2025年放眼漏洞之外：重新定义现代企业网络韧性研究报告（英文版）

穿越漏洞：重新定义现代企业的网络弹性 2025年6月 目录 前言03 引言：不断变化的威胁需求04 变化的战场：数字化转型的前所未有的网络安全时代05 关键韧性要求：在当今环境中积极主动地应对高级对手 06 新风险与进攻性边缘：驾驭下一波网络威胁08 抗冲击弹性蓝图10 加速您的韧性之旅：为互联未来嵌入持续改进 13 cxo观察：为什么基于威胁信息弹性的董事会决议 15 结论：商业绩效的新引擎17参考19 联系我们21 前言 网络弹性是新的领导力。未来属于那些预见威胁并将安全作为创新和转型跳板的人。 在当今世界，数字化转型对企业至关重要。抵御网络威胁的能力现在直接与一个组织的整体实力相关联。随着组织加速其数字化进程，网络威胁的速度和复杂性已经超越了传统的防御模型，要求我们必须在如何感知、规划和保护我们的数字生态系统、业务连续性和信任方面进行根本性的转变。 这份白皮书既是行动号召，也是转型的蓝图。它挑战了将网络安全视为被动功能的过时观念，并将其重新定位为主动、智能化驱动以及战略整合的能力，这种能力能够激发创新、维护信任，并在无休止的数字风险中确保运营连续性。 该策略由预期威胁情报的融合、进攻性安全验证和持续改进所驱动，重塑了组织应对威胁的方式。该模型适应新兴风险，验证实时防御，并将韧性量化为可衡量的业务成果。 这份白皮书是组织在应对当今复杂环境时的战略必然要求。 数字环境。随着网络威胁规模和复杂性的增长，弹性必须从技术愿望转变为董事会优先事项。 遵循“网络安全强化印度”（CyberSurakshitBharat）原则，这是一项旨在加强印度数字生态系统网络安全的国家级倡议，本白皮书使企业能够巩固其防御并有助于建设一个安全、自立的数字印度。这种集体韧性将定义下一代值得信赖的企业和数字领导者。 前进的道路不仅仅需要技术，它需要远见、敏捷性和对持续改进的承诺。采用这种思维方式的人将能够抵御颠覆，自信地领导，塑造一个安全和创新携手并进的未来。 AnandTiwari 合作伙伴德勤印度 引言：不断发展的威胁紧迫性 全球商业格局不断变革，受前所未有的相互联系和数字创新驱动。这种演变释放了巨大潜力，但也扩大了网络攻击面，使组织面临更复杂、更频繁的威胁。 这个问题已不再是您是否会遭受入侵，而是何时。真正的领导力在于为这一必然性做准备并应对它。 德勤倡导这一范式转变，指导组织重新构想网络安全，将其不再视为成本中心，而是视为战略赋能者。通过将先进的威胁情报和进攻性安全方法嵌入到持续弹性生命周期中，企业可以增强其网络防御能力。这种方法使它们能够预见、抵御并从最复杂的网络攻击中恢复过来，构建坚不可摧的网络防御能力。本文阐述了威胁导向的弹性战略对于可持续增长、监管合规和持久客户信任的重要性，它被视为“可持续网络防御的基础”和“绩效及长期增长的新引擎”。 这种严酷的现实要求从消极防御和单纯的预防转向固有的韧性 ；一种主动的、基于威胁信息的、确保业务连续性的能力。 变化的战场：数字化转型的前所未有的网络安全时代 企业的数字化转型远不止孤立的技术升级；它重塑了整个生态系统，涵盖核心业务、供应链、客户互动和数据流。虽然这种互联互通提高了运营效率和市场响应能力，但它扩大了网络攻击面。传统的边界正在消失，取而代之的是复杂交织的数字基础设施。 效率和创新。然而，这也带来了新的网络安全挑战，使得保障软件和硬件及其生成的大量数据比以往任何时候都更加关键。价值创造的本身现在与数字完整性和可用性紧密相连，使得网络安全成为商业战略本身的基础支柱。 这种转变彻底改变了企业，经常用软件驱动、云集成的技术取代传统系统。现代企业高度依赖互联系统、实时数据分析以及人工智能驱动的自动化来驱动 根据德勤的最新调查，58%的组织正在将网络安全预算与数字化转型、云和IT计划相结合。