我们已经陷入了一种新型的全球冲突 — 网络冷战 — 这与我们之前见过的任何情况都不同。当今的地缘政治紧张局势不仅仅通过制裁或武力来展现,而是正在数字的阴影中无形地、无情地展开。正是在这里,民族国家利用勒索软件、间谍活动和 AI 助力的攻击来破坏经济、摧毁基础设施并动摇社会稳定。这关乎窃取机密、破坏运营连续性、散播不信任以及重塑全球力量平衡。
这种地缘政治不确定性的背景,只会更加突显出加倍投入现代化网络防御态势的必要性。我们的对手显然没有坐以待毙——我们也不能。
鉴于网络威胁对商业机构和军队开展最基本行动的能力构成了潜在的生存性风险,首席信息官 (CIO) 和首席信息安全官 (CISO) 都必须直接参与其所在组织的网络防御工作。话虽如此,CIO 们也必须牢记,这种级别的安全防御和韧性主要不是一项 IT 职能。相反,他们需要专注于地缘政治情报和战略规划,并从业务和运营角度出发,利用这些工具来争取高管层和董事会的支持与指导。
规则已经改变
在最初的冷战时期,世界上最强大的国家建立了核武器库,玩起了精心策划的威慑游戏。在当今环境下,这种威慑已经让位于数字侵略。民族国家正在系统地收集情报、破坏基础设施、窃取知识产权并引发广泛的混乱。
主要的参与者依然如故:中国、俄罗斯、伊朗和朝鲜。但是,这场战争的武器不再是坦克或导弹,而是恶意软件变种、零日漏洞、深度伪造、凭据盗窃和人工智能。在 Palo Alto Networks Unit 42,我们调查了朝鲜攻击者假扮成招聘人员部署伪装成开发工具的恶意软件的事件 — 而这只是最近众多行动中的一次。
这些行动正在升级。与民族国家相关的网络攻击活动正变得更具针对性、更协调一致、更大胆妄为。我们的对手正在从间谍活动转向破坏活动。
当今目标丰富的环境
没有组织能幸免。政府机构、发电厂、金融公司、医疗保健系统和技术公司都位列其中。分布式劳动力、云迁移和物联网 (IoT) 的兴起,使得攻击面呈指数级扩大。
民族国家的行为者越来越多地与网络犯罪团伙合作来掩盖攻击来源并共享工具。这种能力与推诿的结合使他们更难被发现和阻断。即使是最普通的终端 — 一个智能恒温器、一台打印机、一个承包商的笔记本电脑,都可能成为整张网络被攻陷的第一块多米诺骨牌。
这些威胁行为者既坚定又有创造力。Unit 42 威胁情报部门追踪到疑似朝鲜网络攻击者伪装成招聘人员或潜在雇主的活动。他们的伎俩是什么?要求潜在的“员工”在招聘过程中安装看似真实开发软件的恶意软件。
地缘政治风险时代,企业该如何应对?
网络冷战是一场实实在在的威胁,其影响深远。因此,它需要实时可行的解决方案以及长远规划。监管环境的兴起使这种动态威胁形势更加复杂,它要求各行各业的企业和组织增强网络韧性,更好地保护关键数据。
数据保护和网络安全法律在世界范围内激增,这在很大程度上是由欧盟具有里程碑意义的《通用数据保护条例》(GDPR) 引领的。此外,美国证券交易委员会 (SEC) 新的网络安全披露规则要求上市公司更快、更全面地报告违规事件。这给 CIO、CISO 及其团队带来了更大压力,要求他们应对快速变化的法规以及未能遵守这些新兴要求可能带来的法律后果。
由于这场网络冷战已经形成和演变了一段时间,一套有益于企业的最佳实践蓝图正在浮现。一些具体建议包括:
- 将地缘政治风险纳入业务连续性规划。这不是可有可无的。如果供应链、客户数据或云基础设施跨越国界,就很可能暴露在这些跨国威胁以及旨在对抗这些敌对行为者的新兴监管举措之下。
- 从边界安全转向身份优先、AI 赋能的防御。在这场新的冷战中,攻击者行动迅速,善于隐藏。只有 AI 助力的平台才能以机器的速度(即攻击者已有的速度)进行响应。
- 考虑到全球供应链,投资于云安全。民族国家攻击者不在乎工作负载在哪里运行。但他们一定会利用任何不当配置、缺口或检测延迟。
- 将威胁情报业务化。团队需要获取像 Unit 42 这样的团队提供的洞察,不仅仅是零散的威胁报告,而是持续的情报流,以便更好地为安全运营中心 (SOC)、基础设施战略以及向董事会的汇报更新提供信息。
- 重新思考自身角色。既是系统的管理者,又是负责业务韧性的战略家。这包括为如今塑造全球商业格局的地缘政治风险做好准备。
冷战或许是数字化的 — 但后果是真实的
战场已经改变,但赌注从未如此之高。运营全面中断不再是一种假设。唯一的问题是能否预见到,以及能否准备好应对。
认识到这种转变规模并果断采取行动来使其防御态势现代化的 CIO,将成为董事会中至关重要的战略合作伙伴。而没有这样做的 CIO,将面临安全故障以及对其运营准备状态和声誉的更大风险,也可能使您面临监管后果。
网络冷战不是快到了,而是已经到了。现在正是展现领导力的时候。
