國外對2022 年的 13 項網絡安全預測

到 2022 年，網絡安全將繼續成為企業領導者的嚴重關切。勒索軟件以及惡意和意外威脅，再加上日益嚴格的數據法規，使公司有責任加強安全和數據使用預防措施。在這里，數據安全領導者分享了他們對未來數據新危險和阻礙它們的機會的看法。

記錄級安全將成為 C 級問題：

記錄級數據安全將成為 2022 年的熱門話題和關鍵優先事項，在一波高調的數據泄露浪潮之后，不容忽視。我們甚至可能會看到一種全新的開放標準文件格式出現，其中已經包含了記錄級數據安全性。? Incorta 聯合創始人兼產品執行副總裁 Matthew Halliday

企業將收到有關聯邦數據隱私和安全標準的 Sarbanes-Oxley 規模的警鐘：

如果不首先確保數據安全，就沒有辦法保護數據隱私、訪問和使用——這是治理和安全團隊的一項復雜工作，今年的法規將更加明確。一場巨大的監管風暴即將來臨：一項與 2002 年薩班斯-奧克斯利法案相當的美國聯邦數據隱私法，該法將要求上市公司的公司管理人員親自證明公司的數據安全/保護聲明是準確的。我當然希望我們不會看到像安然那樣令人震驚的丑聞，但如果數據泄露繼續惡化，我們可以期待立法要求上市公司設立董事會級別的數據審計委員會，記錄公司如何保護敏感數據，CEO 和 CDO 需要簽署問責聲明。—ALTR 首席執行官戴夫·西科拉 (Dave Sikora)

2022 年的薄弱環節之一可能是業務應用程序網格：

不斷增長的集成網絡支持自動化業務工作流和數據交換。然而，這個網格也允許攻擊者橫向移動，并且它在很大程度上超出了企業的范圍。到 2022 年，我們應該預見到由于缺乏對 SaaS 應用程序之間的這些互連數據路徑的監控控制而導致的一些重大漏洞。— Sounil Yu，首席信息安全官，JupiterOne

網絡保險將更難獲得：

網絡責任保險是一種旨在涵蓋與數據泄露或其他網絡攻擊相關的損失和處罰的保險。但這種保險將變得更難獲得。為什么？因為勒索軟件第一次達到了保險公司支付的賠付額超過支付的保費的水平。這意味著大型保險公司可以限制他們預訂的業務量，并且在承保新的網絡保單時會非常有選擇性。一些網絡保險提供商在續訂客戶時甚至將勒索軟件排除在外。企業將不得不增加對網絡工具和流程的投資，以向保險提供商證明他們是值得的風險。—林登·布朗，Pondurance 首席戰略官

網絡安全保險費將猛增：

當今復雜的威脅形勢意味著對負擔得起的網絡安全覆蓋范圍的要求將擴大，保費折扣將越來越多地與組織為減輕威脅而采取或未采取的行動相關聯。我預測網絡安全保險公司將更多地了解安全要求，并在審查申請和顯著降低承保范圍時進行前所未有的審查。預計會看到更多的要求以及對使用中的某些政策或技術的更多折扣。一站式網絡安全平臺也將激增，以幫助中型市場公司解決安全問題并滿足不斷變化的網絡安全保險要求。 —邁克威爾遜，首席技術官，Enzoic

新的和未打補丁的 VPN 和端點漏洞將越來越多地被利用：

修補或升級端點和 VPN 設備的固件可能是一個乏味的過程，需要在推出補丁之前進行徹底的測試以及精心安排的維護窗口。不幸的是，攻擊者很清楚由此產生的漏洞和暴露。根據 CISA 的 2020 年和 2021 年攻擊者最常利用的漏洞列表，其中許多與遠程訪問有關，有些甚至可以追溯到 2018 年。讓 2022 年成為您控制 VPN 和端點漏洞的一年，這可能是通過加速到云交付的零信任網絡訪問 (ZTNA)。— Tsailing Merrem，Netskope 產品營銷總監

