在您制定来年的网络安全弹性计划、优先事项和路线图时,安全和风险专家提供以下2023年网络安全预测。1.对网络保险的需求将会增加,但它会变得更难获得,(ISC)2首席信息安全官JonFrance表示,“网络意识有利也有弊……其中之一就是网络保险的成本更高。仅2022年一季度,网络保险保费较2021年四季度增长近28%,这主要是由于金融和声誉风险意识的增强。同时,保险公司对获得网络保险提出了更严格的要求,需要双因素身份验证并采用特定技术,如EDR、XDR。事实上,这些文件过去是两页的调查问卷……现在是完整的审计,长达12页以上。因此,增加的网络保险费和更严格的保险要求将是2023年值得关注的有趣障碍。另一方面,我们也可能会看到供应链问题正在发生由于费率上升导致需求增加。由于这些问题,公司可能开始越来越多地要求与他们合作的任何供应商或第三方必须有网络保险。正如我们已经开始看到的那样,随着地缘政治问题在国外蔓延,除了他们不断面临的网络威胁之外,公司将优先保护他们最重要的资产(包括他们的声誉)。到2023年,对网络保险的需求将继续增加,获得这些保单的价格和要求也将继续增加。2.经济衰退将导致培训项目支出减少到目前为止,我们还没有看到网络安全的核心预算被削减,但培训预算等更多“可自由支配”的领域可能会被削减。这既适用于各种规模的公司的安全意识培训,也适用于培训网络安全专业人员如何充分保护其关键资产。该行业已经面临技能短缺,不幸的是,由于对熟练网络安全工人的需求增加,随着2023年经济衰退的临近,我们可能会看到这种情况进一??步恶化。”3.2023年将是动荡的一年,因为该州通过了竞争性隐私法规和地方层面,由SertaSimmonsBedding信息安全副总裁兼首席信息安全官德鲁·佩里(DrewPerry)表示,“信息隐私将成为可见度的中心,执法力度将继续加强,但收费将由各种区域法规牵头,这些法规并非始终相互一致。CISO将在组织风险方面承担更大的咨询角色,因为他们被要求帮助应对经常相互竞争的隐私规则,以允许企业尽可能接近历史规范运营。聪明的组织在保护底线方面不会采取任何行动,因此CISO应该期望参与以前没有征求过他们意见的对话。未来几年将需要能够自如地走这些道路的CISO。4.安全领导者将更加关注网络弹性,Zoom首席信息安全官迈克尔·亚当斯(MichaelAdams)表示:“虽然保护组织免受网络威胁始终是安全计划的核心关注领域,但我们可以期待更多关注网络弹性,它超越了保护,包括在发生网络事件时的恢复和连续性。它不仅仅是投入资源来抵御网络威胁;它还投资于人员、流程和技术,以减轻影响并在事件中继续运营5.CardinalOps首席执行官兼联合创始人MichaelMumcuoglu的自动化和安全运营:“到2023年,我们将看到自动化进入安全运营的几个剩余领域,这些领域仍然依赖手动流程。这些领域包括威胁暴露管理,这有助于全面解决诸如“我们如何准备检测和响应最有可能以我们组织为目标的对手”等问题?”另一个将变得更加自动化的领域是检测工程,它仍然严重依赖专业知识和部落知识。自动化不仅会降低这些组织的风险,还会将SOC人员从繁琐的任务中解放出来,使他们能够专注于真正需要人类创造力和创新的更有趣的挑战,例如威胁搜寻和了解新的和新颖的行为。6.云原生漏洞的兴起,Solvo首席执行官ShiraShamban:“我们不仅会看到整体安全事件增加,云原生漏洞尤其如此。根据2022年的一项研究,近一半的数据泄露事件发生在云中。随着公司继续将其部分或全部基础设施迁移到云中,我们将看到存储在云中的数据量和皇冠上的宝石数量增加,从而导致更多发生云原生安全事件的机会。应用程序必须以第三方可以信任的方式构建。由于此供应链不安全,因此在网络攻击者眼中,在云中进行黑客攻击具有越来越大的价值。《量子解密》byBryanCunningham,Theon技术顾问委员会成员:“由到2023年底,每个组织都将在量子解密能力方面苦苦挣扎。”虽然到2022年人们对未来(无人知晓)量子解密威胁的意识有所增强,但到2023年底,所有组织都将意识到他们将不得不面对这一威胁。