筆者的一位朋友，曾任首鋼首席研究員，最近在個人微信號上發表了一篇文章“從疫情處置看智能化推進”：

以上是傳統企業信息化專家對智能化技術的反思，同樣適用于網絡安全。

[[314431]]

集成化、自動化和智能化是下一代網絡安全技術的重大演進方向，但是新冠疫情給我們敲響了警鐘：安全風險管理，絕不僅僅是技術問題。把網絡安全當成技術人員的事情，是注定要失敗的，而且代價通常都很慘痛。

那么，在能力驅動的大安全時代，網絡安全在企業數字化轉型中到底該扮演何種角色?這個問題不搞清楚，網絡安全市場很難跳出技術流的“沙盒”。

以下我們圍繞數字化轉型的話題，一起來看看企業網絡安全面臨的重大挑戰和變革：

數字風險已經超過了傳統安全團隊的能力

[[314432]]

很多企業已經將網絡安全在數字戰略中的優先地位提到顯著位置，而意識到危機的CISO正在將安全責任分散到整個組織中，并致力于改變IT文化。

近兩年，隨著新工藝和產品開發以驚人的速度向前推進，數字化轉型已進入高速發展階段。隨著以DevOps為代表的IT和業務的敏捷化，產品和應用上市速度得到極大提升，例如智能硬件、數字家電、智能應用，供應鏈全球化和企業競爭生態化產生了更大的“攻擊面”，但是安全能力和設計方面的考慮卻常常被拋在腦后，數字風險逐步累積逼近危險的閾值。Gartner預測到2020年，由于安全團隊無法管理數字風險，將有60%的數字業務將遭遇重大服務故障。

盡管很難確定數字項目是主要原因，但高知名度的安全失誤如預期般接踵而至。IDC安全研究副總裁皮特•林德斯特羅姆(Pete Lindstrom)表示：

不管廣為宣傳的違規行為是否與數字化轉型直接相關，它們都讓企業領導人重新思考風險和將風險降至最低的解決方案。

網絡安全的挑戰：預算優先級能否看齊云計算

Gartner數據顯示，中國在2019年的IT支出約將達到2.9萬億元規模，而信息安全市場規模為500億元左右，中國網絡安全支出占IT支出比例僅為1.7%，而2018年全球信息安全支出占IT支出的比例為3.05%。顯然，相對于全球平均安全支出水平還有相當大差距。

新冠病毒和WannaCry病毒給企業決策者最大的警示就是：無論是Safety還是Security，在安全支出上省錢，最后付出的代價將極為慘痛!

年后中國股市開盤網絡安全板塊不但沒有暴跌，而且總體市值還創下歷史新高，已經表明大多數投資者都意識到了網絡安全市場在“黑天鵝”時代依然有巨大的成長空間。

那么面對“黑天鵝”事件和數字化轉型的新挑戰，企業的網絡安全預算優先級和支出占比可參照大致的“國際標準”是多少?

根據最近的Altimeter調查，IT決策者不僅將網絡安全列為數字化轉型的首要考慮因素，而且還將其列為第二大投資重點(35%)，略低于云計算(37%)。如果無法保護企業、其客戶或其他重要資產，創新技術的大筆投資甚至成果都可能“一夜歸零”。而面對安全威脅的復雜性和發展速度，即使是最頂級的安全運營團隊也會面臨持續的挑戰和壓力。

麻省理工學院制造業與生產力實驗室的執行董事兼研究科學家Abel Sanchez博士說：

他補充說，在安全和發展方面，需要敏捷性、靈活性和快速的決策。

在全球能源解決方案公司施耐德電氣，網絡安全是其轉型戰略的核心。面對企業并購以及從研發到供應鏈和服務的業務復雜性，施耐德全球CISO Christophe Blassiau反復強調企業整體數字化安全運營的可視性。IT和運營技術(OT)的集成產生的新連接、數據源和潛在漏洞都需要防護，施耐德的網絡團隊必須將公司的安全性與合作伙伴和供應商的生態系統由點到面地對接起來。

Blassiau表示：我們不是頭痛醫頭，腳痛醫腳地劃分安全職責或者資質，我們從全公司范圍的IT和風險治理設計階段就開始融入安全。

施耐德對網絡采取了雙向方式，制定了一個全新的網絡安全實踐計劃，并在每個實踐和整個公司中嵌入網絡專業人員(數字風險經理和區域CISO)，以創建一個網絡安全領導者社區，他們接受培訓并專注于特定的網絡風險。此舉讓Blassiau 在數字空間中有了一種“控制感”。

