行业研究公司研究宏观策略财报招股书会议纪要 seedance2.0 低空经济 DeepSeek AIGC 大模型

董事会：工业界的最终网络安全防御

信息技术 2024-03-20 麦肯锡张曼迪

Risk & Resilience Practice: Boards of Directors as the Final Cybersecurity Defense for Industrials

The increasing adoption of new technologies and digitization has expanded the "attack surface" for cyber threats, posing significant challenges for organizations. Cyber defenses must evolve to combat sophisticated attacks originating from various directions. While some organizations might focus solely on managing daily cyber threats, the strategic security plan — outlining approaches and directions — is crucial, especially for the board of directors.

Boards play a pivotal role in defining objectives, setting major goals, and maintaining organizational direction over time. As cyber threats intensify due to increased digitization, cloud adoption, advanced connectivity, and AI, including generative AI (gen AI), boards across industries can guide strategies to enhance cyber resilience.

Understanding the organization's landscape is key. For instance, the industrial operational technology (OT) sector, embracing digitization, faces an escalating "attack surface." Once considered air-gapped from the internet, OT capabilities now make it vulnerable to cyberattacks, with threat actors actively seeking entry points.

Cyberattacks on OT space in 2021, publicly reported, showed a 140% increase over the previous year, with about 35% having physical consequences and estimated damages totaling $140 million per incident. Geopolitical risks in 2022 led to an 87% rise in ransomware incidents, with Europe and North America experiencing the highest increases.

Organizations should consider multiple cybersecurity landscapes, including:

Digital OT: Physical systems controlled and monitored through IT networks. Remote monitoring from centralized/local control centers sends commands to remote systems. However, digital access introduces new cyberattack pathways, especially with legacy equipment that is hard to secure.
Cloud and Edge Computing: Essential for video monitoring and cost-effective computing. Yet, these systems pose security challenges due to integration with IT systems and potential impacts on plant control systems.
Internet of Things (IoT) and Industrial IoT: Enables remote monitoring of critical parameters like pressure, pump viscosity, and temperature. Widespread deployment and low cost leave devices vulnerable to basic attacks.
AI: Provides cognitive insights and automates decision-making processes. However, these capabilities can also be exploited by attackers to take control or negatively affect targeted organizations.

Attack Surface Expansion: An evolving digital environment creates a larger attack surface as threat actors become more innovative and sophisticated. Vulnerabilities are increasingly found in public clouds, where security misconfigurations are common. Lack of strong central oversight and governance in cloud usage exposes companies to significant risk.

Additionally, cybercrime groups are now technologically on par with nation states, thanks to the popularity of ransomware. This has enabled the creation of hacker organizations rivaling nation states in terms of talent and financial resources, with increased demand for specialized skills driving a thriving cyberattacker economy.

Freelance Hackers and Gen AI: Attackers are pooling skills to become more specialized and sell their services for personal profit. The use of generative AI (gen AI) in developing novel attack techniques is another emerging trend, allowing threat actors to explore vulnerabilities, improve existing tools, and create new ones for various purposes.

Defenders' Response: Despite the overwhelming nature of threats, the advancements in defensive strategies are encouraging. Over the past few years, organizations have strengthened their cyber defenses. The number of significant cyberattacks has remained relatively stable despite the growing volume of daily threats, indicating a maturing response.

In conclusion, the role of the board of directors in shaping strategic security plans and fostering a culture of continuous learning and adaptation is crucial in safeguarding organizations against the evolving landscape of cyber threats. By understanding their unique landscapes and responding proactively, organizations can mitigate risks and maintain cyber resilience.

