在为未来一年制定网络安全弹性计划、优先事项和路线图时,一些安全和风险专家对2023年的网络安全趋势进行了预测。
(1)(ISC)²公司首席信息安全官 Jon France表示,对网络安全保险的需求将会增加,但它将更难获得
France说,“企业具有网络安全意识有其优点和缺点,其中一个缺点是网络安全保险的保费较高。仅在2022年第一季度,网络安全保险的保费与2021年第四季度相比上涨了近28%。这主要是由于人们对勒索软件攻击、数据泄露、漏洞利用等网络事件的财务和声誉风险的认识有所提高。与此同时,网络安全保险商对企业获得保费的要求也更加严格,要求他们采用双因素认证和采用EDR、XDR等特定技术。事实上,这些文件过去通常是两页的问卷调查,而现在它们是完整的审计报告,可能长达12页以上。因此,提高网络保险费用和提出更严格的保险要求将是2023年值得关注的障碍。
另一方面,由于供应链问题的发生率不断上升,我们也可能会看到需求的增加。由于这些问题,企业可能会开始越来越多地要求与他们合作的任何供应商或第三方必须拥有网络保险。正如我们已经开始看到的那样,随着地缘政治问题加剧,除了企业不断面临的网络威胁之外,还将优先考虑保护他们最重要的资产(包括他们的声誉)。2023年,网络安全保险的需求将继续增加,获得这些保险的费用和要求也将继续增加。”
(2)Jon France表示,经济衰退将导致培训项目开支的减少
France说,“尽管人们认为网络安全可能是一个不受经济衰退影响的行业,但在经济衰退期间,网络安全的人员和质量很可能会受到影响。到目前为止,我们还没有看到网络安全的核心预算被削减,但在其他的领域(例如培训预算)可能会出现缩减。这既适用于各种规模的企业的安全意识培训,也适用于培训网络安全专业人员如何充分保护其关键资产。该行业已经面临着技能短缺的情况,不幸的是,随着经济衰退在2023年的持续,由于对熟练网络安全人员的需求增加,技能短缺的情况可能会加剧。”
(3)舒达-席梦思集团信息安全和首席信息官副总裁Drew Perry表示,2023年将是动荡的一年,因为各国和地方政府都在发布隐私法规
Perry说,“信息隐私的可见性和执行力将会继续提高,但各国和地区的法规并不总是相互一致。首席信息安全官将在企业风险方面发挥更大的咨询作用,因为他们被要求帮助浏览经常相互竞争的隐私规则,以使企业尽可能接近历史规范。明智的企业在保护收益时将会采取必要的措施,所以首席信息安全官应该了解各种意见。在接下来的几年里,在这些道路上游刃有余的首席信息安全官将受到追捧。”
(4)Zoom公司的首席信息官Michael Adams表示,安全领导者将加大对网络弹性的关注
Adams说,“保护企业免受网络威胁始终是安全计划的核心重点领域,同时,我们可以预期,网络弹性将得到越来越多的关注,这不仅包括安全保护,还包括在发生网络事件时的恢复和连续性。企业需要不仅在防范网络威胁方面投入资源,还要对人员、流程和技术进行投资,以减轻影响,并在发生网络攻击事件时继续运营。”
(5)CardinalOps公司的首席执行官兼联合创始人Michael Mumcuoglu表示,自动化与安全运营至关重要
Mumcuoglu说,“在2023年,我们将看到自动化进入仍然依赖人工流程的安全运营的少数剩余领域。这些领域包括威胁暴露管理,这有助于全面解决诸如‘我们如何准备来检测和响应最有可能针对企业的对手?’的问题。另一个变得更加自动化的领域是检测工程,它仍然高度依赖专业知识和部落知识。自动化不仅会降低这些风险,还会将安全运营中心(SOC)人员从日常任务中解放出来,使他们能够专注于真正需要人类创造力和创新的更有趣的挑战,例如威胁搜索和理解新的攻击行为。”
(6)Solvo公司的首席执行官Shira Shamban表示,云原生漏洞将会增加
