通往数字化成功的途径:为什么 C-Suite 需要了解网络风险
众所周知,制造商在大流行期间受到重创。好像受限的供应链和不断上升的通货膨胀还不够,还有来自网络攻击的日益增加的威胁需要应对。 2021 年,该行业占勒索软件攻击的近四分之一 (23%),超过任何其他垂直行业。但是,尽管网络安全领导者可能非常了解扩大数字化转型项目所涉及的风险,但有时董事会却不太适应。这种情况必须改变。只有在高级领导层推动下采取主动的安全策略,制造商才能希望避免对其业务造成的重大风险,并从数字创新所提供的一切中受益。只要最高管理层继续置身事外,这些变革性收益将仍然遥不可及。
数字投资意味着数字风险
据 IBM 称,去年制造业取代金融服务成为最受攻击的行业,继后者的长期统治。瓦是吗?因为威胁参与者押注勒索软件造成的破坏会对下游供应链产生如此潜在的关键影响,以至于制造商别无选择,只能支付大笔赎金。他们的逻辑是合理的。事实上,随着组织寻求对其 IT 环境进行现代化改造,该行业越来越多地面临此类威胁。根据 The Manufacturer 发布的另一项研究,数字化转型正在行业中迅速发生。超过三分之二 (67%) 的受访者表示,由于大流行,他们加快了数字技术的采用,只有 16% 的人暂停了此类项目。他们将技术改进视为提高运营效率、弹性和生产力的关键。但随着企业网络攻击面的扩大,这些举措也带来了额外的风险。部分原因在于增加了与传统 OT 设备的连接。通常,此类系统既难以打补丁又具有长期公关产品更换周期。例如,趋势科技 2019 年的研究发现,多达 69% 的全球制造商运行的是过时的操作系统。为什么这很重要?因为未修补的软件漏洞是一个关键的威胁媒介。 IBM 的研究发现,2021 年,近一半 (47%) 对制造商的勒索软件攻击是由于目标公司没有或无法修补的漏洞造成的。当 OT 系统离线时,这些缺陷在很大程度上被忽略了。但多亏了互联网连接,远程攻击者现在能够从远处匿名探测这些机器。这意味着工厂主面临更高的风险。他们还使用过时且不安全的协议进行通信,突出显示了另一种潜在的妥协途径。还有更多。随着制造商数字化,他们正在将更多系统连接到云基础设施,以提高流程效率和生产力。但这些环境经常配置错误,也可能未打补丁.物联网 (IoT) 设备在智能工厂中也越来越受欢迎,但出于同样的原因,它们也可能引入新的攻击途径。这是一个快速发展的行业,设备中并不总是内置足够的网络安全保护。所有这些都可能由于勒索软件妥协而导致严重的生产中断。但这并不是唯一的威胁,尽管它很严重。如今,这些攻击中的大多数还包括数据窃取元素。这可能意味着高度敏感的原理图、生产设计和其他知识产权落入坏人之手。 Apple 供应商 Quanta Computer 在去年因严重数据泄露而遭到 5000 万美元赎金的打击时,发现了这一点。董事会“面临”网络风险吗?
