超越漏洞：重新定义现代企业的网络韧性

2025年6月 目录 前言 03 简介：不断变化的威胁需求 04 风云变幻的战场：数字转型时代前所未有的网络安全05 核心弹性要求：在当今环境中积极应对高级对手 06 新兴风险与进攻性边缘：应对下一波网络威胁08 抗弹韧性蓝图 10 加速您的韧性之旅：为互联未来嵌入持续改进 cxo观察：为什么基于威胁信息的弹性是董事会的要求 结论：业务性能的新引擎 17 前言 数字景观。随着网络威胁的规模和复杂性日益增长，韧性必须从一项技术愿景转变为董事会优先事项。 网络弹性是新的领导力。未来属于那些能够预见威胁并将安全作为创新和转型启动平台的人。 遵循“网络安全印度的原则”，这是一个旨在加强印度数字生态系统网络安全态势的国家级倡议，本白皮书使企业能够巩固其防御并促进建立一个安全、自立的数字印度。这种集体韧性将定义下一代值得信赖的企业和数字领导者。 在当今世界，数字化转型对企业至关重要。抵御网络威胁的能力现在直接关系到组织整体实力。随着组织加速其数字化转型之旅，网络威胁的速度和复杂性已经超越了传统防御模型，要求我们在感知、规划和保护我们的数字生态系统、业务连续性和信任方面进行根本性的转变。 要实现前进的道路，光有技术是不够的。它需要远见、敏捷性以及持续改进的承诺。采用这种思维方式的人将能够抵御颠覆，自信地引领未来，塑造一个安全与创新携手并进的时代。 这份白皮书既是一个行动号召，也是一次转型的蓝图。它挑战了将网络安全视为被动功能的过时观念，并将其重新定位为一种主动的、智能驱动、战略整合的能力，这种能力能够推动创新、保障信任并在持续的数字风险中确保运营连续性。 该策略由预期威胁情报的融合、进攻性安全验证和持续改进所驱动，重塑了组织应对威胁的方式。该模式适应新兴风险，验证实时防御，并将韧性量化为可衡量的业务成果。 Anand Tiwari合作伙伴德勤印度 这份白皮书是组织在应对当今复杂环境时的一项战略要务。 引言：不断发展的威胁必然性 德勤倡导这一范式转变，指导组织重新构想网络安全，将其视为战略赋能器而非成本中心。通过将先进的威胁情报和主动安全方法嵌入到持续弹性生命周期中，企业可以增强其网络防御能力。这种方法使它们能够预见、抵御并从最复杂的网络攻击中恢复，构建坚不可摧的网络防御体系。本文阐述了威胁导向的弹性战略对于可持续发展、合规性以及持续客户信任至关重要，它是“可持续网络防御的基础”以及“性能和长期增长的新引擎”。 全球商业格局在前所未有的相互联系和数字创新的驱动下不断变化。这种演变释放了巨大潜力，但也扩大了网络攻击面，使组织面临更复杂和更频繁的威胁。 这个问题不再是怎么被入侵的问题，而是何时。真正的领导力在于为这种不可避免性做准备和应对。 这种严峻的现实要求从被动防御和单纯的预防转向固有的韧性；一种主动的、基于威胁信息的能力，以确保在妥协发生时保障业务连续性。 风云变幻的战场：数字转型时代前所未有的网络安全 企业数字化转型远不止孤立的技术升级；它重塑整个生态系统，涵盖核心业务、供应链、客户互动和数据流。这种互联性提升了运营效率和市场响应能力，但也扩大了网络攻击面。传统的边界正在消融，取而代之的是复杂交织的数字基础设施。 效率和创新。然而，这带来了新的网络安全挑战，使得保障软件和硬件以及它们产生的大量数据比以往任何时候都更加关键。价值创造本身的性质现在与数字完整性和可用性紧密相连，使网络安全成为企业战略本身的基础支柱。 根据最近德勤的一项调查，58% 的组织正在将网络安全预算与数字化转型、云和 IT 计划相结合。1 这种转变革新了企业，经常用软件驱动、云集成的技术替代传统系统。现代企业高度依赖互联系统、实时数据分析以及人工智能驱动的自动化来推动 核心弹性要求：在当今环境中积极应对高级对手 在这种动态威胁环境中，消极的或纯粹的防御性网络安全态势已不再可行。组织必须采纳关键弹性原则，使它们能够主动预见、应对和从先进的对手行动中恢复。