每個片區都有一個網絡安全負責人向數字實踐執行領導匯報，同時也向我匯報。

融入業務：安全團隊也必須轉型

安全團隊面臨的最大挑戰仍然是如何讓安全跟上企業數字轉型的速度，確保安全性覆蓋每一個新的內部數字流程、新產品開發和外部互聯網機會。Sanchez說，大部分安全解決方案都歸結于IT和安全部門的文化。安全團隊也必須經歷一場變革。但這并不容易，許多員工必須愿意學習新技能，才能與企業業務人員互動。

其中一些安全轉型可以通過重組來實現。例如，許多安全測試人員正在消失，測試工作由軟件工程師完成。誰能比產品開發者更懂得如何保護它呢?其他開發領域也是如此。

未來，數字化轉型和網絡安全不再是兩件事，而是一件事。NTT美洲安全首席執行官(Matt Handler)表示，整個安全團隊變得更加平易近人，成為業務的一部分。尤其是內部威脅管理，對網絡安全在企業文化和業務流程的中融合提出了更高要求。

根據Forrester的報告，2020 年許多公司的內部威脅管理不僅將關注如何降低風險，而且還會兼顧隱私、透明性和員工滿意度。2020 年，將是企業把內部威脅功能從臨時措施變為可重復和可改進“固化流程”的一年。

安全團隊必須是敏捷化，成為業務創新的推動者而不是阻攔者。這是“過去一年左右發生的新趨勢。”

Handler補充道：

安全的未來：安全設計和安全智能

多年來，CISO一直在倡導從設計階段就植入安全性?，F在，由于更加靈活和動態的組件，“安全設計”的實現也變得越來越容易。特別是云計算以及可用的內置安全功能越來越豐富，企業可以更深入地研究堆棧——從網絡和基于主機的安全，到應用程序和數據安全，以及“零信任網絡架構”的實現方式。

此外，投資者預計，隨著利基網絡安全供應商數量的鞏固，使用機器學習的網絡安全公司很可能在2020年脫穎而出。不過，由于人工智能的過度炒作，企業界變得更加警惕，更加看重人工智能安全技術的實際效用和交付能力。擁有大量安全數據的公司可以將算法、分析和機器學習結合起來，大大縮短威脅的檢測和響應事件(MTTD和MTTR)。

Handler說：

有一點可以確信的是，人工智能不是安全的終點，而是起點，人工智能本身會帶來新的高級安全威脅，“深度偽造”只是人工智能威脅的初級應用。

未來，網絡犯罪/APT攻擊的組織化、敏捷化和人工智能技術的武器化擴散，將是企業安全團隊面臨的重大議題。

大安全時代：每個企業都是網絡安全企業，每個員工都是安全人員

“零時代，大安全”，是安全牛對始于2020年的安全市場大變革的研判和預測。“零時代”指的是零信任時代的安全能力新基準、新框架，以及安全技術和方法的顛覆趨勢;“大安全”指的是需要站在國家政治、經濟、社會治理的高度、從企業信息化的角度，基于風險管理大框架來看安全問題，安全能力不再是一個技術人員的問題，而是所有人的問題!

根據安全牛之前的報道“決定網絡安全市場錢途的五組數字”，未來兩年網絡犯罪造成的損失是6萬億美元，而全球網絡安全支出約1萬億美元。也就是說，安全支出與安全損失的比例是1：6，損失6元錢才舍得在安全上花1元錢，在中國這個比例更低，因為中國企業的安全支出占比遠低于全球平均水平。

更糟糕的不是安全支出與安全損失的失衡，而是網絡安全在中國數字化轉型中定位的邊緣化——道具化和龍套化。這也是大量網絡安全企業呼吁“內生安全”和“安全能力”的原因。一個健康的安全的數字化生態，安全應當是每個政府部門、每個企業、每個員工、每個產品的能力，而不僅僅是安全技術產品的能力;其重要特征是網絡安全用戶變成技術應用的創新者，而不局限于網絡安全企業的產品和概念，以下這些虛構的新聞也許能帶給我們些啟示：

毫無疑問，2020年這場疫情注定將對國家、企業和數字社會的轉型進程產生無法估量的巨大影響，“全民云辦公”的IT應用場景和需求訴求發生顛覆性變化，這對無法適應變化缺乏創新和執行的網絡安全企業來說是災難，而對另外一些敏捷化的網絡安全企業來說，則是在這場人類史上最大規模的數字化遷徙中把握水源地機會，成長為全球一流企業的關鍵契機。正如本文所提到的正在發生和必將發生的安全變革：從伴生安全到內生安全;從技術問題上升到管理問題;從預算“邊料”變成支出重點;從合規驅動到能力驅動。

【本文是51CTO專欄作者“李少鵬”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文