險戰略。在對自身架構進 行現代化升級時，了解領先企業如何創新及實現規?；渴鹨?有助于您加速數字化轉型。毋庸置疑，變革已然開始。您越早 開始向零信任過渡，此次旅途就越安全。最好是坐在駕駛座里， 決定您的目的地實現零信任正當時宜。 現狀 本報告概述了首席信息官和首席信息安全官在企業網絡風險管理 方面所面臨的挑戰。其中最大的挑戰是轉型與IT混合架構中的網 絡安全清潔、人才限制和影子IT設施時代的到來。隨著數字化轉 型加速，這些挑戰只會變得愈發復雜。我們必須重新構建能夠支 持加速數字化轉型的安全架構?，F在是行動的時候了！ 以下以下哪項是貴企業在哪項是貴企業在

32、基礎基礎設施網絡設施網絡安全管理方面所面臨的安全管理方面所面臨的最大最大挑戰？挑戰？ “是時候充分利用零信 任原則，構建能夠跟上 并實現數字化轉型的現 代安全架構了?！?網絡安全服務全球零信任 安全架構領導人MARIUS VON SPRETI 零信任 11 “許多企業忽視了連接 其環境中現有技術設備 所帶來的風險。整個生 態系統的受攻擊面正在 增加?！?網絡安全服務全球網絡新 興技術領導人DANA SPATARU 服務和功能的可用性 內部業務考量 合規遵從能力 加強隱私能力 提升安全能力 64% 59% 50% 45% 31% 連接新興技術領域 大眾目光往往聚焦于量子計算、5G和數字孿生等前

33、沿技術，但在制造業應用了數十年的既有技術（如 運營技術）也屬于新興技術范疇。 無論一項技術是全新問世或是部署已久，“新興”是指它與互聯網的連接， 也指現實世界與數字世界以幾乎任何可以想象到的方式實現互聯。我們正 見證一場徹底顛覆醫療設備、交通運輸及農業等各個行業的數字化轉型。 數字化轉型不僅改變了幾乎所有事物的制造及使用方式，也帶來了前所未 有的安全風險。 首席信息官和首席信息安全官對未來三年將推動其采用新興技術的因素進 行了排名，提升安全能力位居榜首（64%），其次是加強數據隱私能力 （59%）和合規遵從能力（50%）。 以下哪項因素將推動您采用新興技術以下哪項因素將推動您采用新興技術？ *

34、受訪者可多選適用答案，因此各選項的百分比加總超過100%。 新興技術 12 “盡管人們普遍認 為，近期發生的重 大網絡攻擊事件是 復雜性日益提高所 導致的結果，但實 際上大多數網絡攻 擊的發生都是由于 缺乏基本的安全控 制和網絡安全清潔 計劃。這并不復 雜?！?網絡安全服務全球 網絡新興技術領導人DANA SPATARU 新興技術新興技術 的四大支的四大支 柱柱 互聯產品互聯產品 智慧城市智慧城市 5G 網絡安全網絡安全 運營運營技術技術 （OT） 雖不見，但相連 小型全數字化實體仍可從單一視角監控網絡風險。但在短期內， 此舉對于擁有復雜互聯生態系統的大型實體而言已不可取。對此， 解決辦法是讓

35、各方明確其權限下運營流程的安全責任和問責機制。 即使沒有整體視角，但當各方均高效負責其生態系統的一環，提 高其安全性，則整體風險自然降低。 各企業達成整體安全目標的速度因技術類型及其復雜性而異，但 核心理念是有效涵蓋安全基本要素并安全地共享信息?，F在，解 決辦法很簡單。從長遠來看，企業應牢記，各區域之間若能保持 流程一致，將大大提高效率和效果。越早達成一致性，就能越快 達到更高的安全成熟度。集中式和分散式模型均能奏效，但它們 最終應該合并為一個綜合網絡風險視圖。 業務核心 從治理角度來看，新興技術?；驅⑹謴碗s，應委任安全事宜的 負責人，得到董事會的認可和支持，不僅有助于獲取和管理技術， 還有

36、助于建立正確的戰略合作伙伴關系。與傳統IT不同的是，新 興技術與核心業務緊密相連，得到高管支持將變得更加容易。 舉例而言，如果一家制造企業的OT設施遭遇網絡攻擊，人們很容 易看出該問題將很快超出首席信息安全官的解決范疇。隨著生產 陷入停滯，運營主管即刻便感到擔憂，收入損失會令首席財務官 和首席執行官感到頭疼，負面報導亦會令首席營銷官感到困擾等 等。 安全即資產 上述情況說明，新興技術使企業業務管理者對網絡安全的影響顯著提升。當前市 場環境日益互聯，若首席執行官想要提升產品銷量，構建安全機制可令其產品更 具競爭力。企業應將對安全機制的關注重點從成本增加轉向價值創造，這將開啟 如何減少業務中斷以推