风险与弹性实践董事会：工业界的最终网络安全防御随着数字化，计算和先进技术的发展，“攻击面”现在是网络攻击者可以利用的系统和功能的总和。作者：Ayman Al Issa，Jim Boehm和Mahir Nayfeh 毫无疑问由于新技术和数字化的稳步采用，网络攻击的数量将在未来几个月和几年内继续增长和升级。然而，还有待观察的是，网络防御者将如何抵御来自四面八方的这些新奇复杂的攻击。要了解对OT行业的影响，请考虑这些数字，这些数字表明，由于数字化，计算规模和高级连接性的增加，网络攻击的威胁持续增长。在2021年公开报告的64次OT网络攻击中(比2020年报告的数量增加了140%)，大约35%有物理后果，估计损失为网络捍卫者可以简单地专注于管理扑灭网络火灾的日常任务，但真正的前沿组织真正需要的是一个战略安全计划，概述他们的方法和方向，而这正是组织董事会可以闪耀的地方。每次1.4亿美元。12022年的地缘政治风险导致勒索软件事件增加了87％，与2021年数据相比，整体增长率的72％来自欧洲和北美（与2021年数据相比，北美增加了40％，欧洲增加了32％，其他大洲增加了28％）。2 是的，董事会处理与公司，股东，员工和公众有关的问题，但它也有助于定义目标，建立主要目标，并随着时间的推移保持专注于公司的方向。每个组织在考虑网络安全时可以考虑多个方面：但是，随着数字化，云采用，高级连接和AI（包括生成AI（gen AI））的增加，网络威胁继续增长，所有业务部门的董事会都可以为组织在何处以及如何保持网络安全提供指导。 —数字OT。这是物理系统（例如工厂和设施）通过IT（或计算机）网络启用的地方，该网络用于控制和监视集中式或分布式中心的操作。数字OT允许从中央或本地控制中心监控关键现场操作，并将命令远程发送到在偏远地区运行的物理系统。虽然对物理系统的数字访问对于运营效率和安全性非常重要，但它也具有挑战性，因为它引入了新的潜在网络攻击途径。此外，遗产。为此，董事会成员需要了解组织的格局。一个很好的例子是工业运营技术（OT）领域。随着该部门拥抱数字化，其“攻击面”正在飙升位。 OT设备在数字化变得可行之前几十年就已经上线，因此大多数系统都很难安全。 —云和边缘计算。这对于可以监控物理安全边界和具有成本效益的密集型计算的流视频非常重要。但是，由于与IT系统的集成水平以及向工厂控制系统提供闭环反馈的潜力，这些类型的系统也带来了安全挑战。和复杂，这意味着他们正在现代化他们的能力，以利用漏洞。威胁行为者发现漏洞的一个领域是公共云，其中经常存在云实例的安全配置错误，有时也称为“存储桶”。“云实例的安全配置通常是使用云的公司的责任，但安全工程师仍在学习如何保护云。在相当多的公司中，云使用也缺乏强有力的中央监督和治理。一家公司保持数字竞争优势的能力在很大程度上取决于云，如果不能很好地使用云，它可能会使一家公司面临巨大的风险。 —物联网（IoT）和工业物联网。设备允许远程监控压力、泵内部粘度和温度水平等。它们可以从很远的地方访问高度实时和精确的信息。由于这些设备部署广泛且价格低廉，因此通常不会内置安全性，因此即使是基本攻击也极易受到攻击。物联网连接在2023年增长到167亿，比2022年增长16%。3在2023年的前六个月，全球物联网恶意软件增长了37%，导致总共7790万次攻击，而5700万次攻击2022年前六个月的袭击。4 另一个不断发展的领域是，犯罪集团现在在技术上与民族国家相当。多年来，民族国家一直占上风。凭借几乎无限的资金和对真实目标执行现实世界攻击活动的能力，民族国家黑客处于精英阶层。但是现在，网络特工正在将他们的技能用于个人经济利益。由于勒索软件的普及，攻击者现在可以集中他们的技能和资源来创建营利性网络军队。2023年，勒索软件支付创下纪录 —AI.