企业需要不断适应最新的技术、实践,甚至数据隐私法律,需要实施强大的网络安全措施和计划来保持领先。
以下了解2023年网络犯罪活动将如何演变,以及企业在未来一年可以做些什么措施来保护业务。
数字供应链攻击增加
随着供应链的快速现代化和数字化,也出现了新的安全风险。根据调研机构Gartner公司的预测,到2025年,全球45%的企业将经历对其软件供应链的攻击,这与2021年相比增加了三倍。在以前,这种类型的攻击甚至不太可能发生,因为供应链没有连接到互联网。但供应链现在需要得到更加妥善的保护。
围绕软件供应链引入的新技术意味着可能还存在尚未被发现的安全漏洞,为了在2023年保护企业的业务,必须发现这些漏洞。
如果企业已经在其技术堆栈中引入了新的软件供应链,或者计划在2023年的某个时候这样做,那么企业必须集成更新的网络安全配置,雇用具有数字供应链经验的人员和流程,以确保正确实施安全措施。
特定于移动设备的网络威胁呈上升趋势
随着智能手机在工作场所的使用越来越多,移动设备正成为网络攻击者的更大目标,这应该不足为奇。事实上,根据2022年Verizon移动安全指数(MSI)报告,涉及移动设备的网络犯罪事件在去年增加了22%,而且在2023年到来之前并没有放缓的迹象。
随着网络攻击者对移动设备的攻击,基于短信的身份验证不可避免地变得不那么安全。即使是看似最安全的公司也容易受到对移动设备的网络攻击。例如,仅在过去一年,包括优步和Okta在内的几家大公司就受到了涉及一次性密码的安全漏洞的影响。
这就要求人们不再依赖基于短信的身份验证,而是使用更安全的多因素身份验证(MFA)。这可能包括使用时间敏感令牌的验证器应用程序,或者基于硬件或设备的更直接的验证器。
企业需要采取额外的预防措施,通过实施帮助验证用户身份的软件来防止网络攻击。根据世界经济论坛发布的《2022年全球风险报告》,95%的网络安全事件是由人为错误造成的。这一事实本身就强调了需要采用软件应用程序,以减少在验证时人为错误的可能性。实现像Specops的安全服务台这样的工具有助于减少针对帮助台的社交工程攻击的漏洞,在服务台实现安全的用户验证,而没有人为错误的风险。
加倍重视云安全
随着越来越多的企业选择基于云的活动,云安全(任何保护存储在云中的信息的技术、政策或服务)应该成为2023年及以后的首要任务。随着技术的发展,网络犯罪分子变得越来越复杂,他们的策略也在不断演变,这意味着云安全至关重要,因为企业更频繁地依赖云安全。
针对基于云计算的网络犯罪最可靠的保护措施是零信任理念。零信任背后的主要原则是自动验证一切,也就是基本上不相信没有某种授权或检查的任何人。当涉及到保护存储在云中的数据和基础设施免受威胁时,这种安全措施至关重要。
勒索软件即服务将继续存在
勒索软件攻击继续以惊人的速度增加。根据Verizon公司的调查,勒索软件漏洞2022年同比增长13%。美国联邦调查局(FBI)表示,勒索软件攻击也变得越来越有针对性——医疗保健、食品和农业等行业是最新成为受害者的行业。
随着勒索软件威胁的增加,勒索软件即服务(RaaS)的使用也在增加。当勒索软件犯罪分子将其基础设施出租给其他网络犯罪分子或团伙时,这一现象日益严重。勒索软件即服务(RaaS)套件使威胁行为者更容易快速和经济地部署攻击,这对任何领导网络安全协议和程序的人来说都是一个危险的组合。要增加对使用勒索软件即服务(RaaS)的威胁参与者的保护,需要获得最终用户的帮助。
最终用户处在企业对抗勒索软件攻击的最前沿,但他们需要适当的安全培训以确保他们受到保护。确保网络安全程序具有清晰的文件记录,并定期实施,这样用户就可以对安全漏洞保持警惕。在企业中尽可能采用密码策略软件、多因素身份验证(MFA)和电子邮件安全工具等备份措施也可以减轻最终用户的网络安全负担。
数据隐私法越来越严格,企业需要做好准备
谈到2023年的网络安全,不能不提到数据隐私法规。随着新的数据隐私法规将于2023年在美国生效,现在是评估当前的程序和系统的时候,以确保它们符合规定。这些针对美国各州的新法律只是一个开始。随着越来越多的州可能在未来几年制定新的隐私法规,企业审查其合规性将是明智的。
数据隐私法规通常要求企业改变存储和处理数据的方式,如果执行不当,可能会给企业带来额外的风险。因此,企业需要确保遵守适当的网络安全协议,包括如上所述的零信任。