存在矛盾的核心趋势科技最近的一项研究揭示了制造商如何应对这些威胁。一方面,董事会似乎明白了。大约 93% 的制造业受访者表示根据市场事件,告诉我们他们的高级领导担心勒索软件。三分之一的人表示,他们认为网络安全是当今最大的商业风险。此外,近三分之二 (63%) 的受访者表示,网络攻击对业务风险的成本影响最大。然而,另一方面,制造商中 88% 的 IT 和业务决策者 (ITDM/BDM) 表示他们的组织愿意在网络安全方面做出妥协,以支持其他业务优先事项,例如加速数字化转型和业务生产力。这完全误解了安全在前瞻性组织中的作用。它充当转换的推动者,而不是阻止或检查它。这不是一个非此即彼的选择。相反,有效的安全性是任何业务计划取得成功的必要先决条件,并且必须从一开始就进行设计。最高管理层没有做到这一点的事实可能表明存在更深层次的不适——即广告商对战略网络风险管理的概念只是口头上的承诺。事实上,我们调查的 ITDM/BDM 中只有一半表示他们认为最高管理层完全了解网络风险。引用的主要原因是它是一个复杂且不断变化的主题 - 它确实是。但其他受访者指出了更严重的问题。超过四分之一的人声称 C-suite 没有足够努力地理解网络,并且类似的数字认为它根本不认为这是一个董事会问题。未参与的董事会的影响
所以,这到底是什么意思?单独的研究表明,当董事会成员参与并接受有关网络的教育时,他们会向 CISO 提出更尖锐的问题,更深入地研究问题,并更清楚地把网络安全和业务问题联系起来。如果最高管理层仍然不参与,就会缺少这种洞察力。我们发现,在一半的制造组织中,网络仍被视为 IT 而不是商业风险。类似数量的 ITDM/BDM 受访者同意他们的组织对网络风险的态度每个月都不一致。这就是挑战的核心。即使是未参与的董事会也不能忽视严重的网络事件。但事实是,如果不了解威胁形势和定期更新风险级别,他们就不会思考和规划策略来防止此类事件的发生。相反,他们会以一种不稳定和零碎的方式对它们做出反应。这不利于有效利用公司资源。我们找到了更多证据来支持这一理论。全球近一半 (47%) 的制造业受访者告诉我们,网络是降低业务风险的首要投资领域。类似的数字表示,鉴于最近发生的事件,他们的组织增加了这项投资。但这才是关键:这在很大程度上是一种反应性措施,而不是那种战略性的、主动的措施决策制造商需要。结果是,钱被扔在了这个问题上,而且不可避免地有很多钱被浪费在重复的技术和仓促编写的计划上。接下来需要做什么?
但是,有些事情是可以做的以纠正这种情况。提高参与度和意识必须从 IT 安全和业务领导者之间更好的沟通开始。不幸的是,目前这种对话不够频繁,也没有对最高管理层产生影响。只有 56% 的制造业 IT 团队至少每周与最高管理层讨论网络风险,而每天这样做的人数下降到 14%。将近五分之一 (17%) 的人每季度或更少地这样做一次。鉴于网络威胁形势的绝对变化率,季度更新严重不足。 “少而经常”应该是 IT 领导者的口号。董事会成员不想被信息淹没。但如果严重的业务风险,他们也不应该被蒙在鼓里k 正在增加。不幸的是,77% 的 IT 和业务领导者声称他们在董事会会议上感到压力,要求他们淡化网络风险的严重性。他们实际上是在进行自我审查,以免听起来过于重复或过于消极,四分之一的人声称这是一种持续的压力。这只会造成恶性循环,最高管理层仍然不知道他们真正面临的风险。归根结底,网络安全是一个瞬息万变的行业,正是因为防御者和攻击者陷入了无休止的军备竞赛。随着这些变化以及各种外部因素的影响,企业风险起伏不定。这意味着董事会必须定期更新其组织的风险状况。但这些信息还必须以他们可以理解的语言进行交流。制造商可以将世界上所有的钱都花在数字化转型上,但如果他们的新技术被黑客攻击并在几个月内瘫痪,那又有什么用呢?发射后?必须以这些术语来宣传安全性——作为确保任何数字计划都建立在稳固基础上的一种手段。首先,这应该意味着通过更好的基于风险的补丁和配置管理程序、更严格的访问控制和其他网络卫生最佳实践来提高弹性。但它还应该包括在威胁不可避免地潜入时进行快速威胁检测和响应——以确保在威胁行为者造成任何损害之前将其抓获并打包送走。这不会是一段轻松的旅程,但它对所有制造商来说都是必不可少的.这将要求 CISO 找到一种不同的方式来谈论风险。但首先,他们需要一个准备好倾听的董事会。关于作者 Bharat Mistry,Trend Micro 的技术总监 Bharat 是 Trend Micro 的技术总监,他负责管理技术和客户支持团队。他拥有 20 年的信息安全专业经验,曾在 Alcatel Lucen 工作t/诺基亚、KCOM 和西门子。在加入 Trend Micro Bharat 之前,他曾在 HP Enterprise Security Services 的 CTO 办公室担任安全技术专家。 Bharat 为客户提供战略咨询,以推动安全转型并帮助 CISO 实现关键业务目标。他专注于制造、石油和天然气、金融服务、电信和零售市场的主要全球客户。 Bharat 也是趋势科技的主要媒体发言人之一,并定期出现在主要的行业活动中。