37、進改進流程的對話。當然，安全機制是必要的，盡管它是 討論基礎，但它也是次要論題。 互聯互通不斷加速 傳統上與互聯網隔絕的運營技術（OT）領域最近經歷了一波又一波的勒索軟件 攻擊。隨著越來越多的公司選擇遠程管理廠房和設備，此等攻擊對生產的直接 影響引起了人們對互聯脆弱性的關注，而新冠疫情更是使得這一情況加劇。 重要的是要清楚，所有的互聯生態系統醫療設備、汽車乃至整個城市都 有類似的風險特征。醫療設備可能是基于醫院原有的內部平臺而造，而現在借助 互聯網便可在家使用。經互聯賦能的電動汽車有望在全球范圍內迅速取代化石燃 料汽車?；ヂ撈囆枰稚⒂诟鞯氐谋姸喙烫峁┝悴考?，但這些供應商可能 并未在其零

38、部件中內置安全機制。隨著城市大力推動服務與關鍵基礎設施互聯， 其與云服務供應商、平臺所有者等眾多第三方合作亦是勢在必行。上述情形均會 導致互聯生態系統的受攻擊面增大、風險倍增以及責任不明等情況發生。 德勤網絡專注網絡專注于于以下以下 新興技術特定領域：新興技術特定領域： 這四大領域涵蓋了我 們在實踐中遇到的絕 大多數場景 13 新興技術 13 “對領導層而言，在計劃 變革之初便將網絡安全納 入考量范圍至關重要。哪 些數據和資產是變革的一 部分？企業需要哪些技術 來保護它們？” 全球客戶與行業領導人 SIMON OWEN 沒有萬能的解決方案 董事會、管理層以及網絡風險管理者紛紛表示，網絡風 險一

39、直是各行業中排名前三的企業風險。所有行業愈發 意識到知識產權和客戶信任的脆弱性。 各行各業正紛紛踏上數字化轉型之路，而圍繞網絡安全和諸多地域及其他因 素的監管成熟度仍有參差。雖然疫情期間涌現出許多共同主題，如供應鏈安 全和遠程辦公加速了對零信任安全架構的需求，但目前尚無可適用于所有行 業解決網絡挑戰的萬能解決方案。 無論企業路在何方，保持對某些日益關鍵的領域的關注至關重要。為應對無 處不在的網絡威脅，許多政府正加大監管力度，部署前沿安全措施已是勢在 必行。在法規還沒有涉及的領域，技術的日益互聯和個性化也迫使生態系統 在安全基礎上重新構建。最后，意識到所有行業的脆弱性可以促進信息共 享適應和學習

40、其他行業的做法將變得愈發重要。 監管激增 網絡攻擊已經導致某些行業的監管部門頻繁出臺新政。2021年5月，美國東 海岸最大的成品油管道運營商Colonial Pipeline遭遇勒索軟件攻擊，該事件 催生出一項要求能源公司加強網絡安全的新行政指令。 在能源資源和工業（ER cyber/technical resilience; and artificial intelligence (AI)-driven threat assessment and identification, to build their organizations cyber defense. Organizations

41、 cyber budget is relatively evenly spread to broadly mitigate risk DIGITAL TRANSFORMATION 6 85% Yes 11% No 4% Dont know/ unsure Individualized or intrusive? Using personal data ethically People expect personalized, targeted experiences. We want everything from food delivery to travel and healthcare

42、to be frictionless, based on our past interactions. What we dont want is the sense were being followed everywhere by marketers feeding us an endless diet of coupons for things were not interested in. How companies manage customer data, connect online and in-person experiences while protecting privac

43、y can be the difference between profit or loss and even long-term survival. Are you able to measure and demonstrate compliance with global data privacy regulations? Privacy by design For every customer-facing project, its important to take privacy and security into account at the beginning. Ask your

44、self, how important for our business model is having this degree of intimacy with our customers? Carefully think through the type of information you need to provide the right level of service. Then understand who needs to access it and how it will be stored and protected. When we asked Chief Marketi

45、ng Officers if they were able to measure and demonstrate compliance with global data privacy regulations, the majority (85%) responded that they could. Avoid data bloat Simply harvesting reams of data in the hope that its useful in the future is a drag on resources and likely a recipe for failure. C

46、ustomers resent giving up personal information when they dont clearly see a benefit. Collecting and effectively using data to create authentic, personalized and human experiences is a catalyst for growth. The flip side is the more data you have, the more risk you encounter. Its all about balance. Wh

47、en asked, the CMOs we polled were evenly split between answering it was more important to collect data to personalize customer experience versus more important not to collect personal data in order to protect against a breach. CUSTOMER EXPERIENCE 7 51% Very well Somewhat well 40% Needs improvement 9

48、% Value and trust Today, people realize their personal data has intrinsic value. They see handing it over as an investment and want to know what is the return: providing personal information should make life easier. Like anything of worth, it must also be safe and secure. Also, people are demanding

49、agency, seeking to choose how and when then their data is used. When companies reliably deliver on their promises, customer relationships deepen. The extent customers trust your company is reflected in their behavior. High trust scores correlate closely with repeat businesstheir chance of buying again rises 540% when they believe companies are reliable. Perhaps just as significantly, they will support you strongly on social media. As a result, trusted businesses greatly outperform the restfor example, trusted companies were 2x more resilient during the past year.* Accordi