IT領導者需要了解的2023年網絡安全的六大趨勢

從供應鏈中斷到與邊緣計算和采用人工智能/機器學習面臨的相關挑戰，人們需要了解未來一年最重要的網絡安全趨勢。

人們可能永遠不會聽到這樣的新年預測：“IT安全問題解決了!”

當然，也許一些供應商會在他們的宣傳材料中融入這種信息，但明智的IT專業人士知道這是不切實際的。網絡安全威脅和風險總是一直存在，除非人類回到農耕或狩獵的原始生活，否則將永遠如此。

這是因為IT系統和運行它們的專業人員總是容易出錯，總是會有惡意的系統和專業人員試圖利用這一現實。

在2023年，IT安全肯定不是一個新問題或暫時的問題，而是一個動態問題，因為網絡風險和網絡攻擊者不斷發生變化，即使一些基本的要素(如跨多個帳戶共享或重用憑據)保持不變。

在這種情況下，IT領導者需要在2023年關注網絡安全的以下六個趨勢：

1.供應鏈安全仍然是一個焦點，但這項工作才剛剛開始

“趨勢”這一術語有時意味著“新趨勢”，但在IT安全領域，它更可能表明一種長期的轉變，例如軟件供應鏈安全。在2022年甚至更早之前，這是一個熱門的安全話題。這將是2023年持續關注的一個領域。

如今的軟件供應鏈與以往一樣多樣化，軟件通常是由其他軟件構建而成的，因此確保這些供應鏈的安全性將需要長期的承諾。

2023年可能會有什么新變化?雖然人們一直在談論軟件供應鏈安全問題，但他們還沒有在預算方面進行支持。

Red Hat公司技術布道者Gordon Haff表示，“Red Hat公司最新的全球技術展望報告表明，軟件供應鏈安全在IT決策者中仍然是一個較低的安全融資優先事項。這表明，對于許多企業來說，需要制定處理供應鏈安全的一個良好計劃，如果他們還沒有這樣做的話。”

對于許多企業來說，這可能不需要超出預算的財務承諾，這是一個領導層承諾、計劃和流程改進的問題。

Haff說：“這可能不需要大量投資，但它確實需要一個計劃和流程來降低未來的風險。”

與此同時，Kubernetes安全作為更廣泛的軟件供應鏈實力基礎的重要性也將得到越來越多的關注。

Corsha公司基礎設施主管Alex Meijer表示：“Kubernetes的供應鏈安全將得到更多的重視。”Meijer希望看到容器圖像簽名和驗證之類的應用越來越多。

Meijer的同事、Corsha公司基礎設施工程師Robert Batson也看到了新興工具的前景——Batson以Sigstore的準入控制器為例。他說，“將供應鏈安全擴展到托管應用程序的集群，并加入引導集群的工具列表，以處理傳統意義上的可觀察性和安全性等問題。”

2.2023年對于NIST網絡安全框架來說是重要的一年

毫無疑問，安全專家很了解美國國家標準與技術研究院(NIST)網絡安全框架，這是一套用于管理網絡安全風險和提高企業安全態勢的公開標準和實踐。但這并不意味著他們的雇主必須遵守這一框架，特別是如果他們的行業或企業不需要這樣做。

Beachhead Solutions公司的副總裁Cam Robertson預計，2023年將是人們對NIST框架感興趣和使用的重要一年，即使它不是強制性的。

Robertson說：“越來越多的企業意識到，即使他們不一定受到NIST網絡安全框架的約束，該框架仍然提供了特別全面的安全指導和最佳實踐，適用于許多其他政府要求的授權(如CMMC或DFARS)以及其他行業特定的授權(HIPAA等法規)，企業必須確保持續遵守。”

以前一直糾結于從何處開始的企業和團隊(網絡安全是一個巨大而持續的挑戰，以及如何采取可衡量的行動)，將在NIST這樣的框架中找到各種各樣的路線圖。

Robertson說：“NIST框架提供的五個‘核心功能’和100多個子類別深入研究了首席信息官、首席信息安全官和安全專業人員如何識別和檢測威脅，然后根據需要做出反應并從中恢復。”