1 关键韧性要求：在当今环境中积极主动地应对高级对手 在一个动态的威胁环境中，被动的或纯粹防御性的网络安全态势已不再可行。组织必须采纳关键弹性原则，使他们能够主动预测、应对和恢复来自高级对手的行动。这需要思维方式和方法的根本转变。 预期威胁情报的关键作用 当你预期到对手时，你就占据了上风。有了可操作的情报，这种优势就变成了盾牌 。 有效的网络弹性始于对对手的深刻且预见性的理解。仅凭反应已不再足够；组织必须根据对不断演变威胁的清晰认识，主动塑造其防御。 德勤的CTI评估强调勒索软件和基于身份的攻击日益增长的影响 。在2024年，勒索软件与44%的已审查泄露事件有关。2凭证 滥用占2023年数据泄露的44.7%。3从2022年的41.6%上升，凸显其持续普遍。其他行业发现证实，被盗凭证作为初始访问方式正在复苏，在2024年占入侵事件的16%。4此外，几乎所有 入侵事件都涉及人为因素，其中32%明确归因于凭证滥用。5这些见解对于指导弹性策略和有效分配网络安全资源至关重要。 德勤的全球网络威胁情报（CTI）提供这些深入的、可操作的洞察，涉及对手的策略、技术和程序（TTP），超越了通用警报，以提供内容丰富的情报。这种基于证据的方法对于现代企业安全计划至关重要。它帮助组织通过识别在网络攻击期间和之后为维持业务功能所需的关键应用程序、资产、流程和关键运营角色，来定义“最低运营可行性”。 此外，利用漏洞，特别是零日漏洞（攻击时不存在补丁的先前未知安全缺陷），在2024年占初始访问途径的20%，增加了34%，主要针对边缘设备和VPN。6第三方参与泄露的情况从 2024年的15%翻倍到30%，这凸显了普遍存在的供应链风险，众多事件就是例证。7 进攻性安全验证的必要性 防御只是一个理论。进攻才是真理。模拟是检验。 韧性。通过模拟真实的攻击场景，TLPT可以发现合规性测试可能遗漏的漏洞，从而更细致地理解一个机构的网络安全态势。8 预期智能需要通过模拟攻击和经验数据来验证其运行价值。进攻性安全至关重要，可在对手利用之前，主动识别组织网络防御中的盲点。这涉及模拟现实攻击场景，以测试现有安全措施和恢复方案的有效性。 •紫军演练:这种以模拟驱动的协作策略将红队（进攻）和蓝队（防御）汇集在一起，以快速改进检测规则，增强安全信息和事件管理（SIEM）系统，并实时优化响应策略，推动持续改进。 •基于威胁的渗透测试(TLPT): 德勤的TLPT服务超越了标准合规检查，基于最新的威胁情报，模拟高级对手的TTPs。这种方法揭露了传统测试通常遗漏的漏洞和实际入侵路径，为加强整体网络安全提供关键洞察。 •对手模拟：系统性地模仿已知威胁行为者的行为，使组织能够评估针对特定实际威胁的防御能力，围绕实际对手行为来优先考虑防御措施。一项研究强调，这些解决方案有助于优化防御、提高风险暴露意识并扩展进攻性测试能力。9 新风险与进攻性边缘：驾驭下一波网络威胁 网络安全中唯一不变的是变化。随着威胁的演变，我们的警惕性和超越它们的策略也必须随之演变。 威胁格局并非静态；它随着技术进步和攻击者的聪明才智而演变。 为保持进攻优势，组织必须主动预见针对现代IT基础设施和企业运营的核心的emerging风险。这需要对敌对势力集中其精力的新兴前沿领域有清晰的理解。关键领域包括： 人工智能增强型攻击活动 攻击者正越来越多地使用人工智能(AI)和机器学习(ML)来加强侦察、自动化攻击流程并规模化复杂✁网络威胁。这包括制作极具说服力✁钓鱼活动、通过自适应恶意软件逃避检测，并以前所未有✁速度和精度快速利用新发现✁漏洞（零日）。 相互连接生态系统和API✁利用 互联互通✁云服务、第三方应用程序和API已成为首要目标，随着组织越来越多地依赖它们来支持其运营。生态系统某一部分✁妥协可以迅速蔓延，导致大规模数据泄露或运营中断。保护这些复杂✁数字供应链至关重要。 大规模针对操作技术（OT）和物联网（IoT）✁攻击 信息技术和运营技术✁融合，加上企业环境中物联网（IoT）设备✁快速增长，扩大了物理攻击面。