2023年十大網絡安全預測
我們Datamation網站通常會對下一年的發展做五大預測。由于網絡安全是一個如此充滿活力、有時甚至令人望而生畏的領域,五大預測不足以涵蓋這個領域。因此,我們對2023年做了以下十大預測。
1. 物聯網遭到攻擊
Hack The Box公司的首席執行官Haris Pylarinos曾是一名道德黑客,他表示,自己不得不像網絡犯罪分子一樣思考,以確定2023年的幾大威脅。
他預測2023年將出現物聯網設備和傳感器大舉入侵的一幕。
Pylarinos表示,業界低估了物聯網攻擊的危險性。掌握硬件技能對于防止災難性網絡攻擊至關重要,而這類攻擊可能會摧毀整個社會。
2. 安全文化浮出水面
應對網絡安全攻擊、新型病毒家族和新興威脅途徑的方法通常是開發一套新的網絡安全工具。
但是如今網絡安全領域的工具太多了,這種方法變得很笨拙。公司企業部署了所有最新的系統,卻被告知還需要勒索軟件防護、安全訪問服務邊緣(SASE)或零信任網絡訪問(ZTNA)等工具。這種情況似乎永遠沒個盡頭。
KnowBe4公司的戰略洞察和研究高級副總裁Joanna Huisman認為,2023年全球企業組織的重心會發生轉移,轉移到創建安全文化上。
Huisman表示,如今大多數企業組織顯然需要安全意識培訓,它們正開始從單純的培訓轉向更加注重行為和文化。全球范圍內出現了一股積極的發展勢頭,致力于打造強大的安全文化,這勢必需要高管和整個員工群體的支持。
3. 零信任趨于成熟
零信任已經成為2022年的熱門術語,但到目前為止,空談多過實踐。
Syxsense公司的首席執行官Ashley Leonard表示,零信任技術在企業基礎設施中的實際應用很有限。2023年,我們最終將看到零信任概念在企業IT環境中得到廣泛落實。
4. 自主端點
Syxsense公司的Leonard還強調了端點在IT、計算能力和網絡安全領域的角色發生了變化。
端點安全近年來越來越突出,這個趨勢會持續下去。有必要強調智能手機、PC、服務器、平板電腦和筆記本電腦的安全性,因為它們是防止網絡入侵的第一道防線,以便當場阻止攻擊。但除了網絡安全外,更多的任務將會分包給端點。
Leonard表示,近年來,云計算備受關注,云計算集中了計算能力,但在很多情況下,功能強大的處理器和端點都沒有得到充分利用。
如今由云計算管理的許多任務可以在端點得到更好地執行,這種情況將在2023年開始改變。作為其中的一部分,編排和自動化技術將是支持IT團隊維護安全和服務的關鍵。
5. Chrome攻擊
數據刪除公司Incogni分析了Chrome網絡商店中1237個下載量不低于1000人次的Chrome擴展插件的風險情況。
研究表明,兩個Chrome擴展插件中就有一個(48.66%)具有高到非常高的風險,比如請求許可,可能因而暴露個人身份信息(PII)、分發廣告軟件和惡意軟件,或者記錄用戶的一切行為,包括他們在網上輸入的密碼和財務信息。
預計2023年會有大量針對Chrome和瀏覽器擴展插件的攻擊。
Surfshark公司的信息安全官Aleksandras Valentij表示,用戶應謹慎對待需要以下權限的瀏覽器擴展插件:讀取和更改用戶訪問的所有網站上的所有數據、音頻捕獲、瀏覽數據、剪貼板讀取、桌面捕獲、文件系統、地理位置、存儲以及視頻捕獲。
在授予瀏覽器擴展插件權限時記得運用常識,比如廣告攔截程序為什么需要訪問音頻捕獲功能或訪問文件系統。
6. VPN失去份額
與之前的許多技術一樣,虛擬專用網絡(VPN)曾經是一項前沿技術。