Shamban说,“我们不仅会看到整体安全事件的增加,而且具体来说是云原生漏洞将会增加。根据2022年进行的研究,将近一半的数据泄露发生在云中。随着企业不断将部分或整个基础设施迁移到云端,我们将看到存储在云端的数据泄露事件的增加,从而导致更多的云原生安全事件发生。应用程序必须以一种第三方可以信任的方式构建。由于这条供应链并不安全,在网络攻击者看来,在云中进行网络攻击的价值越来越大。”
(7)Theon Technology咨询委员会成员Bryan Cunningham表示,量子解密将带来威胁
Cunningham 说,“到2023年底,企业可能都将与量子解密的能力作斗争。人们对未来量子解密威胁的认识在2022年有所增加,到2023年底,所有企业都将意识到他们将不得不面对这一威胁。”
(8)Hoxhunt公司的联合创始人兼首席执行官Mika Aalto表示,需要加强网络安全培训
Aalto说,“2023年,我们将看到网络安全培训的持续进步。人类并没有进化到能够发现数字世界中的危险,而学校也没有教授如何防御网络攻击的方法。让所有人具备防范网络钓鱼攻击的技能是网络安全人员的责任。
自动化、自适应学习和人工智能/机器学习可以帮助企业大规模提供个性化培训。为什么这很重要?因为人们需要经常参加相关的培训,以保持和提高他们的技能水平。观看枯燥的相关视频,然后进行基于惩罚的网络钓鱼模拟,这些措施已经被证明不起作用。当人们在动态的学习环境中获得技能时给予奖励,将会带来可衡量的技能提高。这种方法的成功基于行为科学和商业的既定原则,并将成为未来一年保护各种规模企业的关键。”
(9)Tigera公司的总裁兼首席执行官Ratan Tipirneni表示,网络攻击者日益职业化
Tipirneni说,“勒索软件即服务的可用性不断增加,这种模式为网络攻击者提供了复杂的漏洞分布,同时将他们与交易风险隔离开来,这将导致毫无准备的企业的安全状况恶化。随时可用的威胁和不安全的部署的综合影响肯定会导致引人注目的网络攻击。在理想的情况下,这些网络攻击行为最终将使企业超越基准法规,并将安全作为一项基本工作。”
(10)Delinea公司的首席安全科学家和首席信息安全官Joseph Carson表示,人们要具备网络安全知识和意识
Carson说,“构建网络安全社会的需求将会增加基本的权利。这意味着网络安全知识和意识将成为2023年的首要任务。随着越来越多的企业希望获得网络保险作为金融安全防护网,以保护他们的业务免受数据泄露和勒索软件攻击造成的严重财务风险,需要制定可靠的网络战略才能获得这样的保险。
这意味着企业将在2023年持续提升网络安全性。持续的远程工作和云计算转型意味着需要强大的访问管理策略,并得到多因素身份验证、密码管理和持续验证的支持,以降低风险。
除了实施更好的访问安全控制之外,企业雇主还需要增强员工更好的网络安全意识。这意味着持续的培训和教育,以确保随着网络威胁的演变,员工了解情况并做好准备,成为网络战略的捍卫者。”
(11)SlashNext公司的首席执行官Patrick Harr表示,移动工作场所趋势将为企业创造新的盲点
Harr说,“个人沟通渠道(游戏、LinkedIn、WhatsApp、Signal、Snapchat等)将在网络攻击者针对企业的攻击路径中发挥更大的作用。一旦个人用户被泄露,网络攻击者就可以横向移动,进入企业。由于电子邮件现在有一些保护措施,网络攻击者正把更多的注意力转向其他通信渠道,并看到了更高的成功率。
在新的混合工作中,网络安全的最大缺口来自员工的个人数据。随着企业采用新的个人信息、交流和协作渠道,这些盲点变得越来越明显。网络攻击者通过保护较少的个人通信渠道(例如WhatsApp、Signal、Gmail和Facebook Messenger)针对员工进行攻击。然后,这就变成了一个从外部立足点横向穿透企业的问题。
此外,越来越多的人同时在同一台设备上完成工作和生活事项,这是一个重要的盲点。我认为这一趋势将在今年加速。这一切都回到了:‘我如何验证你是我正在与之交流的人?’或者这是可信的文件或公司网站链接吗?
