?信息安全领导者分享了他们对2023年的预测,并提供了网络风险管理的最佳实践。
在为未来一年制定网络安全弹性计划、优先事项和路线图时,安全和风险专家提供了以下对2023年的网络安全预测。
1.对网络保险的需求将会增加,但它将变得越来越难获得
(ISC)2公司首席信息安全官Jon France说,“网络安全意识有其优点和缺点,其中一个缺点是网络保险的保费较高。仅在2022年第一季度,网络保险的保费就比2021年第四季度上涨了近28%。这主要是由于人们对勒索软件攻击、数据泄露、漏洞利用等网络事件的财务和声誉风险的认识有所提高。与此同时,保险商对获得网络保险的要求也更加严格,要求双因素认证和采用EDR、XDR等特定技术。事实上,这些文件过去是两页的问卷调查,现在它们是完整的审计,长达12页以上。因此,提高网络保险费和更严格的保险要求将是2023年值得关注的有趣障碍。
另一方面,由于供应链问题的发生率不断上升,我们也可能会看到需求的增加。由于这些问题,企业可能会开始越来越多地要求与他们合作的任何供应商或第三方必须拥有网络保险。正如我们已经开始看到的那样,随着地缘政治问题跨越国界,除了公司不断面临的网络威胁,公司将优先考虑保护他们最重要的资产(包括他们的声誉)。2023年,网络保险的需求将继续增加,获得这些保险的价格和要求也将继续增加。”
2.经济衰退将导致培训项目开支的减少
“尽管人们认为网络安全可能是一个不受经济衰退影响的行业,但在经济衰退期间,人员和质量很可能会受到打击。到目前为止,我们还没有看到网络安全的核心预算被削减,但更“自由”的领域,如培训预算,可能会出现缩减。这既适用于各种规模的公司的安全意识培训,也适用于培训网络安全专业人员如何充分保护其关键资产。该行业已经面临着技能短缺,不幸的是,随着经济衰退在2023年开始,由于对熟练网络安全人员的需求增加,技能短缺可能会加剧。”
3.2023年将是动荡的一年,因为州和地方各级都通过了相互竞争的隐私法规
SertaSimmons寝具公司信息安全和首席信息官副总裁DrewPerry表示,“信息隐私的可见性和执行力将继续提高,但各种地区法规并不总是相互一致。ciso将在组织风险方面发挥更大的咨询作用,因为他们被要求帮助浏览经常相互竞争的隐私规则,以使企业尽可能接近历史规范。聪明的组织在保护底线时不会手下留情,所以ciso应该期待被带入以前不寻求他们意见的对话。在接下来的几年里,在这些道路上行走自如的ciso将受到追捧。”
4.安全领导者将加大对网络弹性的关注
Zoom首席信息官Michael Adams表示,“虽然保护组织免受网络威胁始终是安全计划的核心重点领域,但我们可以预期,网络弹性将得到越来越多的关注,这不仅包括保护,还包括在发生网络事件时的恢复和连续性。它不仅在防范网络威胁方面投入资源;它正在对人员、流程和技术进行投资,以减轻影响,并在发生网络事件时继续运营。”
5.自动化与安全运营
CardinalOps公司首席执行官兼联合创始人Michael Mumcuoglu说,“在2023年,我们将看到自动化进入仍然依赖人工流程的安全运营的少数剩余领域。这些领域包括威胁暴露管理,这有助于全面解决诸如‘我们如何准备来检测和响应最有可能针对组织的对手?’的问题,另一个将变得更加自动化的领域是检测工程,它仍然高度依赖专业知识和部落知识。自动化不仅会降低这些组织的风险,还会将SOC人员从日常任务中解放出来,使他们能够专注于真正需要人类创造力和创新的更有趣的挑战,例如威胁搜索和理解新的和新颖的攻击行为。”
6.云原生漏洞的增加
Solvo首席执行官Shira Shamban表示:“我们不仅会看到整体安全事件的增加,而且具体来说,云原生漏洞的增加。根据2022年的研究,近一半的数据泄露发生在云中。随着企业不断将部分或整个基础设施迁移到云端,我们将看到存储在云端的数据和“皇冠上的宝石”数量的增加,从而导致更多的云原生安全事件发生的机会。应用程序必须以一种第三方可以信任的方式构建。由于这条供应链不安全,在网络攻击者看来,云攻击的价值越来越大。”