这需要心态和方法论的根本转变。 德勤的cti评估强调了勒索软件和基于身份的攻击日益增长的影响。2024年，勒索软件与44%的已审查漏洞相关。2凭证滥用占2023年数据泄露的44.7%。3从2022年的41.6%上升，突显其持续普遍的存在。其他行业发现证实被盗凭证作为初始访问手段的复苏，在2024年占入侵的16%。4此外，几乎所有安全漏洞都涉及人为因素，其中32%明确归因于凭证滥用。5这些见解对于指导韧性战略和有效优先处理网络安全资源至关重要。 预期威胁情报的关键作用 当你预判对手时，你就能掌握优势。有了可操作的情报，这种优势就变成了一道盾牌。 有效的网络弹性始于对一个深刻的预期性理解对手。仅做出反应已不再足够；组织必须基于对不断演变威胁的清晰了解，主动塑造自己的防御。 德勤的全球网络威胁情报（CTI）提供了对对手战术、技术和程序（TTP）的深入、可操作的见解，超越了通用警报，提供内容丰富的情报。这种基于证据的方法对现代企业安全计划至关重要。它帮助组织通过识别在网络攻击期间及之后维持业务功能所需的关键应用程序、资产、流程和关键运营角色，来定义“最低运营可行性”。 此外，利用漏洞，特别是零日漏洞（攻击时不存在补丁的未知安全漏洞），在2024年占初始访问向量的20%，增长了34%，主要针对边缘设备和VPN。6第三方参与漏洞的比例从2024年的15%翻倍到30%，凸显了普遍存在的供应链风险，众多事件为此例证。7 韧性。通过模拟真实的攻击场景，TLPT可以发现合规性测试可能遗漏的漏洞，从而对一个机构的安全态势提供更细致的理解。8 进攻性安全验证的必要性 防御只是一个理论。进攻是真理。模拟是检验。 预期智能需要通过模拟攻击和经验数据来验证其运行价值。主动防御安全对于在对手利用之前，主动识别组织网络防御中的盲点至关重要。这涉及模拟真实的攻击场景来测试现有安全措施和恢复计划的有效性。 • 紫队合作:这种以模拟驱动的协作策略将红队（进攻）和蓝队（防守）团队聚集在一起，快速改进检测规则，增强安全信息和事件管理（SIEM）系统，并在实时中完善响应策略，从而推动持续改进。 • 敌方模拟：系统性地模仿已知威胁行为者的行为，使组织能够评估针对特定现实威胁的防御能力，并围绕实际对手行为来优先考虑防御措施。一项研究表明，这些解决方案有助于优化防御、提高暴露面意识并扩展进攻性测试能力。9 • 基于威胁的渗透测试 (TLPT):德勤的TLPT服务超越了标准的合规性检查，基于最新的威 胁情报，模拟高级对手的TTPs。这种方法发现传统测试经常遗漏的漏洞和实际入侵路径，为加强整体网络提供关键洞察。 新兴风险与进攻性边缘：应对下一波网络威胁 为了保持进攻优势，组织必须主动预测针对现代IT基础设施和企业运营核心的 emerging 风险。这需要对对手集中力量的新兴前沿有清晰的理解。关键领域包括： 网络安全中唯一不变的是变化。随着威胁的演变，我们的警惕性和超越它们的策略也必须随之演变。 攻击者越来越频繁地使用人工智能（AI）和机器学习（ML）来增强侦察能力、自动化攻击过程以及扩大复杂的网络威胁。这包括制作极具欺骗性的钓鱼活动、通过自适应恶意软件躲避检测，以及以前所未有的速度和精度迅速利用新发现的漏洞（零日漏洞）。 人工智能增强型攻击活动 互联的云服务、第三方应用程序和API已成为主要目标，因为组织越来越依赖它们来支撑其运营。生态系统中任何一个部分的妥协都可能迅速传播，导致大规模数据泄露或运营中断。保护这些复杂的数字供应链至关重要。 利用相互关联的生态系统和API 信息技术与运营技术的融合，以及企业环境中物联网（IoT）设备的快速增长，扩展了物理攻击面。威胁范围从破坏工业控制系统，到利用大量不安全的物联网设备进行分布式拒绝服务（DDoS）攻击，或作为企业网络入侵的入口。 