在您为来年制定网络安全弹性计划、优先事项和路线图时,安全和风险专家提供了以下 2023 年网络安全预测。
1. 对网络保险的需求将会增加,但它会变得更难获得, 作者:(ISC)² 的CISO Jon France
“网络安全意识有其优点和缺点……其中一个缺点是网络保险的保费较高。仅在 2022 年第一季度,网络保险的保费就上涨了近 28% 与 2021 年第四季度相比。这主要是由于人们对勒索软件、数据泄露、漏洞利用等网络事件的财务和声誉风险的认识提高。与此同时,保险商也对获得网络保险提出了更加严格的要求,要求进行双因素身份验证以及采用 EDR、XDR 等特定技术。事实上,这些文件过去是两页的调查问卷……现在是完整的审计,长达 12 页以上。因此,增加网络保险费和更严格的保险要求将成为 2023 年值得关注的有趣障碍。
另一方面,我们也可能会看到供应链问题发生率上升导致需求增加。由于这些问题,公司可能会开始越来越多地要求与他们合作的任何供应商或第三方必须拥有网络保险。正如我们已经开始看到的那样,随着地缘政治问题蔓延到国外,除了公司不断面临的网络威胁之外,公司将优先保护他们最重要的资产(包括他们的声誉)。到 2023 年,对网络保险的需求将继续增加,获得这些保单的价格和要求也将继续增加。”
2. 经济衰退将导致培训项目支出减少
“尽管人们认为网络安全可能是一个抗衰退的行业,但在经济低迷期间,人员和质量很可能会受到打击。到目前为止,我们还没有看到网络安全的核心预算被削减,但培训预算等更“自由裁量”的领域可能会出现缩减。这既适用于各种规模的公司的安全意识培训,也适用于培训网络安全专业人员如何充分保护其关键资产。该行业已经面临技能短缺,不幸的是,由于对熟练网络安全工作者的需求增加,随着 2023 年经济衰退的到来,我们可能会看到技能短缺进一步恶化。”
3. 2023 年将是动荡的一年,因为竞争激烈的隐私法规在州和地方层面获得通过 ,作者:舒达席梦思床上用品信息安全副总裁兼首席信息安全官 Drew Perry
“信息隐私将在可见性和执行方面继续增长,但收费将由并不总是相互一致的各种区域法规牵头。CISO 将在组织风险方面发挥更大的咨询作用,因为他们被要求帮助驾驭经常相互竞争的隐私规则,以使企业能够尽可能接近历史规范运营。在保护底线方面,明智的组织不会采取任何措施,因此 CISO 应该期望参与到以前不寻求他们的意见的对话中。在接下来的几年里,能够自如地走这些道路的 CISO 将受到追捧。”
4. 安全领导者将更加关注网络弹性,作者:Zoom 首席信息安全官 Michael Adams:
“虽然保护组织免受网络威胁始终是安全计划的核心关注领域,但我们可以期待对网络弹性的更多关注,这超出了保护范围,包括在发生网络事件时的恢复和连续性。它不仅投入资源抵御网络威胁;它正在对人员、流程和技术进行投资,以减轻影响并在发生网络事件时继续运营。”
5. 自动化和安全运营,作者 : CardinalOps首席执行官兼联合创始人 Michael Mumcuoglu :
“到 2023 年,我们将看到自动化进入安全运营的剩余几个领域,这些领域仍然依赖于手动流程。这些领域包括威胁暴露管理,它有助于全面解决诸如“我们如何准备检测和响应最有可能以我们组织为目标的对手?”等问题。另一个将变得更加自动化的领域是检测工程,它仍然高度依赖专业知识和部落知识。自动化不仅会降低这些组织的风险,还会将 SOC 人员从繁琐的任务中解放出来,使他们能够专注于真正需要人类创造力和创新的更有趣的挑战,例如威胁搜寻和理解新的和新颖的行为。”
6. 云原生漏洞的增加,作者:Solvo首席执行官 Shira Shamban:
“我们不仅会看到整体安全事件的增加,而且特别是云原生漏洞的增加。根据 2022研究,近一半的数据泄露发生在云端。随着公司继续将部分或整个基础设施迁移到云中,我们将看到存储在云中的数据和皇冠上的宝石数量增加,从而导致更多的云原生安全事件机会。应用程序必须以第三方可以信任的方式构建。由于这条供应链不安全,因此在网络攻击者眼中,在云中进行黑客攻击具有越来越多的价值。”
