网络安全专业人士通常讨厌被要求拿出水晶球来预测网络的未来。事实上,随着网络威胁行为者的不断发展,网络防御者经常需要改变他们的姿态,这使得网络安全形势变得高度不可预测。
然而,我们可以对未来一年网络安全世界的影响做出一些有根据的猜测。
这是国外一组经验丰富的网络安全专家做出一些预测,并强调他们认为未来几个月网络中将出现的一些趋势。以下是我们精选的 2023 年秋季在线峰会期间做出的十大预测。
1. 身份和访问威胁将推动对强大 MFA 的需求
Corvus Insurance 首席信息安全官 Jason Rebholz 表示,组织 2024 年的首要网络优先事项将是采用强大的、防网络钓鱼的多因素身份验证 (MFA)。
CrowdStrike 的 2023 年 8 月威胁追踪报告显示,身份盗窃已成为 2023 年威胁行为者的主要初始访问方法,目前 80% 的违规行为涉及使用受损身份。Rebholz 认为这一新趋势促进了 MFA 的采用。
“现在我们知道 MFA 对于保护我们的身份和访问管理 (IAM) 流程非常重要。这是事实,但这种高水平的保护还取决于您拥有的 MFA 类型。当您采用最弱的 MFA 选项之一(例如基于短信的 MFA 或身份验证器应用程序)时,攻击者现在已经开发出绕过这些选项的方法,”他解释道。
Rebholz 表示,在当今存在的众多防网络钓鱼 MFA 选项中,他特别渴望看到密钥得到更广泛的采用。
“组织甚至不应该在 2024 年开始采用这些方法,但从今天开始,”他坚持说。
2. 在关键基础设施目标中更加关注 OT 安全
Elite CI Consulting 首席执行官、科特迪瓦政府前网络安全主管 Rockya Fofana 担心的一件事是,公共和私营部门的工业系统和运营技术 (OT) 的攻击目标不断增加。
她在信息安全在线峰会上表示:“在非洲,最关键的基础设施由政府运营,因此威胁行为者增加攻击目标就在我的职权范围内。”
塔塔咨询服务公司全球管理合伙人玛格丽塔·彼得罗维奇对此表示同意。“我们一直在谈论即将出现的新威胁,但我们的大多数组织仍在运行非常旧的基础设施。保持 OT 正常运行,同时不给 IT 环境引入额外风险无疑应该成为未来几个月的首要任务。攻击者非常清楚这些 OT 系统的缺陷,”她说。
2023 年 11 月,俄罗斯黑客组织 Sandworm对丹麦关键基础设施发起了前所未有的攻击。几周后,美国证实伊朗伊斯兰革命卫队是近期针对多个州水厂的一系列袭击的幕后黑手。
“这些只是你听到的攻击。确实,针对 OT 系统的网络攻击尚未被频繁报道,但肯定还有更多的事件从未被报道过。”Petrovic 坚称。
此外,雷布霍尔兹补充道,我们现在正在研究最好的情况。“这些案例以及 2021 年针对 Colonial Pipeline 的攻击通常是试图关闭 IT 系统的策略——想象一下攻击者何时能够真正关闭 OT 系统,就像 2010 年的 Stuxnet 一样。”
“我认为人工智能不会对网络防御产生重大影响,至少在明年是这样。”JASON REBHOLZ,CORVUS INSURANCE 首席信息安全官
3. 执法合作加速,但挑战依然存在
网络执法人员在 2023 年尤其忙碌,多项国际行动成功逮捕了参与网络犯罪的个人或摧毁了威胁行为者的 IT 基础设施。最近的例子之一是“猎鸭行动”,该行动导致 8 月份部分 Qakbot 僵尸网络基础设施关闭。
阅读更多:FBI 的 QakBot 拆除引发疑问:“拆除”还是只是暂时的挫折?
