2022年是网络安全行业发展前所未有的一年,无论是好的方面还是坏的方面。从积极的方面来看,人们看到无密码和多因素身份验证(MFA)和零信任方法的使用有所增加;从消极的方面来看,数据泄露造成的损失达到历史最高水平,例如商业化网络犯罪(勒索软件即服务)兴起以及Twitter、WhatsApp、Rockstar和Uber等公司的大规模数据泄露。
人们在2023年会在网络安全方面看到什么样的发展趋势? AWS公司有关网络安全方面的一些负责人对2023年网络安全的发展趋势进行了预测。
多因素身份验证将变得更加普遍
AWS公司首席信息安全官CJ Moses表示,多因素身份验证在商业和个人用途上的采用将继续增长,包括越来越多地使用生物特征形式的身份验证,以提高安全性和便利性(使用指纹或面部识别解锁设备)。
通过向这个方向发展,多因素身份验证在未来将把强大的安全性与可用性结合起来,确保用户在改善安全状况的同时拥有无摩擦的体验。作为最简单和最重要的保护措施之一,多因素身份验证被FIDO联盟、美国国家标准与技术研究院(NIST)和美国政府鼓励作为在线保护的基准,美国政府最近发表声明,敦促所有公司采用多因素身份验证。
在过去几年里,各国政府和企业越来越重视网络安全问题,这意味着多因素身份验证将需要更多地用于满足日益严格的安全要求和期望。
企业应该监控多因素身份验证在未来几年的进展,看看他们如何改进现有能力或将新的多因素身份验证能力构建到企业的文化和流程中。
对劳动力的背景的日益包容将解决人才缺口问题
亚马逊公司安全总监Jenny Brinkley表示,解决持续的安全人才劳动力短缺问题将是许多企业的首要任务。在2023年,越来越多的企业将会越来越意识到,吸引来自不同背景的最优秀人才不仅有助于填补关键的空缺职位,还将帮助企业改善其整体安全态势。
企业以不同的方式构建、创造、思考和交付,这是解决不断变化的安全问题的主要好处。有了更加多样化的思维方式,不同的观点开始发挥作用,使安全团队对他们必须保持安全的数字环境和物理环境都有新的和独特的看法。
新的思维方式对网络安全团队来说是极其重要的,因为它减少了多年的偏见和群体思维,并有助于解除信念的限制。不同的背景和团队也有助于确定如何支持关键的业务计划和目标。安全团队对于其他团队来说不再是监督部门,而是可以提供帮助的伙伴,在一个多元化的团队结构中,这种组织思维模式是可行和有效的。
合作将改善准备和事件响应
AWS公司的首席信息安全官办公室主任Mark Ryland表示,安全行业及其所支持的数字环境已经从2022年的合作中受益,这一趋势将持续下去。“更好的合作”的模式将在2023年及以后获得动力。
例如,随着最近建立的开放网络安全模式框架获得新成员,集体防御将得到改善,使安全团队能够更容易地关联更多数据源,以更少的时间完成他们的工作,并使用增强的数据主动改善安全状况。
更多的企业将会看到为工程工作和项目、工具、培训和指南做出贡献的价值,以帮助标准化整个行业的安全工具和数据格式,包括来自开源安全基金会(OpenSSF)成员的重要贡献。
网络安全培训将促进有效行动并提高安全性
亚马逊公司安全部门全球安全培训主管Jyllian Clarke表示,培训和教育是实施良好安全措施的关键。即使使用最强大和现代的工具,只有当人们知道该做什么以及如何做时,安全性才有效。任何接触数据或构建存储数据的工具和系统的人员都必须被赋予保护这些数据的权利。
大多数员工并不从事网络安全保护工作,他们的职位中也没有“安全”这一术语,这可能会导致他们认为安全是别人需要解决的问题。任何形式和规模的企业都必须激励员工关心安全,并授权他们采取有意义的行动来确保网络安全。网络安全培训需要包括一个全面的心态,帮助每个人在企业的各个层面都将网络安全问题作为一个业务问题来对待。
随着企业不断寻找吸引员工并改善安全结果的方法,新的最佳实践包括开发个性化的多模式学习计划,该计划包含多种演示、讨论和动手实验创造性地吸引所有学习风格。帮助员工清楚地理解安全最佳实践背后的原因是必要的。这可以通过分享现实世界的例子、经验教训和案例研究来实现,这些例子说明了为什么他们所做的一切都必须把安全放在第一位。
对于技术人员和非技术人员来说,需要了解个人行为如何影响网络安全,无论是积极的还是消极的,都能建立共同的责任感,从而改善网络安全状况,并将网络安全作为一项功能优先考虑,而不是事后考虑的事项。多式联运安全培训辅以持续的意识模式,在日常工作中培养网络安全文化,让员工了解并参与其中,同时为他们完成工作提供帮助。
嵌入式安全通过基础设施即代码将变得更加切实