安全供應商整合即將到來：

我們可能會在 2022 年看到的一個趨勢是，安全領導者將指導他們的團隊整合和簡化他們的運營系統，而不是添加更多的工具和程序。這個主題應該是鞏固、簡化和回歸基礎。我所說的“基礎”是指最重要的安全運營仍然需要同類最佳的解決方案，但一般的大型企業已經擁有大約 50-70 個大型工具供應商 許多團隊可以將他們的安全供應商整合到可能沒有在所有情況下都是同類中最好的，但足以讓用戶對事物有一個統一的看法，而不是一切都被孤立起來。因此，我們預計大型組織的安全供應商數量將減少 20%–30%。—JupiterOne 首席執行官鄭爾康

勒索軟件將繼續對企業造成嚴重破壞，從而導致向惡意行為者發送穩定的有效載荷：

雖然美國政府強烈建議組織不要在遭受勒索軟件攻擊時向不良行為者付款，但缺乏更嚴格的保護措施和解決方案這意味著在許多情況下，公司別無選擇，只能支付勒索軟件費用。 — HUB Security 首席執行官兼聯合創始人 Eyal Moshe

人工智能和機器學習將簡化和加速欺詐預防的采用：

根據最近的一份報告，電子商務零售商現在平均每月經歷 206,000 次網絡攻擊，42% 的企業表示數字欺詐阻礙了創新和向新渠道的擴展. 然而，盡管如此，只有 34% 的公司投資于欺詐預防和緩解。隨著電子商務的蓬勃發展且沒有放緩的跡象，用于防御欺詐的機器學習將呈上升趨勢。這將有助于在線零售商跟上欺詐者的策略，并可以發現手動檢查可能遺漏的模式，分析歷史數據并將其與當前交易進行比較。這在繁忙的購物旺季尤其有益。?SEON 首席商務官 Jimmy Fong

組織將構建既可靠又安全的應用程序……否則將面臨失敗的風險：

沒有一家公司能夠同時關注可觀察性或安全性——您必須兩者兼而有之。沒有人會使用可靠但不安全或安全但不可靠的應用程序。從開發人員和企業的角度來看，我們必須同時提高可觀察性和安全性的標準。我們需要達到一個共同的門檻。客戶使用的每個應用程序都認為安全性和可靠性是內置的。有一個假設，即應用程序每次客戶需要時都會工作并保持安全。如果您知道某個應用程序不安全，您很可能再也不會使用它。如果兩者兼具（可靠性和安全性），則將始終使用該應用程序。就這么簡單。?Erez Barak，Sumo Logic 產品開發副總裁

2022 年將是 COVID 安全清理年：

當 COVID-19 迫使組織幾乎在一夜之間轉變其業務模式時，公司做了他們必須做的事情，以保持燈火通明，員工在遠程世界保持聯系。他們在沖刺中部署了大量新技術來維持運營，而且在許多情況下，他們的行動速度太快，以至于他們無法正確解決安全問題。這讓 CISO 陷入了一個大麻煩：填補組織急于進行數字化轉型所帶來的所有安全漏洞。即使 CISO 專注于 COVID 安全清理，他們的行動也只能如此之快，而且我們很可能會在未來幾年看到重大后果（例如，由云錯誤配置、過度訪問權限和影子 IT 引起的安全事件）。? Andrew Maloney，Query.AI 聯合創始人兼首席運營官

重新計算安全——理解風險意味著理解勞動力：

到 2022 年，組織將轉向分析以重新計算他??們對網絡安全風險的理解并重塑他們的保護策略。當我們談論業務風險時，它歸結為兩個基本原則：我們是否理解一）我們正在保護的東西，以及二）影響我們保護能力的因素。在過去的 18 個月里，我們用來管理員工行為的“規則”逐漸被削弱，如果不準確了解這種行為，很容易引入風險。管理遠程和混合勞動力的技術和人員要求的“新規則”將推動我們保護組織免受內部和外部威脅的方式。?Margaret Cunningham，Forcepoint 首席研究科學家

組織將越來越多地采用低代碼安全自動化： 

到 2022 年，自動化將超越安全運營中心 (SOC)，成為整個安全組織的記錄系統。由于公司努力為安全團隊配備足夠的人員——而“偉大辭職”的后果給整個組織增加了額外的壓力？自動化將幫助員工克服流程和數據疲勞。公司將尋求使用低代碼自動化來利用整個安全組織的集體知識，并形成一個集中的運營數據記錄系統。