大规模攻击 opérationnelle 技术和物联网 复杂的AI生成的深度伪造（音频和视频）以及有针对性的虚假信息运动对企业声誉、财务稳定（通过虚假高管声明进行股票操纵）和内部安全（使用虚假CEO语音指令进行社会工程学）构成日益增长的威胁。 虽然量子计算尚处于萌芽阶段，但量子计算的进步对当前公钥密码学标准构成长期生存威胁。组织必须战略性地过渡到后量子密码学（PQC），以保护敏感数据并确保通信免受未来解密能力的影响。 量子计算的即将到来的加密威胁 预见这些多方面的威胁需要一种前瞻性的安全态势，持续评估新技术如何被武器化以及防御措施，包括弹性和恢复策略，如何必须主动适应。 防弹韧性蓝图 为防止再次发生。这包括完善你的 IR 计划和应急预案，以适应员工数量的急剧变化。SANS 事件响应方法也强调全面的事后分析对于防止再次发生和改进未来响应的关键重要性。 将威胁情报整合到战略规划中 为构建有效的复原力战略，组织应将精力聚焦于可操作的威胁情报。这涉及： • 持续地将对手的行动与组织特定的环境进行映射。 • 根据威胁行为者的关注重点和潜在业务影响，确定关键资产和流程的优先级。 • 制定与预期攻击方法和系统漏洞相一致的特定恢复场景和恢复目标。 • 建立一个\"威胁情报到恢复的流程\"，其中原始威胁数据被处理成可操作的情报，为风险评估、关键资产识别和制定有针对性的恢复方案提供信息。 •整合威胁搜寻见解 主动威胁搜寻可以发现未检测到的威胁。根据一项研究，威胁情报平台集成了由人工智能支持的威胁搜寻模型，以实现实时可见性。SANS经常强调主动威胁搜寻作为减少攻击者驻留时间并识别自动化防御可能遗漏的入侵的关键学科。这些发现，包括新的战术、技术和程序(TTP)或漏洞，必须直接整合到防御策略和恢复方案更新中。 • 攻防学习 通过严谨的动手技术练习验证防御措施 来自tlpt、紫队工作和对手模拟的见解必须推动技术、流程和安全意识的持续改进。 理论计划必须经过压力测试。组织必须超越桌面推演，进行动手技术验证： 战略自动化：AI在安全运营中的作用 • 无尘室恢复模拟 德勤的网络安全事件准备、响应和恢复（CIR3）服务强调这些受控、隔离的环境，以严格测试恢复协议。这确保了恢复的数据和系统能够干净且完全功能正常，从而降低再次感染的风险。10 要实现规模化韧性，组织必须拥抱自动化： 集成人工智能与自动化正变得越来越普遍。正如2024年SANS检测与响应调查所强调的，12大多数组织计划扩展其人工智能/机器学习的使用。SANS 2024 人工智能调查13认识到AI作为“副驾驶”的作用，可以实现常规任务的自动化。一项研究表明，到2027年，AI代理将使利用账户漏洞所需的时间减少50%。14德勤“全球网络安全未来调查”15也显示39%的组织在网络安全方面广泛使用人工智能。主要关注点包括可解释性、数据中毒和完整性风险。 •网络靶场和沉浸式模拟这些平台提供逼真的训练环境，生成复杂的威胁场景，使团 队能够在模拟真实世界攻击的条件下进行训练，评估他们检测、响应和有效恢复的能力。SANS学院始终强调这种实践训练环境对于磨炼实用技能和验证应对不断变化的威胁的防御态势的价值。 安全编排、自动化与响应（SOAR）平台对于自动化钓鱼缓解和端点隔离等重复性事件响应流程至关重要，能够实现一致、快速地执行，并减少手动工作量。通过识别和自动化可行的安全运营，组织可以提高效率，缩短响应时间，并加强整体网络弹性。 构建动态反馈回路：从事件响应到主动演进 网络弹性是一个持续改进的旅程。这需要强大的反馈回路： • 事后复盘 对任何事故（或险些发生的事故）后的结构化评论，以确定根本原因，识别违规发生的方式并解决漏洞 为了驱动有助于管理和降低网络风险敞口的战略决策。 • 德勤的“网络安全与人工智能及生成式人工智能”16本报告强调，虽然这些技术提供了新的防御机会，但它们也赋予了攻击者能力。需要一个全面的框架来保护AI/GenAI系统，并利用它们进行防御和对抗AI驱动的威胁。根据Gartner的说法，GenA