支持AI的系统可以从看似无关的数据源为业务领导者提供认知见解，利用机器学习自动改进AI驱动的系统和功能，并在复杂的运营和业务流程中自动化接近人类的决策。虽然这些功能可以帮助业务领导者跟上全球运营的速度，但它们也有可能让攻击者接管目标组织或对其产生负面影响。 11亿美元。5这种显著的增长使网络犯罪集团的金融资源达到了数十亿美元。人才和金融聚集的结合创造了黑客组织，这些组织实际上与国家竞争。他们现在拥有自己的研发职能、专门的培训学院和专业技能供应商网络。攻击面正在扩大攻击者正在汇集技能无论行业如何，不断发展的数字环境都会创造出不断扩大的攻击面，威胁行为者将变得更具创新性通过汇集他们的技能来创建组，攻击者变得更加专业化。对特定技能集或类型的需求不断增加能力。尽管网络攻击的数量继续以令人难以置信的同比数量增长，但重大攻击（与超过100万美元的影响或超过100万个文件泄露相关的攻击）的数量仍然相对稳定。这表明，维权者继续提高自己的能力，这种能力的提高有很多原因，例如高管的关注和投资、监管和法律压力以及客户和股东的期望。然而，一些组织引入了军事级网络人才和防御工具，增强了防御能力（如安全自动化和。 capabilities has grown a thriving cyber attachereconomy. This, in turn, has enabled attackers to breakoff and effectively become individual contract “hackerfor hire, selling their skills 为了个人利益。对黑客雇佣市场的调查发现，这些自由职业者为量身定制的攻击每个工作收取数百美元到数千美元的费用，其上限是针对大型和重要的跨国公司。6 威胁行为者中另一个更现代的趋势是使用geerAI来开发新的攻击技术。Gee AI有优秀而重要的用途，但并不是所有的功能都被用于好的用途。自从ChatGPT引入以来，在某些情况下，威胁行为者使用它来探索现有代码库的漏洞，改进现有的黑客工具，甚至创建从未见过的工具来从目标系统中窃取PDF，图像和Microsoft Office文件。然后，随着威胁参与者投资于自己的研发，即将发生未知的攻击。自我修复网络)，并改善不同防御团体之间的协作和信息共享。在攻击者继续投资，创新和发展的同时，防御者必须保持警惕，并理解安全是一项持续的努力。他们必须专注于建立弹性，这意味着建立尽可能多的功能，以便在发生网络事件时实现快速响应和完全恢复。同时，犯罪集团的“利用时间”（TTE）逐年下降，与过去几年的几个月相比，现在只花了7天。7来自高性能和有效的下一代技术的敏感信息是网络攻击者感兴趣的。除了窃取能力以试图跟上步伐之外，攻击者还期望实现或利用量子等下一代技术的完整操作能力。为了实现一流的恢复能力，防御者可以遵循以下六个关键行动： —人力资本、培训和认证。组织应确保其网络团队有足够的能力，能力，质量和成果。这意味着雇用足够的合格专业人员，并确保他们获得有效所需的支持和培训。此外，需要有一个标准来衡量它们，以证明真正的改进。但是短缺高达3.5根据一项调查，有100万合格的安全专业人员需要加强并尽自己的一份力量。网络安全是应用技术工具和技术来解决特定问题。在这些领域构建和维护技术的工程师已经拥有必要的知识和技能最近最好的例子是政府攻击者在预期量子解密时进行的主动数据“收集”活动。捍卫者正在吸收知识虽然威胁行为者的进攻能力似乎是压倒性的，但它们可以作为良好的情报，因为防御者正在学习而不是坐着不动。在过去的四到五年里，组织一直在加强他们的网络防御技术不能零敲碎打。如果以这种方式实施，攻击者可以利用环境受保护部分之间的差距。相反，通过强大而有凝聚力的治理加强的顶级战略将确保必要的对齐水平。建立和维护有效的安全。这意味着通过培训、认证和在职学习提高网络专业人员的技能是获得额外技能、知识和经验的有效方法。 —整合网络治理和风险管理。将安全性嵌入到 Exhibit —在数字化转型中按设计嵌入安全架构和工程。安全专业人员知道，拥有安全的数字产品、系统和环境不仅是有价值的，而且是与客户和其他重要利益相关者建立数字信任的重要组成部分。技术团队应该遵循同样的思考过程。 —安全的第三方和供应链。这正在成为一个需要关注的巨大领域。公司雇佣供应商、承包商和顾问，并从广泛的供应链中的大量供应商那里购买硬件和软件。虽然公司专注于自己的安全，但他们也必须努力让第三方遵守同样的高标准，这说起来容易做起来难。公司需要了解第三方供应商的业务关键程度以及相应的业务风险程度。他们需要了解安全性不仅仅是一种增值；它对他们的开发路线图和对使用其产品的客户一样重要。由于最佳安全性是通过设计而不是螺栓固定的，因此组织需要推动数字领导者，以确保安全性是每个数字产品的关键部分。 —计划和实践响应和恢复。公司需要为事件的可能性进行计划和准备。在事件发生之前，组织必须制定计划并定期进行演练。他们需要与网络专家预先建立关系，关键技术提供商需要随时待命。 —利用AI进行安全操作和智能。AI将继续存在。现在有攻击者使用AI来构建或改进攻击工具。现在是否有防御者利用AI来确保安全环境？得知事件后，必须立即具有“碎玻璃”能力，以迅速带来威胁和防御稳定。这意味着立即启动大规模取证，组织技术团队进行快速修补和配置更改，并快速跟踪必要的响应和恢复行动的决策。同时，董事会可以发挥作用在这种背景下，如前所述，董事会可以在保护组织免受网络攻击风险增加方面发挥重要作用。为了平息威胁和防御局势，公司同时需要启动利益相关者的稳定。这意味着领导者在考虑与哪些利益相关者、关键客户和供应商分享什么时需要采取果断的行动。他们还必须确定哪些重要的第三方关系得到积极的拓展。首先，董事会成员提供监督和指导。他们应该确保高管及其团队为网络安全设定高标准。然后，他们应该通过确保将安全性嵌入数字产品的设计中，并确保技术团队分担网络安全责任来实现这些目标。董事会是确保计划和资助此类计划的最后一道防线。内部和外部利益相关者管理的优先事项需要明确和战略性。一旦威胁、防御局势和利益相关者稳定下来，组织就需要实施恢复行动。董事会还关注风险优先级和权衡。当涉及到确定风险级别和为风险权衡提供基于事实的输入时，他们经常被吓倒。此外，安全团队及其董事会使用的词汇和报告功能通常不一致且具有技术性。努力为董事会准备报告。董事会应该确保安全团队感受到履行承诺的责任。需要明确的风险偏好和门槛，高管必须对实现这些目标负责。因此，对于希望为降低网络安全风险做出有意义的贡献但又不太确定的董事会成员来说，这可能是压倒性的。董事会成员不需要具备有关网络安全的特定知识即可增加价值。相反，他们需要测试并询问网络团队潜在的业务影响。这意味着网络团队应该将网络问题和控制与业务风险等同起来。董事会可以提供洞察力董事会成员提供经验、见解和联系。每个成员都有丰富的经验、令人印象深刻的简历和一生宝贵的关系。尽管这可能不会立即显现出来，但董事会成员可能是网络信息和见解的宝贵来源，甚至没有意识到这一点。董事会成员可以监督预算和资源。同样，成员不需要对网络了解太多，就可以为有关预算和资源的对话增加价值。最重要的问题不是支出水平，而是分配和包容性：要求网络团队定义多少安全预算用于解决顶级风险，例如，新产品预算的哪一部分包括必要的安全支出。在数字环境中，技术不断进步，威胁参与者似乎占上风，需要一个全员的心态来确保安全的环境。当涉及到网络安全时，对一个组织来说，最终的赞美是什么都没有发生-企业保持不间断的运行。另一个关键组成部分是确保问责制和报告。网络团队和他们报告的高管花费了大量的时间和董事会可以领导这项指控。艾曼·艾尔·伊萨是麦肯锡阿布扎比办事处的高级专家Mahir Nayfeh是合伙人；以及吉姆·博姆是伦敦办公室的合伙人.

点击免费查看完整报告