在制定来年的网络安全弹性计划、优先事项和路线图时,一些安全和风险专家对2023年的网络安全趋势做出了预测。(1)JonFrance,首席信息安全官(ISC)2,表示对网络安全保险的需求会增加,但会更难获得网络安全保险的保费更高。仅在2022年第一季度,网络安全保险的保费就比2021年第四季度增长了近28%。这主要是由于人们对勒索软件攻击、数据泄露、漏洞的意识以及对财务和声誉风险的意识剥削等网络事件有所增加。与此同时,网络安全保险公司对企业的保费要求更加严格,要求他们采用双因素认证,并采用特定技术,如EDR和XDR。事实上,这些文件以前是两页的调查问卷,但现在是完整的审计报告,长度可以超过12页。因此,提高网络保险成本和引入更严格的保险要求将成为2023年的障碍。另一方面,由于供应链问题的发生率上升,我们也可能看到需求增加。由于这些问题,企业可能开始越来越多地要求与他们合作的任何供应商或第三方必须拥有网络保险。正如我们已经开始看到的那样,随着地缘政治担忧的加剧,企业将优先保护他们最重要的资产(包括他们对安全保险的需求将继续增加,获得这些保险的成本和要求也将继续增加。”(2)乔恩法国表示,经济衰退将导致培训计划支出减少。受衰退影响的行业,但网络安全的人员和质量在衰退期间可能会受到影响。到目前为止,我们还没有看到网络安全的核心预算削减,但在培训预算等其他领域)可能会出现缩水。这既适用于各种规模企业的安全意识培训,也适用于培训网络安全专业人员如何充分保护其关键资产。该行业已经面临技能短缺,不幸的是,随着经济衰退持续到2023年,由于对熟练网络安全人员的需求增加,技能短缺可能会加剧。”(3)Serta-SimmonsGroup信息安全副总裁兼首席信息官DrewPerry,2023年2020年将是动荡的一年,因为国家和地方政府发布了隐私法规,Perry表示,“信息隐私的可见性和执法将继续提高,但国家和地区法规并不总是相互一致。CISO将在企业风险方面承担更大的咨询角色,因为他们被要求帮助应对经常相互竞争的隐私规则,以使企业尽可能接近历史规范。聪明的企业会采取必要的措施来保护收入,因此CISO应该了解所有意见。在接下来的几年中,将需要能够驾驭这些路径的CISO。(4)Zoom首席信息官MichaelAdams表示,安全领导者将加大对网络弹性的关注网络弹性将受到越来越多的关注,这不仅包括安全保护,还包括网络事件发生时的恢复和连续性.企业不仅需要投入资源来抵御网络威胁,还需要对人员、流程和技术进行投资,以减轻影响并在发生网络攻击时继续运营。(5)CardinalOps首席执行官兼联合创始人MichaelMumcuoglu表示,自动化和安全运营至关重要。这些领域包括威胁暴露管理,它有助于全面解决诸如“我们如何准备检测和响应最有可能以企业为目标的对手?”等问题。另一个越来越自动化的领域是检测工程,它仍然严重依赖专业知识和部落知识。自动化不仅会降低这些风险,还会将安全运营中心(SOC)人员从日常任务中解放出来,使他们能够专注于真正需要人类创造力和创新的更有趣的挑战,例如威胁搜寻和理解新的攻击行为。(6)Solvo首席执行官ShiraShamban表示云原生漏洞将增加Shamban表示,“我们不仅会看到整体安全事件的增加,具体而言,云原生漏洞将会增加。根据2022年进行的研究,将近一半的数据泄露发生在云端。随着企业继续将部分或全部基础架构迁移到云端,我们将看到存储在云端的数据泄露事件增加,从而导致更多的云原生安全事件。应用程序必须以第三方可以信任的方式构建。由于这个供应链不安全,在网络攻击者看来,在云中进行网络攻击变得越来越有价值。(7)Theon技术咨询委员会成员BryanCunningham,表示量子解密将构成威胁坎宁安说,“到2023年底,企业可能都在与量子解密的能力作斗争。2022年人们对量子解密未来威胁的认识有所提高,到2023年底,所有企业都将意识到他们将不得不面对这种威胁。(8)Hoxhunt联合创始人兼CEOMikaAalto表示网络安全培训有待加强Aalto表示,“2023年,我们将看到网络安全培训的持续改进。人类并没有进化到能够识别网络中的危险。数字世界,学校不教如何防御网络攻击。网络安全专业人员有责任让每个人都具备防止网络钓鱼攻击的技能。