7.量子解密威胁增长
Theon Technology咨询委员会成员Bryan Cunningham说,“到2023年底,每个组织都将与量子解密能力作斗争。虽然人们对未来(没人知道什么时候)量子解密威胁的认识在2022年有所增加,但到2023年底,所有组织都将意识到他们将不得不面对这一威胁。”
8.网络安全培训
Hoxhunt联合创始人兼首席执行官MikaAalto说,“2023年,我们将看到网络安全培训的持续进步。人类并没有进化到能够发现数字世界中的危险。学校系统没有教他们如何防御网络攻击的黑魔法。这是我们的责任。人的风险是一个组织问题。让我们的人民具备防范网络钓鱼攻击的技能是我们的责任。
自动化、自适应学习和人工智能/机器学习可以帮助大规模提供个性化培训。为什么这很重要?因为人们需要经常参加相关的培训,保持在他们的技能水平的边缘,以提高和保持参与。一段长而枯燥的视频,然后是基于惩罚的网络钓鱼模拟,已被证明不起作用。执着于失败只会导致失败。当人们在动态的学习环境中获得技能时给予奖励,会带来可衡量的改善。这种方法广泛地描述了游戏化,其已证明的成功基于行为科学和商业的既定原则,并将成为未来一年保护各种规模组织的关键。”
9.网络攻击者的职业化
Tigera公司总裁兼首席执行官Ratan Tipirneni说:“勒索软件即服务的可用性不断增加,这种模式为不良行为者提供了复杂的漏洞分布,同时将他们与交易风险隔离开来,这将导致毫无准备的企业的安全状况恶化。随时可用的威胁和不安全的部署的综合影响肯定会导致引人注目的入侵。在理想的情况下,这些违规行为最终将使企业超越基准法规,并将安全作为一项基本工作。”
10.加强网络卫生和意识
首席安全科学家和顾问首席执行官Joseph Carson说,“成为网络安全社会的需求将会增加基本的权利。这意味着网络卫生和意识将成为2023年的首要任务。随着越来越多的组织希望获得网络保险作为金融安全网,以保护他们的业务免受数据泄露和勒索软件攻击造成的严重财务风险,需要制定可靠的网络战略才能获得保险。“便宜又容易”的日子已经过去了。
这意味着在2023年回归基础,提升网络安全基线。持续的远程工作和云转型意味着需要强大的访问管理策略,并得到多因素身份验证、密码管理和持续验证的支持,以降低风险。
除了实施更好的访问安全控制外,雇主还需要赋予员工更好的网络安全意识。这意味着持续的培训和教育,以确保随着威胁的演变,员工知情,并准备好成为网络战略的坚强捍卫者。”
11.移动办公趋势将为企业创造新的盲区
SlashNext公司首席执行官Patrick Harr说,“个人沟通渠道(游戏、LinkedIn、WhatsApp、Signal、Snapchat等)将在不良分子针对企业的攻击路径中发挥更大的作用。一旦个人用户被泄露,恶意分子就可以横向移动,进入企业。由于电子邮件现在至少有一些保护措施,网络犯罪分子正把更多的注意力转向其他通信渠道,并看到了更高的成功率。
在新的混合劳动力中,安全姿态的最大缺口来自员工的个人数据。随着企业采用新的个人信息、交流和协作渠道,这些盲点变得越来越明显。攻击者通过保护较少的个人通信渠道(如WhatsApp、Signal、Gmail和FacebookMessenger)针对员工进行攻击。然后,这就变成了一个从外部立足点横向穿透组织的问题。
此外,现在越来越多的人同时在同一台设备上处理商业任务和个人生活,这是一个重要的盲点。我认为这一趋势将在今年加速。这一切都回到了:我如何验证你真的是我正在与之交流的人?或者这是我假设的可信文件或公司网站链接?
