近年来,我们看到网络安全的话题从 IT 部门转移到了董事会。随着攻击的激增和潜在的惩罚(无论是监管还是失去客户信任)的增加,它已成为每个组织级别的优先事项。
我们经常将网络安全视为黑客与犯罪分子与安全专家之间的持续战斗,由于技术的不断进步,这种战斗在不断升级。这是我们有时在电视节目和电影中看到的业务“迷人”的一面。事实上,威胁有时来自敌对的外国或狡猾的、精通技术的犯罪策划者。然而,在现实中,由于网络安全不当导致敏感数据意外暴露,或者员工在家工作时使用非安全设备粗心或轻率,威胁同样可能出现。
在 Covid-19 大流行期间开始并在许多组织中持续存在的家庭和远程工作文化的转变,以及物联网 (IoT) 向商业和社会各个领域的传播,意味着从未有过松懈的安全性有更多的机会引起头痛和费用。正因为如此,网络安全是 2023 年每个人的首要议程,因此以下是 2023 年的一些主要趋势:
物联网和云安全
我们连接在一起和联网的设备越多,攻击者可以用来进入和访问我们数据的潜在门窗就越多。Gartner 分析师预测,到 2023 年,全球将有430 亿台 IoT 连接设备。
物联网设备——从智能可穿戴设备到家用电器、汽车、建筑报警系统和工业机械——通常被证明是负责网络安全的人的一个难题。这是因为,由于它们通常不用于直接存储敏感数据,制造商并不总是专注于通过频繁的安全补丁和更新来确保它们的安全。这种情况最近发生了变化,因为事实表明,即使他们自己不存储数据,攻击者也经常能找到方法将它们用作网关来访问其他可能的联网设备。例如,今天,您不太可能找到带有默认密码或 PIN 且不需要用户设置自己的 PIN 的设备,就像过去经常发生的情况一样。
2023 年,世界各地的一些政府举措将生效,旨在提高连接设备以及将它们连接在一起的云系统和网络的安全性。这包括将在美国推出的物联网设备标签系统,为消费者提供有关他们带入家中的设备可能构成的安全威胁的信息。
在家工作网络安全成为企业的优先事项
最近,许多组织的网络安全优先事项是保护自大流行开始以来全球数百万台用于家庭和远程工作的设备。在大流行之前,当我们都在办公室工作时,安全代理(可能位于 IT 部门)定期检查和更新公司的笔记本电脑和智能手机非常简单。这使得确保他们没有间谍软件和恶意软件并运行最新版本的防病毒软件和其他预防措施变得相对简单。到 2023 年,当员工比以往任何时候都更有可能使用个人设备远程连接到工作网络时,一系列新的挑战出现了。
使用不安全的设备连接到网络可能会导致员工在不知不觉中成为网络钓鱼攻击的受害者,攻击者诱骗用户泄露密码。随着越来越多的人远程工作,我们越来越有可能发现自己在彼此不认识的团队中工作,并且有陷入冒充诈骗的风险。它还支持勒索软件攻击,其中软件被注入网络,除非用户向攻击者支付赎金,否则会擦除有价值的数据。在远程工作情况下,这种情况的风险也会增加,在远程工作情况下,设备更有可能无人看管。
国际国家支持的攻击者针对企业和政府
民族国家经常参与网络间谍和破坏活动,试图破坏不友好或竞争的政府或获取机密。然而,在当今时代,公司和非政府组织(NGO)越来越有可能发现自己成为国家行为者的目标。
自2017年WannaCry勒索软件攻击以来,据信是由隶属于朝鲜政府的黑客实施的,全球服务器遭受了数十万次攻击,安全机构认为这些攻击可以追溯到外国政府。
2023年,将有70多个国家举行政府选举——这些事件经常成为外国敌对利益集团攻击的目标。除了对基础设施的黑客攻击和网络攻击外,还将采取社交媒体上的虚假信息活动的形式。这通常涉及寻求影响结果,以支持其胜利将有利于敌对国家政府的政党。毫无疑问,网络战将继续成为武装冲突的关键因素,一位分析人士在谈到俄乌战争时说:“数字是这场战争的重要组成部分,地面战斗也是如此。
人工智能(AI)在网络安全中发挥着越来越重要的作用
随着网络攻击的尝试数量迅速增长,人类网络安全专家越来越难以应对所有这些攻击并预测接下来最危险的攻击将在哪里发生。这就是人工智能发挥作用的地方。机器学习算法可以比人类更有效地实时检查跨网络移动的大量数据,并学会识别表明威胁的模式。据IBM称,与不使用人工智能和自动化来检测和响应数据泄露的公司相比,使用人工智能和自动化来检测和响应数据泄露的公司平均节省了300万美元。
不幸的是,由于人工智能的可用性不断增长,黑客和犯罪分子也越来越熟练地使用它。人工智能算法用于识别安全性较弱的系统,或者在连接到互联网的数百万台计算机和网络中可能包含有价值数据的系统。它还可用于创建大量个性化的网络钓鱼电子邮件,旨在诱骗收件人泄露敏感信息,并越来越擅长逃避旨在过滤此类邮件的自动电子邮件防御系统。人工智能甚至被用来人为地“克隆”高级管理人员的声音,然后欺诈性地授权交易!
这就是为什么在网络安全中使用人工智能有时被称为“军备竞赛”,因为黑客和安全代理人竞相确保最新和最复杂的算法在他们这边工作,而不是为反对派服务。据预测,到2030年,人工智能网络安全产品的市场价值将接近1390亿美元,比2021年市场的价值增长近十倍。
建立安全意识文化
也许任何组织可以采取的最重要的步骤是确保它正在努力发起和培养一种围绕网络安全问题的认识文化。如今,雇主或雇员仅仅将网络安全视为IT部门需要处理的问题已经不够好了。事实上,培养对威胁的认识并采取基本预防措施以确保安全应该是 2023 年每个人工作描述的基本组成部分!
网络钓鱼攻击依靠“社会工程”方法来诱骗用户泄露有价值的信息或在其设备上安装恶意软件。没有人需要技术技能来学习了解这些类型的攻击并采取基本预防措施以避免成为受害者。同样,应全面教授基本安全技能,例如安全使用密码和了解双因素身份验证(2FA)并不断更新。采取这样的基本预防措施来培养网络安全意识文化应该是希望确保在未来 12 个月内建立弹性和准备能力的组织业务战略的核心要素。