8.网络安全培训,Hoxhunt的联合创始人兼首席执行官MikaAalto:“到2023年,我们将看到网络安全培训的持续改进。”人类并没有进化到可以检测数字世界中的危险。学校系统不会教他们防御网络攻击的黑魔法。它在我们身上。人为风险是一个组织问题。我们有责任让我们的员工具备保护自己免受网络钓鱼攻击的技能。自动化、自适应学习和人工智能/机器学习可以帮助大规模提供个性化培训。为什么这很重要?因为人们需要定期参加保持在其技能水平边缘的相关培训,以便提高和保持参与度。一段冗长、枯燥的视频,然后是基于惩罚的网络钓鱼模拟,已被证明是行不通的。专注于失败会导致失败。当人们在动态学习环境中获得技能时给予奖励会带来可衡量的进步。这种方法广泛地描述了游戏化,其成功基于行为科学和商业的既定原则,并将成为来年确保各种规模组织安全的关键。9.不良行为者的专业化,Tigera总裁兼首席执行官RatanTipirneni:“随着勒索软件即服务的可用性越来越高,这种模式为不良行为者提供了复杂的漏洞分布,同时又将他们与交易风险隔离开来,这将导致毫无准备的企业的安全状况恶化。随时可用的威胁和不安全的部署的综合影响肯定会导致引人注目的违规行为。理想情况下,这些差距最终将使企业超越基线法规,使安全成为10.TheCyber??Basics–Cyber??HygieneandAwareness,Delinea首席安全科学家兼咨询CISOJosephCarson着:“成为网络安全社会的必要性将增加对正确基本原则的需求。”这意味着网络卫生和意识将成为2023年的重中之重。随着越来越多的组织将网络保险视为金融安全网来保护他们的业务由于数据泄露和勒索软件攻击造成的严重财务风险,对网络战略进行可靠覆盖的必要性将成为强制性要求。.“便宜又方便”的时代已经结束。这意味着在2023年回到基础并提高网络安全基线。持续的远程工作和云转型意味着需要通过多因素身份验证、密码管理和持续验证来支持强大的访问管理策略,以降低风险。除了实施更好的访问安全控制外,雇主还需要赋予员工更好的网络安全意识。这意味着持续的培训和教育,以确保随着威胁的演变,员工了解情况并做好准备成为网络战略的有效捍卫者。11.移动工作场所趋势将为企业制造新的盲点,SlashNext首席执行官PatrickHarr表示:“个人通信渠道(游戏、LinkedIn、WhatsApp、Signal、Snapchat等)在攻击路径中发挥更大的作用。一旦单个用户受到威胁,坏人就可以横向移动以获取业务。由于电子邮件现在至少有一些保护措施,网络犯罪分子将更多的注意力转向这些其他通信渠道,并且成功率更高。您的安全态势中最大的漏洞来自新混合劳动力中员工的个人数据。随着组织采用新的个人消息传递、沟通和协作渠道,这些盲点变得越来越明显。攻击者通过WhatsApp、Signal、Gmail和FacebookMessenger等受保护程度较低的个人通信渠道以员工为目标进行攻击。然后它就变成了从外部立足点横向渗透到组织中的问题。此外,现在越来越多的人在同一台设备上兼顾业务任务和个人生活,这是一个很大的盲点。我只看到这种趋势在来年会加速。这一切都回到了:我如何验证你真的是我正在与之交流的人?或者这是我认为的可信文件或公司网站链接?对任何公司来说,最大的单一威胁不再是机器安全——它确实是人身安全因素。这就是为什么这些对人类的攻击会继续增加,因为人类容易犯错,他们会分心,而且许多威胁不容易被识别为恶意的。12.互联设备需要更强的安全性,作者:KeeperSecurity首席执行官兼联合创始人DarrenGuccione:“互联物联网设备的数量多年来一直在增长,而且没有放缓的迹象。在过去三年中,数量由于COVID-19的加速数字化转型和基于云计算的扩散,物联网设备的数量呈指数级增长。预计到2022年,物联网市场将增长18%,达到144亿活跃连接。随着越来越多的消费者和企业依赖互联设备,这些连接的解决方案变得更容易受到网络攻击。因此,原始设备制造商(OEM)出货的数十亿设备将需要更高的开箱即用安全性,以降低恶意软件入侵的风险及其对分布式拒绝服务(DDoS)攻击。