7. Theon Technology顾问委员会成员 Bryan Cunningham 的《量子解密》 :
“到 2023 年底,每个组织都将与量子解密能力作斗争。 虽然到 2022 年人们对量子解密的未来(无人知晓)威胁的意识有所增强,但到 2023 年底,所有组织都将意识到他们将必须面对这种威胁。”
8. 网络安全培训,Hoxhunt的联合创始人兼首席执行官 Mika Aalto :
“到 2023 年,我们将看到网络安全培训的持续进步。人类并没有进化到发现数字世界中的危险。学校系统不会教他们防御网络攻击的黑魔法。它在我们身上。人为风险是一个组织问题。让我们的员工具备免受网络钓鱼攻击的技能是我们的责任。
自动化、自适应学习和人工智能/机器学习可以帮助大规模提供个性化培训。为什么这很重要?因为人们需要经常参加保持在他们技能水平边缘的相关培训,以便提高和保持参与。一段冗长、枯燥的视频后接基于惩罚的网络钓鱼模拟已被证明是行不通的。专注于失败会导致失败。当人们在动态学习环境中获得技能时对其进行奖励会带来可衡量的进步。这种方法广泛地描述了游戏化,其成功基于行为科学和商业的既定原则,并将成为未来一年保护各种规模组织的关键。”
9. 不良行为者的职业化,Tigera总裁兼首席执行官 Ratan Tipirneni:
“勒索软件即服务的可用性越来越高,这种模型为不良行为者提供复杂的漏洞分布,同时将他们与交易风险隔离开来,这将导致毫无准备的企业安全状况恶化。随时可用的威胁和不安全的部署的综合影响肯定会导致引人注目的违规行为。在理想情况下,这些漏洞最终将使企业超越基准法规,使安全成为基础工作。”
10. The Cyber Basics – Cyber Hygiene and Awareness,作者:Delinea首席安全科学家兼咨询 CISO Joseph Carson:
“成为网络安全社会的必要性将增加正确掌握基础知识的必要性。这意味着网络卫生和意识将成为 2023 年的重中之重。随着越来越多的组织希望获得网络保险作为财务安全网,以保护其业务免受数据泄露和勒索软件攻击导致的严重财务风险,需要获得可靠的保障到位的网络战略将被强制要求获得保险。“便宜又容易”的时代已经结束。
这意味着要在 2023 年回归基础,提升网络安全基线。持续的远程工作和云转型意味着需要通过多因素身份验证、密码管理和持续验证来支持强大的访问管理策略,以降低风险。
除了实施更好的访问安全控制外,雇主还需要赋予员工更好的网络安全意识。这意味着持续的培训和教育,以确保随着威胁的演变,员工了解情况并准备好成为网络战略的有力捍卫者。”
11. 移动工作场所趋势将为企业创造新的盲点,作者:SlashNext首席执行官 Patrick Harr:
“个人通信渠道(游戏、LinkedIn、WhatsApp、Signal、Snapchat 等)将在不良行为者设计的针对企业的攻击路径中发挥更大的作用。一旦单个用户受到威胁,坏人就可以横向移动以获取业务。而且由于电子邮件现在至少有一些保护措施,网络犯罪分子将更多注意力转向这些其他通信渠道,并且成功率更高。
安全态势的最大漏洞来自新混合劳动力中员工的个人数据。随着组织采用新的个人消息传递、通信和协作渠道,这些盲点变得越来越明显。攻击者通过 WhatsApp、Signal、Gmail 和 Facebook Messenger 等受保护较少的个人通信渠道以员工为目标,以实施攻击。然后它就变成了从外部立足点横向渗透到组织中的问题。
此外,现在越来越多的人在同一设备上同时处理业务任务和个人生活,这是一个很大的盲点。我只看到这种趋势在来年会加速。这一切都回到了:我如何验证你真的是我正在与之交流的人?或者这是我假设的可信文件或公司网站链接?