AWS公司首席信息安全官办公室负责人Merritt Baer表示, 网络安全仍然是最重要的,越来越多的企业将业务转移到云平台,因为他们希望在产品开发生命周期的早期“左移”网络安全,以获得更好、更可扩展的软件开发方法。现在,云计算提供商已经消除了构建和维护数据中心的繁重工作,并投资于开发安全硬件,云计算的强大功能和灵活性使企业能够在不可变和短暂的环境中运营。
这是一个明显的业务推动者:它使开发人员能够快速移动并构建安全性。这意味着只要敲击键盘或移动鼠标,财富100强企业和小型创业公司现在都有能力采用基础设施即代码(IaC),利用模板(包括安全控制、许可和保护)。换句话说,现在他们也可以将安全视为代码。
这些具有嵌入式安全考虑的环境是安全团队帮助定义和改进“铺就的道路”,使开发人员能够快速运行运营环境。其结果是更加自动化,更少的人工审查一次性环境,更好的构建者体验和大规模的安全性。随着云计算应用的增加,“云计算”和“安全”将更好地交织在一起,因为云计算使构建者能够将安全考虑因素纳入他们的代码和架构决策中。
期待这能成为将安全放在首位的所有团队的一个例子:让安全的事情成为容易的事情。
企业将增加投资并关注业务弹性
AWS公司企业战略总监Clarke Rodgers表示, 随着数字化转型和云计算应用项目在各行业领域的普及,安全和运营弹性将受到利益相关者、股东、董事会、保险公司和其他人越来越多的审查。由IT部门每年一两次测试业务连续性计划和程序将不再足够。
必须开发具有弹性的、高可用性的技术架构和支持业务流程,并检查在最糟糕的情况下可能出现的问题。预算将包括“持续维护和改进”项目,以确保系统在退役前不仅具有高性能,而且具有安全性和弹性。随着自动化的力量和云计算技术的规模,在没有人为干预的情况下重建安全、有弹性的环境将不再只是一个梦想。
企业领导者将变得更加精通数字化,并增加投资,真正改变他们的经营方式(创新、组织结构、业务流程、提升/再培训),他们将为挑战组织弹性的事件做准备。企业高管和董事会将定期参加桌面/比赛日演习,回答“如果……会怎么样?”的问题。
例如,如果遇到网络安全事件(对企业或供应商/合作伙伴),关键业务系统是否可用?遇到经济衰退、与天气有关的不利影响、战争的负面影响以及其他事件将如何应对?
通过继续学习和转型(数字化转型没有终点),企业将在2023年变得更安全、更有弹性。
有了专门的工具,能见度将会提高
亚马逊公司安全数据湖总经理Rod Wallace表示,加速的数字化转型、远程工作、更多的物联网设备、新技术以及对移动性和访问的需求,为安全团队创造了不断增长的需要保护的环境。来自企业的越来越多的安全信号将产生越来越多的不同日志和事件数据,必须快速收集、调查和响应这些数据,以有效地解决潜在问题。
在未来几年,安全数据湖等专用工具的部署将不断增加,这将使安全团队能够自动集中、轻松访问和更有效地分析来自云计算和内部部署来源的所有安全数据。这种更高的可见性,意味着可以主动识别更多的潜在威胁和漏洞,以帮助预防未来的安全事件。
云安全将随着自动推理而增强
AWS公司自动化推理副总裁和杰出科学家Byron Cook表示,自动化推理使人们能够在几秒钟甚至更快地准确回答许多安全问题,否则用暴力测试可能需要大量的时间。根据预测,在可预见的未来,自动推理工具的容量和性能将每年翻一番。这一预测基于以下三点:
- 实际上,所有的自动化推理工具都是基于将问题转换为数学逻辑的有效的解决方案。当比较过去20年在相同的基准和硬件上的可满足性求解器时,可以看到它们的容量和性能以每年20%的速度增长。
- 摩尔定律继续提供额外的、每年都在增长的计算能力,以解决可以并行化和分布的问题。
- 最近的科学结果为人们提供了一种新的突破性方法,可以在微处理器之间分配工作,从而提供了接近阿姆达尔定律理论极限的速度。
当这三点放在一起时,计算表明年产能和性能有可能翻一番。这种不断增长的能力将释放出新的革命性的云安全工具,这在当今是无法想象的。
安全团队将更加重视量子密码技术
AWS公司密码学高级工程师Matthew Campagna表示,2023年,企业将开始更加重视加密敏捷性。美国国家标准与技术研究所(NIST)预期的后量子密码(PQC)标准化过程和《量子计算网络安全准备法案》的第一份规范草案将推动IT领导者开始从经典密码系统过渡到新的后量子算法。
人们还将看到行业和政府为已知的密码学用例制定迁移策略。例如,随着混合密钥建立的出现,经典密钥建立方法的使用(例如椭圆曲线Diffie-Hellman)与新的后量子密钥封装机制(如Kyber)的结合将被用于后量子标准的第一次迭代,以提供针对未来潜在量子对手的长期机密性。