为了防止和减轻破坏性攻击,原始设备制造商、制造商和供应商必须将安全性设计到设备中,并将其嵌入连接设备的每一层。13.数据可见性和合规性,DigSecurity首席执行官兼联合创始人DanBenjamin表示:“到2023年,CISO将优先采用安全解决方案,使他们能够了解他们的组织拥有哪些数据、数据位于何处,以及解决方案数据带来的风险。这种可见性对于安全领导者至关重要,因为他们制定计划以满足高度监管的世界中的合规性要求,并在日益具有挑战性的威胁环境中保护数据。14.供应链安全,Coalfire副总裁CaitlinJohanson:“在到2022年,美国尤其面临来自国外创建、开发和运营的B2B和B2C技术的风险和漏洞——中国云软件TikTok就是一个很好的例子。它开始围绕代码和应用程??序的来源提出很多问题,数据是什么放入这些应用程序,以及这些数据的主权是什么。到2023年,我们将开始看到对开发人员所在位置和代码来源的更多审查,以及更多的组织将专注于软件组成分析和安全代码开发(应用程序安全)。基本上,质疑我们国家供应链的每个组成部分。Covid对我们供应链的整体地位提出了质疑,今年,15。由于前所未有的需求,ICS/OT技能差距将扩大,HexagonAssetLifecycleIntelligence网络生态系统全球总监EdwardLiebig“研究表明绝大多数电力、石油和天然气以及制造企业在过去一年半左右的时间里都经历过网络攻击。研究还表明,由于对熟练专业人员的高需求,网络安全劳动力缺口正在扩大。基础设施系统面临的强大威胁、拜登政府新的100天跨部门冲刺以及更多法规的出台,需要更多专业人士跟上。此外,许多组织目前缺乏成功整合安全实践和要求苛刻的员工的能力,随着2023年工业4.0的兴起,这将变得越来越重要。”16.虚拟世界可能是下一件大事,但让我们面对现实吧,通过VMware首席网络安全战略分析师RickMcElroy表示:“鉴于Metaverse的采用仍处于起步阶段,Metaverse的未来相对未知,但企业将其推向市场的速度仍然快于安全社区可以接受的速度。在当前版本的数字世界中,我们已经看到了身份盗窃和深度伪造攻击的实例,其中不良行为者掠夺高管,将数十万美元电汇到公司外部。那岂不是意味着类似的骗局在元界VR中不会增多?当我们开始展望2023年时,企业在交付这项新兴技术时需要小心谨慎。将密码拖入虚拟世界是妥协的秘诀。17.网络风险管理将成为企业领导者的首要任务,VMware高级网络安全策略师KarenWorstell“在网络风险的治理和监督方面,我们的系统已经崩溃。这与十五年前不同——我们正在应对更高的风险和脆弱的企业声誉。因此,到2023年,我们将看到公司在网络风险管理方面加倍努力。董事会需要在确保充分控制和报告网络攻击方面发挥更明确的作用和责任。网络风险治理不仅仅是CISO的领域,现在显然是主管和官员级别的关注点。在网络方面,似是而非的否认已经死了。18.到2023年,复杂的固件攻击将变得更加普遍,网络犯罪分子将继续投资于利用端点设备物理访问的攻击,作者:惠普公司系统安全研究与创新首席技术专家BorisBalacheff。到2023年,organizations应该控制固件安全。曾几何时,固件攻击仅被复杂的APT(高级持续威胁)组织和国家使用。但在过去的一年里,我们看到了网络犯罪社区能力开发和交易增加的迹象——从破解BIOS密码的工具,到针对设备BIOS(基本输入/输出系统)和UEFI(统一可扩展固件)rootkit的工具,以及特洛伊木马接口)。今天,我们在网络犯罪市场上看到标价数千美元的固件Rootkit。随着需求的增长,复杂攻击功能的可负担价格也在增长。我们应该会看到更多此类物品在地下网络犯罪分子中出售,从而导致更多固件攻击。对固件级别的访问允许攻击者获得持久的控制权并隐藏在设备操作系统之下,使他们难以被发现——更不用说删除和收回控制权了。组织应确保他们了解设备硬件和固件安全的行业最佳实践和标准。他们还应该了解和评估可用于保护、检测和从此类攻击中恢复的最先进技术。“
