蝉鸣报告(原爱报告知识星球)
近日,全球知名的专业服务公司埃森哲(Accenture)发布了一份名为《确保成就式AI时代的数核心安全——以网络安全为重塑的战略推进动力》的研究报告。该报告深入探讨了在生成性人工智能(generative AI)时代,企业如何构建和保护其数字化核心,以及网络安全在这一过程中扮演的战略性角色。报告指出,企业在追求数字化转型和业务重塑的同时,往往忽视了安全措施的重要性,导致技术债务累积和安全能力的滞后。报告中提供了许多有价值的见解和建议,包括如何通过整合安全措施、采用现代化工具和实践,以及利用自动化和网络安全即服务(CSaaS)来提升企业的网络安全能力,从而在竞争激烈的市场中保持领先。这份报告对于理解当前网络安全的挑战和机遇,以及如何将安全作为业务增长和转型的推动力,提供了深刻的洞见。
在数字化时代,企业纷纷建立数字核心以重塑业务的每个部分,生成式人工智能(AI)在此过程中扮演着关键角色。然而,许多企业在保护关键技术层面免受未授权访问或攻击方面落后了。安全是数字核心不可或缺的一部分,其技术——数字平台、数据和AI支柱以及数字基础(安全所在之处)——不断互动,推动创新。
我们的研究发现,拥有行业领先能力的组织(在我们的数字核心指数中定义为前25%)经历了20%的收入增长和30%的利润增加。要达到这种行业领先状态,需要正确混合工具和实践,以实现敏捷性和创新,以及安全能力和韧性。安全不仅仅是静态的防御机制,如果公司将安全措施融入不断演进的数字格局中,它可以成为业务增长和转型的推动者。
企业平均依赖76个安全工具来管理他们的安全姿态,这个数字还在增长。例如,云服务提供商的新或修改的配置设置每月都在数千个,安全团队争相保持系统安全和最新。这种复杂性常常造成冗余,增加配置错误的风险,并使集成工作变得复杂,降低了安全成果的效率。再加上人才短缺,全球约有480万个网络安全职位空缺,阻碍了安全解决方案的有效扩展。
组织如何缩小这种安全成熟度差距?安全是一种竞争优势,它培养了一个以信任、韧性和适应性为前的环境。这使得组织能够自信地进行重塑,同时抓住新的机会以取得进步和竞争优势。
构建强大的安全是一个旅程,而不是短跑。组织可以激活三个战略杠杆,以将安全转变为业务所需的速度和规模,同时降低成本和技术债务。杠杆01:简化。组织必须整合供应商并采用集成工具,同时淘汰旧的工具。利用生成式AI的能力可以大幅减少使用中的安全工具数量。这项技术可以简化流程,自动化常规任务,并通过提供高级洞察和威胁分析来增强决策。
安全必须现代化其工具和策略,以跟上不断演变的数字格局。例如,通过采用内置安全扫描的基础设施即代码(IaC)对代码库和管道进行现代化,可以标准化安全配置,并将测试无缝集成到开发过程中。转向软件即服务(SaaS)和云托管的安全管理系统不仅可以减少与硬件、服务器和更新管理相关的时间和成本,还可以增强威胁检测,改善合规性并加速部署。
自动化和网络安全即服务(CSaaS)可以帮助扩展安全。例如,使用生成式AI驱动的防御解决方案进行威胁测试,如自动化的红队和渗透测试。这些工具特别及时,因为针对这些技术的规定即将出台。它们旨在解决安全风险、歧视和偏见、隐私问题以及对职业和劳动市场可能产生的影响。领先的平台公司和超大规模公司已经在推出基于它们的安全功能。
重塑准备就绪是支持当前业务、推动效率和效果的同时,响应组织持续需求并迅速采用最新技术创新的持续状态。因此,安全必须同样敏捷,以应对任何新威胁或新出现的需要。
要充分利用生成式AI和企业技术转型的全部力量,你需要一个准备就绪的数字核心。数字核心由七个不同的、始终在工作的部分组成,帮助组织不断重塑自己。数字平台、数据和AI,以及包括云优先基础设施、安全、可组合集成和连续控制平面的数字基础。
拥有准备就绪的数字核心的组织遵循三个原则:它们保持行业领先的能力水平,它们将投资转向战略创新,它们主动管理技术债务。安全是数字核心的一个组成部分——嵌入到基础中,并集成在每一层中。没有安全,数字核心就变得脆弱,这使得重塑和推动竞争力变得更加困难和昂贵。
今天,由技术推动的持续业务重塑通常深入业务和跨平台、合作伙伴和客户,跨越多个环境和架构。我们的研究表明,83%的组织正在加快他们的重塑努力,99.7%的高管表示他们致力于在行业中建立新的绩效水平。
54%的金融服务高管表示,转型或重塑业务以及提升客户体验的努力引入了更多的技术风险。数字核心是一种新的思考和使用技术的方式。我们定义数字核心为能够创造和授权组织独特重塑雄心的关键技术能力。构建这种定制的数字核心需要集成先进的数字平台、无缝的数据和AI支柱以及使用激进的新工程原理的安全可靠基础。