对任何公司来说,最大的单一威胁不再是机器安全——它确实是人的安全因素。这就是为什么这些对人类的攻击会继续增加,因为人类容易犯错,他们会分心,而且许多威胁不容易被识别为恶意的。”
12. 联网设备将需要更强大的安全性,作者:Keeper Security首席执行官兼联合创始人 Darren Guccione:
“连接的物联网设备数量多年来一直在增长,而且没有放缓的迹象。在过去三年中,由于 COVID-19 的加速数字化转型和基于云的计算的激增,物联网设备的数量呈指数级增长。2022年物联网市场预计增长18%到 144 亿活跃连接。随着越来越多的消费者和企业依赖联网设备,这些联网解决方案变得更容易受到网络攻击。因此,原始设备制造商 (OEM) 出货的数十亿台设备将需要更高的开箱即用安全性,以降低恶意软件入侵的风险及其对分布式拒绝服务 (DDoS) 攻击的贡献。为了防止和减轻破坏性攻击,OEM 的制造商和供应商必须在设备内设计安全性,将其嵌入连接设备的每一层。”
13. 数据可见性和合规性,作者:Dig Security首席执行官兼联合创始人 Dan Benjamin :
“到 2023 年,CISO 将优先采用能够让他们了解组织所持有的数据、数据所在的位置以及数据带来的风险的解决方案。这种可见性对于安全领导者至关重要,因为他们制定计划以满足高度监管的世界中的合规性要求,并在日益具有挑战性的威胁环境中保护数据。”
14. 供应链安全,Coalfire 副总裁 Caitlin Johanson:
“2022 年,美国尤其面临来自国外创建、开发和运行的 B2B 和 B2C 技术的风险和漏洞——中国云软件 TikTok 就是一个完美的例子。它开始引发许多问题,围绕着代码和应用程序的来源、将哪些数据放入这些应用程序以及这些数据的主权是什么。到 2023 年,我们将开始看到更多关于开发人员所在位置和代码来源的审查,更多组织将关注软件组成分析和安全代码开发(应用程序安全)。基本上,质疑我们国家供应链的每个组成部分。Covid 对我们供应链的总体位置提出了质疑,今年,
15. ICS/OT 技能差距将因前所未有的需求而扩大,作者 :Hexagon Asset Lifecycle Intelligence 网络生态系统全球总监 Edward Liebig
“研究表明,绝大多数电力、石油和天然气以及制造企业在过去一年半左右的时间里都经历过网络攻击。研究还表明,由于对熟练专业人员的高需求,网络安全劳动力缺口正在扩大。除了多年来普遍存在的针对关键基础设施系统的强烈威胁,拜登政府新的 100天 跨部门冲刺和更多法规的发布,还需要更多专业人士跟上。此外,许多组织目前缺乏能够在 IT 和 OT 部门成功整合安全实践和严格要求的员工,随着 2023 年工业 4.0 的兴起,这一点变得越来越重要。”
16. 虚拟世界可能是下一件大事,但让我们面对现实吧,作者:VMware首席网络安全策略师Rick McElroy
“考虑到元宇宙的采用仍处于起步阶段,元宇宙的未来相对未知,但企业仍在将其推向市场的速度超过了安全社区所接受的速度。我们已经在当前版本的数字世界中看到身份盗用和深度伪造攻击的实例,其中不良行为者掠夺高管以在公司外部电汇数十万美元。这不是说元宇宙虚拟现实中的类似骗局不会增加吗?当我们开始展望 2023 年时,企业在交付这项新兴技术时需要谨慎和考虑。将密码拖入虚拟世界是导致泄露的一个秘诀。”
17. 网络风险管理将成为企业领导者的首要任务,作者:VMware高级网络安全策略师Karen Worstell
“在网络风险的治理和监督方面,我们的系统已经崩溃。它不再像十五年前那样 - 我们正在处理更高的风险和脆弱的企业声誉。因此,到 2023 年,我们将看到公司在网络风险管理方面加倍努力。在确保充分控制和报告网络攻击的过程中,董事会需要有更明确的角色和责任。网络风险治理不仅仅是 CISO 的领域,现在显然是董事和官员级别的关注点。谈到网络,似是而非的否认已经死了。”
18. 到2023年,复杂的固件攻击将变得更加普遍,网络犯罪分子将继续投资于利用对端点设备的物理访问的攻击,作者:惠普公司系统安全研究与创新首席技术专家 Boris Balacheff。
“到 2023 年,组织应该控制固件安全。曾经,固件攻击仅被复杂的 APT(高级持续威胁)组织和国家使用。但在过去的一年里,我们看到了网络犯罪社区能力开发和交易增加的迹象——从破解 BIOS 密码的工具,到针对设备 BIOS(基本输入/输出系统)和 UEFI(统一可扩展固件)的 Rootkit 和特洛伊木马界面)。现在,我们在网络犯罪市场上看到标价几千美元的固件 Rootkit。
随着需求的增长,复杂攻击功能的可负担价格也随之而来。我们应该期待看到更多此类商品在地下网络犯罪中出售,进而引发更多固件攻击。
对固件级别的访问使攻击者能够获得持久的控制权并隐藏在设备操作系统之下,使他们很难被发现——更不用说删除和收回控制权了。组织应确保他们了解设备硬件和固件安全方面的行业最佳实践和标准。他们还应该了解和评估可用于保护、检测和从此类攻击中恢复的最先进技术。”