雷布霍尔茨表示,他希望在全球范围内看到更多此类协调行动。
然而,前联邦调查局特工、现任西部州长大学网络教育中心主任迈克·莫里斯解释说,这些合作努力非常具有挑战性。
“当联邦调查局正在调查美国的一个小组并希望将其破解到下一个国家时,他们必须与另一个国家签署司法协助条约(MLAT)以共享信息。这是一份需要进行外交交流的外交文件——这需要时间。”
这就是为什么这位前联邦调查局官员坚持认为,政府应该在开始任何调查之前建立这些外交关系。
福法纳认为,另一个可以帮助建立这些合作努力的机构是联合国。该组织目前正在制定一项打击网络犯罪的国际条约。然而,鉴于当前的动态冲突和网络冲突,彼得罗维奇表示,她对 2024 年出现更广泛的反网络犯罪联盟感到悲观。
4.人工智能对网络防御的变革性影响有限
我们的网络安全专家认为,威胁行为者将在 2024 年及以后继续将人工智能武器化,但人工智能驱动的攻击可能不会对网络防御产生变革性影响。
雷布霍尔茨评论道:“我认为人工智能不会对网络防御产生重大影响,至少在明年是这样。是的,威胁正在增长,威胁行为者将利用人工智能驱动的工具,但减轻这种风险的方法主要是实施传统的安全措施。”
5. Deepfake 和错误信息将成为更紧迫的人工智能相关威胁
根据 Rebholz 的说法,生成式人工智能真正改变游戏规则的地方在于使用深度伪造技术大规模地传播虚假信息。
他警告说:“想象一下,深度造假比以往任何时候都更容易开发,但仍然很难被发现,它将对围绕选举的虚假信息活动产生怎样的影响。”
2024 年,全球将举行 40 场全国投票,这将成为历史上规模最大的选举年。
“我还认为,这些围绕政治事件的虚假信息活动将为使用类似工具的网络犯罪活动敞开大门,”雷布霍尔茨补充道。
点播观看我们所有的在线峰会会议
6.网络和人工智能法规将重塑全球安全格局
一系列法规将在 2024 年影响网络安全行业。仅在欧盟,跨行业的组织必须为将 NIS2 指令转化为国家法律做好准备。与此同时,金融企业将需要开始探索《数字运营弹性法案》 (DORA) 引入的未来安全要求。
《网络弹性法案》和《人工智能法案》也已获得通过,并将很快为制造商和人工智能提供商引入新的安全指令。
在信息安全在线峰会上,彼得罗维奇预测其中一些法规将成为其他司法管辖区类似法规的蓝图。她认为,所有行业的组织都应该保持领先地位并探索这些法律,即使是在尚未受到上述法律影响的国家/地区开展业务。
“组织明年有比准备应对量子威胁更紧迫的问题需要处理。”ROCKYA FOFANA,精英 CI 咨询公司首席执行官
7. CISO 面临的压力增加
在塔塔咨询服务网站的年终博客文章中,Petrovic 写道,2024 年 CISO 的压力将会增加。在我们的在线峰会上,她解释了她的预测背后的原因:“随着网络安全受到越来越多的关注,监管机构越来越多地要求董事会证明他们正在实施适当的安全措施,并且他们正在允许适当的资源来满足这些要求。他们会向谁求助?首席信息安全官。”
她补充说,尽管 CISO 传统上来自技术职位,但组织将越来越多地要求他们或一些中间人与董事会进行更多合作,并“讨论业务和技术安全问题”。
她表示,这将使“CISO 的生活更加精彩”。
莫里斯补充说,首席信息安全官也可能在最高管理层中获得越来越多的席位,因为董事会比以往任何时候都更需要其中有技术背景的人。
福法纳于 2022 年 10 月辞去科特迪瓦政府网络安全主管职务,她就是这一趋势的活生生证明,“因为我在网络安全方面的背景”,她在 2023 年被邀请加入一个组织的董事会。
雷布霍尔茨评论道:“我希望我们能够将 Rockya 的案例作为成功案例研究,但我会保持谨慎。是的,拥有网络安全背景的人加入董事会固然很棒,但这真的足以对董事会产生重大影响吗?我不知道。”
8. 量子准备不应该成为 2024 年的优先事项
所有四位小组成员都同意,虽然对未来的考虑很重要,但量子准备不应该成为组织 2024 年的首要任务之一。
莫里斯提出:“量子证明密码学最终会到来吗?当然。明年会推出吗?可能不会。如果确实如此,那将是在州一级,在三年内我们不会听到私营部门的消息。”
观看我们的网络研讨会:构建量子弹性的 7 个步骤
雷布霍尔茨补充道:“如果这是您明年优先考虑的事情,我会鼓励您重新评估您的风险状况。您需要找出您的组织特有且最有可能对其产生影响的风险,而量子风险可能不是您 2024 年的首要考虑因素。”
福法纳点点头:“明年我们还有许多更紧迫的问题需要处理,”她说。
9.保险公司将设定最低网络要求
雷布霍尔茨表示,网络保险是“任何拥有计算机的公司的一项要求”。然而,他认为网络保险公司需要对公司需要满足的最低要求制定更清晰的定义,以便在成为网络攻击受害者之前获得保险。
10. 需要创新的招聘策略来缩小技能差距
ISC2 2023 年网络安全劳动力研究显示,2023 年,全球网络安全劳动力缺口达到 400 万人,较 2022 年增长 12.6% 。 彼得罗维奇表示,为了阻止这一差距逐年扩大,组织应该尝试新的、创新的招聘策略。
“必须对交叉培训人员进行大量投资,并将这些培训计划的重点放在解决问题上,而不是技术上。这将帮助他们提高网络防御态势的效率,同时为不同背景的人进入网络安全领域打开大门。”她说。
福法纳补充道:“组织还应该考虑重新培训员工。随着 OT 的针对性不断增强以及 IT-OT 融合以及 IT 系统中人工智能实践的采用,大多数网络培训手册已经过时。”
西部州长大学网络教育中心主任莫里斯表示,他的学生平均年龄为 35 岁,他们中的大多数人在结束其他领域的职业生涯后转向网络安全。
“无论人们有什么背景,重要的是让他们尽早面对实际情况。为此,我们成立了一个由 8000 名学生组成的网络俱乐部,每周进行防御性和进攻性安全演习。现在,我们有大约 23000 名经过培训、具备可行技能的人员正在寻找网络安全方面的工作。”他总结道。