这种适合目的的数字核心使组织能够以最有效的方式加速领先于竞争,并实现他们的雄心——使用正确的云实践组合进行敏捷和创新;数据和AI进行差异化;应用程序和平台加速增长、下一代体验和优化运营——每个层面都设计有安全。
当组织竞相采用新兴技术以实现新产品和服务时,他们往往优先考虑速度而不是安全。事实上,十分之七的高管表示,他们只在关键功能上实施安全控制,或在转型完成后部署安全控制,并在检测到漏洞后进行。这会产生连锁反应。当企业采用新技术时,如果没有从一开始就将健全的安全措施和策略纳入“设计”,公司的数字核心就会变得容易受到威胁,技术债务随着部分安全解决方案的增加而增长。这使得补救工作变得越来越昂贵和耗时,并限制了业务敏捷性。
在数字核心指数中,拥有“行业领先”数字核心的组织(定义为我们的数字核心指数中的前25%)与那些在底部四分位数的组织之间的安全能力差距平均为23分。大多数组织在诸如使用DevSecOps和零信任身份和网络、安全配置、威胁建模和保护网络物理系统的措施上落后。
这种差距因技术债务的挑战而进一步加剧。美国的技术债务总额估计超过1.5万亿美元。安全是这个问题的一部分,34%的组织在我们的研究中表示它是技术债务的主要贡献者。它源于对安全问题的快速解决方案,最终需要重做,因为它们无效。此外,不与其他安全工具集成或提供上下文的点安全工具降低了安全姿态和可见性,同时增加了成本。
安全复杂性和人才短缺增加了另一层困难。组织报告说,他们依赖平均76个安全工具来管理他们的安全姿态,这使得转型工作变得复杂。再加上人才短缺——全球有480万个未填补的网络安全职位——这种复杂性显著阻碍了组织有效扩展的能力。
网络安全仍然是全球商业风险的首要问题,影响客户信任、业务增长和企业价值。违反不仅增加了财务成本,还具有重大的声誉后果——79%的网络安全专业人士在攻击期间将声誉列为他们的首要关注。随着组织准备在安全服务上投入更多资金,优先考虑与增长战略一致的投资是一个关键挑战。虽然96%的首席执行官认为网络安全对增长至关重要,但74%的人仍然担心最小化潜在网络攻击的损害。此外,网络安全已成为企业ESG(环境、社会和治理)评估的关键要素,影响评级、交易和并购,公开交易的公司在数据泄露后平均股价下跌7.5%。
这些担忧的紧迫性得到了迅速演变的威胁格局的强调。安全专业人士和高管都认识到日益增长的危险:75%的安全专业人士报告说,与过去一年相比,网络攻击有所增加,56%的高管认为生成式AI为攻击者提供了明显的优势。自ChatGPT推出以来,网络钓鱼攻击激增了1,265%,使用生成式AI的深度伪造尝试在2023年比去年激增了3,000%。Accenture的网络情报(ACI)研究人员还注意到,在2023年第一季度至2024年第一季度之间,暗网论坛上深度伪造相关工具的交易增长了223%。此外,云环境入侵从2022年到2023年激增了75%,威胁行为者利用独特的云特性发起攻击。
这些担忧的严重性反映在最近的一些高调事件中:一家大中华区跨国公司因复杂的深度伪造骗局遭受了2500万美元的损失。骗子在电话会议上数字化重现了公司的首席财务官和其他员工,指示同事转账。亚洲一家航空公司的软件漏洞导致了大规模数据泄露,暴露了6.5TB的数据,包括机组人员的个人详细信息。违规源于一个配置错误的亚马逊网络服务桶。安全侦探发现了2300万个文件,包括敏感的飞行图表、导航数据和平文密码。2023年5月,一家全球汽车公司报告了一起数据泄露事件,影响了约260,000名客户,原因是云环境配置错误。日本、亚洲和大洋洲的客户数据被暴露。汽车公司迅速封锁了外部访问,并启动了对所有云环境的调查。
这三个事件突出了随着威胁格局的不断演变,安全挑战的增加。但组织在急于重塑的过程中的安全政策和行为也极大地促成了日益增长的安全挑战。
为了在数字核心内缩小安全成熟度差距并实现重塑准备就绪,公司应该采取三个战略杠杆。简化安全以降低成本和优化投资。合理化安全消除了冗余,降低了成本,简化了流程,并优化了投资。高效、集成的解决方案导致了更好的资源分配和更强的安全姿态。
采取的行动包括:合并供应商和工具。合并网络安全产品以简化工具集并降低复杂性。这将帮助您实现更好的安全成果,例如更快的威胁检测和改进的事件响应时间。实现这一点需要对现有的安全解决方案进行全面评估,将它们整合到一个统一的、简化的系统中,消除冗余并增强整体安全。通过利用生成式AI的能力,您可以解锁安全运营中的新效率和效果水平。采用集成平台而不是单独的工具。投资于集成平台而不是依赖孤立的、单独的工具,以简化管理和加强组织对新兴威胁的防御。整合的平台不仅简化了操作,还实现了实时情报共享,这对于防止零日威胁至关重要。通过整合
以上为节选样张,关注公众号【蝉鸣报告】回复领取PDF完整电子版(无广告)。
【蝉鸣报告】每日更新最新硬核报告,覆盖产业报告、全球化、经济报告、趋势等全领域。