隨著時間的推移,全球的IT和商業環境已經發生了變化,而VPN基本上保持不變。因此,VPN現在可能無法阻止黑客入侵,它們有時可能會使黑客更容易得逞。企業可能會在2023年擺脫對VPN的依賴。
DH2i公司的聯合創始人兼首席執行官Don Boxley表示,現在可以用現代軟件定義邊界(SDP)完成用VPN幾乎不可能完成的任務。
Boxley表示,SDP使企業組織能夠使用零信任網絡訪問隧道將任何對稱網絡地址轉換(NAT)背后的應用程序、服務器、物聯網設備和用戶連接到任何完全圓錐形NAT(full cone NAT),無需重新配置網絡或設置復雜且易出問題的VPN。
完全圓錐形NAT指這種NAT:來自同一個內部IP地址和端口的所有請求被映射到同一個外部IP地址和端口。此外,任何外部主機可以將數據包發送到內部主機,只需將數據包發送到被映射的外部地址。
7. Logj4將推動創新
Logj4漏洞敲響了一記警鐘,影響了全球十分之一的公司。
Platform.sh公司的隱私和安全副總裁Joey Stanford認為,通過鼓勵企業雇傭經驗豐富的開發人員來執行漏洞檢查和加強軟件集成,為開源提供資金支持,Logj4漏洞將在2023年促進更安全的開源創新。
Stanford表示,政府層面也會有所行動,比如要求建立軟件材料清單(SBOM),以確保未來的軟件項目更安全,這將惠及使用和致力于開源的企業,并確認其在未來互聯網開發中的應有地位。
8. 混沌工程將提高安全性
Quest公司的技術策略師和首席工程師Adrian Moir表示,在來年,企業將改進其數據安全測試流程,日益部署混沌工程來夯實企業彈性。
混沌工程最初是為開發人員測試而構建,它可以幫助IT團隊測試恢復操作以及應用程序和數據傳輸管道。通過定期測試企業數據保護設備的每個環節,團隊將能夠確認從不可變數據存儲到可復制性的諸多恢復技術有效地工作。
Moir表示,鑒于勒索軟件、自然災害及其他業務干擾因素,企業高層將彈性和風險降低作為更高的優先級,預計企業會把這項工作視作常規數據保護操作的一部分。
9. BEC驅動MFA的采用
商業電子郵件入侵(BEC)將繼續成為網絡攻擊者的首要攻擊方法,也是進入企業組織的最簡單途徑。
隨著零日攻擊不斷增加,人們會考慮減小外部攻擊面。因此,BEC將推動多因素身份驗證(MFA)的采用。
下一代托管服務提供商Thrive公司的首席信息安全官Chip Gibbons表示,MFA將無處不在;沒有MFA的保護,任何東西都不應該從外部獲得。
10. 確定風險管理的優先級
談到網絡風險的治理和監管,VMware公司的高級網絡安全策略師Karen Worstell認為,由于網絡風險本身涉及更大的利害關系以及企業聲譽通常不堪一擊,整個體系已崩潰。
Worstell表示,因此,企業將加大網絡風險管理方面的投入力度。
董事會在確保充分控制和報告網絡攻擊的流程方面需要極其明確的角色和責任。網絡風險治理不僅僅是首席信息安全官的責任。現在,它顯然是企業主管需要操心的問題。說到網絡安全,推諉注定是行不通的。
緩解風險
Codeproof公司的首席執行官Satish Shetty給出了一些建議,這將幫助企業降低風險,避免成為媒體的頭條新聞:
?對員工進行安全培訓,告知不要點擊網絡釣魚鏈接或從外部郵件下載附件。
?使用Slack和Microsoft Teams之類的應用程序進行內部溝通。
?主要使用電子郵件進行外部溝通。
?遷移到基于云的電子郵件服務,比如Microsoft 365或Google Workspace,而不是使用內部電子郵件服務器。
?部署移動設備管理(MDM)和移動威脅防御(MTD)軟件,以保護移動設備和便攜式設備,充分利用其執行安全配置的功能。
?在線帳戶使用強密碼和雙因素身份驗證。