对任何企业来说,最大的威胁不再是机器安全,而是真正的人员安全因素。这就是为什么这些针对人类的网络攻击会继续增加,因为人类容易犯错,他们会分心,许多威胁不容易被识别为恶意的。”
(12)Keeper Security的首席执行官兼联合创始人Darren Guccione表示,互联设备将需要更强大的安全性
Guccione说,“物联网设备的数量多年来一直在增长,并且没有放缓的迹象。在过去三年中,由于2019年新冠疫情导致数字化转型的加速以及云计算的普及,物联网设备的数量呈指数级增长。2022年,全球物联网市场规模预计将增长18%,物联网设备将达到144亿台。随着越来越多的消费者和企业依赖物联网设备,这些设备变得更容易受到网络攻击。因此,物联网设备制造商制造的数十亿台设备将需要更高的开箱即用安全性,以降低恶意软件入侵的风险及其对分布式拒绝服务(DDoS)攻击的贡献。为了防止和减轻毁灭性的网络攻击,制造商和供应商必须在设备内部设计安全性,将其嵌入到连接设备的每一层。”
(13)Dig Security公司的首席执行官和联合创始人Dan Benjamin表示,企业需要加强数据可见性和合规性
Benjamin说,“在2023年,首席信息安全官将优先考虑采用解决方案,为其企业持有的数据、数据所在位置以及数据带来的风险提供可见性。对于安全领导者来说,这种可见性至关重要,因为他们要在高度监管的世界中构建项目,以满足合规要求,并在日益具有挑战性的威胁环境中保护数据。”
(14)Coalfire公司的副总裁Caitlin Johanson表示,要关注供应链安全
Johanson说,“在2022年,美国面临更多的来自国外创建、开发和运行的B2B和B2C技术的风险和漏洞。这引发了许多问题,包括代码和应用程序来自哪里,哪些数据被放入这些应用程序中,以及这些数据的主权是什么。2023年,我们将开始看到更多关于开发人员在哪里以及代码来自哪里的审查,更多的企业将专注于软件组合分析和安全代码开发(应用程序安全)。基本上,就是质疑供应链的每一个环节。新冠疫情给供应链带来了问题,在2023年,我们将开始更多地关注与国外软件开发相关的供应链安全风险。”
(15)Hexagon Asset Lifecycle Intelligence公司的网络生态系统全球总监Edward Liebig表示,ICS/OT技能差距将因前所未有的需求而扩大
Liebig 说,“研究表明,在过去一年半左右的时间里,绝大多数电力、石油和天然气以及制造行业的企业都经历过网络攻击。研究还表明,由于对熟练专业人员的高需求,网络安全劳动力缺口正在扩大。除了多年来一直普遍存在的对关键基础设施系统的严重威胁,随着美国政府发布的更多法规,还需要更多专业的人员。此外,许多企业目前缺乏能够成功整合IT和OT部门的安全实践和严谨性的员工,随着工业4.0在2023年的兴起,这一点变得越来越重要。”
(16)VMware公司的首席网络安全策略师Rick McElroy表示,元宇宙可能是下一个大事件,需要面对现实
McElroy说,“元宇宙的未来发展相对未知,因为它的采用仍处于起步阶段,但企业将其推向市场的速度仍然快于安全社区所能接受的速度。在当前的数字世界中,我们已经看到了身份盗窃和深度伪造攻击的例子,其中网络攻击者以企业高管为目标,在企业外部进行数十万美元的电汇或交易。在虚拟现实的元宇宙中,类似的骗局不会增加。当我们开始展望2023年的时候,企业在提供这种新兴技术的方法上需要谨慎和思考。将密码引入到元宇宙中是一种违规行为。但如果我们仔细考虑用于识别用户和部署持续身份验证的控制措施,利用生物识别和密切监控用户行为等不同因素,这将有助于缓解元宇宙的安全问题。”
(17)VMware公司的高级网络安全策略师Karen Worstell表示,网络风险管理将成为企业领导者的首要任务
Worstell说,“在网络风险的治理和监督方面,我们的系统已经崩溃。它不再是15年前的样子——我们正在处理更高的风险和脆弱的企业声誉。因此在2023年,我们将看到企业加倍重视网络风险管理。在确保充分控制和报告网络攻击的过程中,企业董事会需要有更明确的角色和责任。网络风险治理不仅是首席信息安全官的领域,现在显然是董事和高级管理人员的关注点。”
(18)惠普公司的系统安全研究与创新首席技术专家Boris Balacheff表示,2023年,复杂的固件攻击将变得更加普遍,网络犯罪分子将继续投资于利用端点设备的物理访问的攻击
Balacheff说,“2023年,企业应该控制固件安全。在过去的一年,我们已经看到了网络犯罪社区能力发展和交易的迹象——从入侵BIOS密码的工具,到针对设备BIOS和统一可扩展固件接口 (UEFI)的rootkit和木马。我们现在在网络犯罪市场上可以看到售价几千美元的固件rootkit。
复杂攻击能力与不断增长的需求齐头并进。我们可以预见在网络犯罪中看到更多这类产品的销售,进而引发更多固件攻击。
对固件级别的访问使网络攻击者能够获得持久控制,并隐藏在设备操作系统之下,使它们很难被发现,更不用说移除和收回控制权。企业应该了解设备硬件和固件安全方面的行业最佳实践和标准。他们还应该了解和评估可用于保护、检测和从此类攻击中恢复的最先进技术。”