對于其他廣泛使用的標準和工具，例如CIS Kubernetes Benchmark或MITRE ATT&CK框架，也可能如此。

Robertson認為，由于其深度和廣度，NIST框架可能在2023年成為一個熱門話題。

他說：“數據違規和合規漏洞的風險太高了，NIST框架將在2023年繼續崛起，將成為跨行業的標準，這也許會成為事實上的標準，企業可以將其作為安全戰略。我們將看到更多的企業努力獲得NIST框架的合規性。”

3.隨著邊緣計算的增長，對邊緣計算安全性的需求也在增長

隨著新的IT范式變得越來越普遍，例如云計算是過去十年最突出的例子之一，范式的安全性也不可避免地變得至關重要。

隨著邊緣計算策略在未來一年被許多IT領導者所關注，邊緣計算安全肯定會引起更多關注。

就像云計算一樣，邊緣計算從根本上來說并不比集中式模型更不安全，它只是引入了新的或不同的風險和挑戰。

正如Asimily公司產品管理高級總監Jeremy Linden所說的那樣：“邊緣計算可能帶來更多的復雜性，這可能會使整個系統的安全變得更加困難。不過，邊緣計算在本質上沒有什么不安全的地方。”

與其相反，邊緣安全從根本上需要與任何IT安全領域相同的措施：適當的規劃和優先級。2023年將是奠定基礎的重要一年。

4.對人工智能/機器學習工作負載的需求也在增長

從簡單的意義上說，可以用人工智能/機器學習代替上面的邊緣計算來說明同樣的原則：隨著越來越多的企業在生產中運行越來越多的機器學習模型和其他形式的人工智能，這些工作負載將成為網絡攻擊者更加有利可圖的目標。人工智能/機器學習一直是流行的趨勢;人工智能/機器學習安全還沒有改變，但這應該會在未來一年發生變化。

HiddenLayer公司聯合創始人兼首席執行官Christopher Tito Sestito特別希望首席信息安全官和其他IT領導者擴展零信任方法，并將其原則和實踐應用于人工智能/機器學習。

Sestito說：“2022年是政府部門加強對人工智能/機器學習安全監管的一年，也是通過自動攻擊工具加速機器學習攻擊的一年。其結果將對首席信息安全官提出更多要求，以保護他們的人工智能/機器學習。”

Sestito補充說，MITRE人工智能對抗威脅景觀(ATLAS)框架等資源將使首席信息安全官及其團隊能夠快速評估和實施所需的安全控制，并立即與現有的零信任框架集成。

5.仍然知道安全供應商在哪里嗎?

人們關注的是IT技術和IT領導力，而不是股市預測或宏觀經濟分析。但如果查看財經新聞網站或訂閱信息，就會發現網絡安全總會成為頭條新聞。人們普遍認為2023年可能會帶來科技行業的整合和變革。

Haff說：“許多市場觀察人士認為，在2023年，那些沒有強大價值主張和收入流的科技供應商的行業地位將會改變。IT決策者應該評估他們的供應商是否擁有強大的市場地位。”

這是一個普遍的事實，但在IT安全領域尤其重要，供應商市場在最近幾年得到了極大的擴展，特別是在云計算/云原生領域。

Haff說：“這當然包括安全領域，在這個領域，初創公司以經常重疊和相對無差別的方式實現云原生安全的爆炸式增長。”

供應商管理是任何IT領導者角色的一部分，在2023年，可能值得更密切地關注投資組合，尤其是在安全工具方面。

6.表現最好的安全機構會建立自己的人才管道

在圍繞招募和留住技術人才的挑戰展開的廣泛討論中，IT安全技能短缺通常是一個主要的話題。

最近出現的一個趨勢是，戰略IT領導者和企業不只是等待他人來解決這個特定的問題。他們正在投資于自己的安全人才管道，并確保能夠接觸到最廣泛的受眾。

Sestito表示：“我們預測，通過針對代表性不足群體的項目，表現優秀的企業將繼續關注網絡勞動力的多元化。這些企業意識到，他們能否在市場競爭中獲勝、克服復雜挑戰、吸引和留住客戶的能力取決于在全球擁有一支敬業和多元化的員工隊伍，并將進行相應的投資。”

Sestito指出，這也不是一個固定的趨勢。實際上，擴大網絡安全人才庫是一項長期戰略，不是短期就能解決的問題。

Sestito說，“這不是每年制定的人力資源戰略，與其相反，這是企業范圍內的文化的一個轉變，需要多年的關注和投入。”