对任何公司来说,最大的威胁不再是机器安全,而是真正的人的安全因素。这就是为什么这些针对人类的攻击会继续增加,因为人类容易犯错,他们会分心,许多威胁不容易被识别为恶意的。”
12.互联设备将需要更强大的安全性
KeeperSecurity公司首席执行官兼联合创始人Darrengu Cione说,“物联网设备的数量多年来一直在增长,没有放缓的迹象。在过去三年中,由于2019冠状病毒的数字化转型加速以及云计算的普及,物联网设备的数量呈指数级增长。2022年,物联网市场预计将增长18%,达到144亿活跃连接。随着越来越多的消费者和企业依赖联网设备,这些联网解决方案变得更容易受到网络攻击。因此,原始设备制造商出货的数十亿台设备将需要更高的开箱即用安全性,以降低恶意软件入侵的风险及其对分布式拒绝服务(DDoS)攻击的贡献。为了防止和减轻毁灭性的攻击,制造商和原始设备制造商供应商必须在设备内部设计安全性,将其嵌入到连接设备的每一层。”
13.数据可见性和遵从性
DigSecurity公司首席执行官和联合创始人Dan Benjamin,说,“在2023年,首席执行官将优先考虑采用解决方案,为其组织持有的数据、数据所在位置以及数据带来的风险提供可见性。对于安全领导者来说,这种可见性至关重要,因为他们要在高度监管的世界中构建项目,以满足合规要求,并在日益具有挑战性的威胁环境中保护数据。”
14.供应链安全
Coalfire公司副总裁Caitlin Johanson说,“在2022年,美国尤其面临来自国外创建、开发和运行的B2B和B2C技术的风险和漏洞。这引发了许多问题,包括代码和应用程序来自哪里,哪些数据被放入这些应用程序中,以及这些数据的主权是什么。2023年,我们将开始看到更多关于开发人员在哪里以及代码来自哪里的审查,更多的组织将专注于软件组合分析和安全代码开发(应用程序安全)。基本上,就是质疑我们国家供应链的每一个环节。新冠疫情给我们的供应链带来了问题,今年,我们将开始更多地关注与国外软件开发相关的供应链安全风险。”
15.由于前所未有的需求,ICS/OT技能差距将扩大
Hexagon AssetLifecycle Intelligence网络生态系统全球总监Edward Liebig说,“研究表明,在过去一年半左右的时间里,绝大多数电力、石油和天然气以及制造业公司都经历过网络攻击。研究还表明,由于对熟练专业人员的高需求,网络安全劳动力缺口正在扩大。除了多年来一直普遍存在的对关键基础设施系统的严重威胁,拜登政府新的100天跨部门冲刺和更多法规的发布,还需要更多专业的专业人员来跟上。此外,许多组织目前缺乏能够成功整合IT和OT部门的安全实践和严谨性的员工,随着2023年工业4.0的兴起,这一点变得越来越重要。”
16.元宇宙可能是下一个大事件,但要现实一点
VMware公司首席网络安全策略师Rick McElroy说,“元宇宙的未来相对未知,因为它的采用仍处于起步阶段,但企业将其推向市场的速度仍然快于安全社区所能接受的速度。在当前版本的数字世界中,我们已经看到了身份盗窃和深度伪造攻击的例子,其中不良行为者以高管为目标,在公司外部进行数十万美元的电汇。在虚拟现实的元宇宙中,类似的骗局不会增加,这不是说吗?当我们开始展望2023年的时候,企业在提供这种新兴技术的方法上需要谨慎和考虑。将密码拖到元世界中是一种破坏方法。但如果我们仔细考虑用于识别用户和部署持续身份验证的控制措施——利用生物识别和密切监控用户行为等不同因素——这将有助于缓解元世界周围的安全问题。”
17.网络风险管理将成为企业领导者的首要任务
VMware公司高级网络安全策略师Karen Worstell表示,“在网络风险的治理和监督方面,我们的系统是坏的。它不再是15年前的样子了——我们正在处理更高的风险和脆弱的企业声誉。因此,在2023年,我们将看到企业加倍重视网络风险管理。在确保充分控制和报告网络攻击的过程中,董事会需要有更明确的角色和责任。网络风险治理不仅是CISO的领域,现在显然是董事和高级管理人员的关注点。在网络问题上,貌似合理的推诿已经过时了。”
18.2023年,复杂的固件攻击将变得更加普遍,网络犯罪分子将继续投资于利用端点设备的物理访问的攻击。
惠普公司系统安全研究与创新首席技术专家Boris Balacheff表示,“2023年,企业应该控制固件安全。曾经,固件攻击只被复杂的APT(高级持续威胁)组织和国家使用。但在过去的一年里,我们已经看到了网络犯罪社区能力发展和交易的迹象——从入侵BIOS密码的工具,到针对设备BIOS(基本输入/输出系统)和UEFI(统一可扩展固件接口)的rootkit和木马。我们现在在网络犯罪市场上看到售价几千美元的固件rootkit广告。
复杂攻击能力的可承受价格与不断增长的需求齐头并进。我们可以期待在地下网络犯罪中看到更多这类产品的销售,进而看到更多固件攻击。
对固件级别的访问使攻击者能够获得持久控制,并隐藏在设备操作系统之下,使他们很难被发现,更不用说移除和收回控制权了。组织应该确保他们了解设备硬件和固件安全方面的行业最佳实践和标准。他们还应该了解和评估可用于保护、检测和从此类攻击中恢复的最先进技术。”