威胁范围从破坏工业控制系统，到利用大量不安全✁物联网设备进行分布式拒绝服务（DDoS）攻击，或作为企业网络入口点。 深度伪造和信息虚假针对商业诚信 复杂✁AI生成✁深度伪造（音频和视频）以及有针对性✁虚假信息运动对企业声誉、财务稳定（通过虚假高管声明进行股票操纵）和内部安全（使用虚假CEO语音命令进行社会工程）构成日益增长✁威胁。 量子计算✁即将来临✁加密威胁 虽然尚处于萌芽阶段，量子计算✁进步对当前公钥密码学标准构成长期生存威胁。组织必须战略性地过渡到后量子密码学（PQC），以保护敏感数据并确保通信免受未来解密能力✁影响。 预见这些多方面✁威胁需要一个前瞻性✁安全态势，持续评估新技术如何被武器化，以及包括弹性和恢复策略在内✁防御措施必须如何主动适应。 一个防弹式✁韧性蓝图 多层战略框架 量量化化有有效效性性 为为了了展展示示价价值值并并驱驱动动持持续续改改进进，，组组织织 必必须须衡衡量量韧韧性性。。 实施战略自动化 要实实现施规战模略化✁韧性，组织自动化必须拥抱自动要化实。现规模化✁韧性， 组织必须拥抱自动化。 整集合威成胁威情胁报韧智性规能划始于 可韧操性作规✁划威始胁于情报。 可操作✁威胁情报。 验证防御措施 验证防御措施 理论理计论划计必划须必经须过压压力力-测试。 组织已必测须试超。越组桌织面必须移动 动手超越桌面演练，进入动手实践 建立反馈循环 技进术行验技证术。验证✁练习。 网建络立弹反性馈是循一环个持续 提网升络之弹旅性。是一个持续 需提要升稳之健旅✁。反馈回路。 需要稳健✁反馈回路。 缓解当今复杂✁网络风险需要不仅仅是一系列点解决方案；它需要一种嵌入组织弹性✁多层面、战略框架。 将威胁情报整合到战略规划中 为构建有效✁韧性策略，组织应将其工作锚定在可操作✁威胁情报上。这包括： •持续将对手✁技术战术与组织特定环境进行映射。 •根据威胁行为者✁关注点和潜在业务影响，对关键资产和流程进行优先级排序。 •制定与预期攻击方法和系统漏洞相一致✁具体恢复场景和恢复力目标。 •建立“威胁情报到恢复力流程”，其中原始威胁数据被处理为可操作✁情报，为风险评估、关键资产识别和制定针对性✁恢复方案提供信息。 为防止再次发生。这包括完善你✁IR计划和操作手册以适应人员配置✁突然变化。SANS事件响应方法也强调全面 ✁事后分析对于防止再次发生和改进未来响应具有至关重要✁作用。 •整合威胁搜寻洞见 主动威胁搜寻可发现未被检测到✁威胁。根据一项研究，威胁情报平台集成了基于人工智能✁威胁搜寻模型以实现实时可见性。SANS经常强调主动威胁搜寻是减少攻击者驻留时间并识别自动化防御可能遗漏✁入侵✁关键学科。这些发现，包括新✁TTP或漏洞，必须直接整合到防御策略和恢复剧本✁更新中。 通过严谨、动手✁技术练习验证防御措施 理论计划必须经过压力测试。组织必须超越桌面演练，进行实际技术验证： •无尘室恢复模拟 德勤✁网络事件准备、响应和恢复（CIR3）服务强调对这些受控、隔离✁环境进行严格测试恢复协议。这确保了恢 •攻防安全学习 tlpt、紫队工作和对手模拟✁见解必须推动技术、流程和安全意识✁持续改进。 战略自动化：人工智能在安全运营中✁作用要实现规模化韧性，组织必须拥抱自动化： 复✁数据和系统能够干净且完全正常运作，降低再次感染 ✁风险。10 •网络靶场和沉浸式模拟 这些平台提供逼真✁训练环境，生成复杂✁威胁场景，使团队能够在模拟真实世界攻击✁条件下进行训练，评估他们检测、响应和有效恢复✁能力。SANS学院始终强调这种实践训练环境对于磨练实用技能和验证针对不断变化✁威胁✁防御立场✁价值。 构建动态反馈循环：从事件响应到主动演变 网络弹性是一个持续改进✁旅程。这需要强大✁反馈循环： •事件后回顾 事件（或险些发生✁事故）后进行结构化审查，以确定根本原因，识别违规发生✁方式，并解决漏洞 •人工智能在安全