自动化、自适应学习和AI/ML可以帮助企业提供大规模的个性化培训.为什么这很重要?因为人们需要定期参加相关培训以保持和提高他们的技能水平。事实证明,观看枯燥的相关视频然后进行基于惩罚的网络钓鱼模拟是无效的。在人们获得技能时给予奖励动态的学习环境将导致技能的显着提高。这种方法的成功基于行为科学和商业的既定原则,并将成为来年确保各种规模企业安全的关键。(9)Tigera总裁兼首席执行官RatanTipirneni表示,网络攻击者正变得越来越专业,将他们与交易风险隔离开来将导致毫无准备的企业安全状况恶化。随时可用的威胁和不安全的部署的综合影响肯定会导致引人注目的网络攻击。理想情况下,这些网络攻击最终将推动企业超越基准法规,并使安全成为一项基本工作。”(10)Delinea首席安全科学家兼首席信息安全官约瑟夫卡森表示,人们需要具备网络安全知识和意识卡森表示,“建设网络安全社会的需要将增加基本权利。这意味着网络安全知识和意识将成为2023年的重中之重。随着越来越多的企业将网络保险视为金融安全网,以保护其企业免受数据泄露和勒索软件攻击带来的严重金融风险,获得此类保险需要坚实的基础网络战略。这意味着企业将在2023年继续提高网络安全性。正在进行的远程工作和云计算转型意味着需要强大的访问管理策略,并通过多因素身份验证、密码管理和持续验证来降低风险。除了实施更好的访问安全控制外,雇主还需要提高员工的网络安全意识。这意味着持续的培训和教育,以确保随着网络威胁的发展,员工了解情况并准备好成为网络战略的捍卫者。(11)SlashNextCEOPatrickHarr表示,移动工作场所趋势将为企业制造新的盲点。Harr表示,“个人通信渠道(游戏、LinkedIn、WhatsApp、Signal、Snapchat等)在企业的攻击路径中发挥着更大的作用。一旦个人用户受到损害,网络攻击者就可以横向移动并进入企业。由于电子邮件现在有了一些保护,网络攻击者将更多的注意力转向其他通信渠道并且成功率更高。在新的混合工作场所中,网络安全的最大漏洞来自员工的个人数据。这些盲点越来越明显,因为企业采用新的个人信息、通信和协作渠道。网络攻击者通过WhatsApp、Signal、Gmail和FacebookMessenger等受保护较少的个人通信渠道以员工为目标。然后,从外部横向渗透企业就成了问题立足点。此外,越来越多的人在同一台设备上同时完成工作和生活任务,我这是一个重要的盲点。我认为今年这种趋势会加速。这一切都回到了:“我如何确认你是我正在与之交流的人?”或者这是一个可信的文件或公司网站的链接?任何企业面临的最大威胁不再是机器安全,而是真正的人身安全因素。这就是为什么这些针对人类的网络攻击会继续增加,因为人类容易犯错,他们会分心,而且许多威胁不容易被识别为恶意的。(12)KeeperSecurity首席执行官兼联合创始人DarrenGuccione表示,联网设备将需要更强大的安全性Guccione表示,“物联网设备的数量多年来一直在增长,而且没有放缓的迹象。在过去三年中,由于2019年新冠疫情导致数字化转型加速以及云计算的普及,物联网设备数量呈指数级增长,2022年全球物联网市场规模预计增长18%,物联网设备将达到144亿台。随着越来越多的消费者和企业依赖物联网设备,这些设备变得更容易受到网络攻击。因此,物联网设备制造商制造的数十亿台设备将需要更高的开箱即用安全性降低恶意软件入侵的风险及其对分布式拒绝服务(DDoS)攻击的贡献。为了防止和减轻破坏性的网络攻击,制造商和供应商必须将安全性设计到设备中,将其嵌入进入连接设备的每一层。(13)DigSecurity首席执行官兼联合创始人DanBenjamin表示,企业需要加强数据可见性和合规性提供对组织持有哪些数据、数据驻留在何处以及它带来的风险的可见性。这种可见性对于安全领导者至关重要,因为他们在高度监管的世界中构建程序以满足合规性要求并在日益具有挑战性的威胁环境中保护数据。(14)Coalfire副总裁CaitlinJohanson表示要关注供应链安全Johanson表示,“2022年,美国将面临更多来自国外创造、开发和运营的B2B和B2C技术的风险和漏洞。这引发了许多问题,包括代码和应用程??序从何而来,哪些数据被放入这些应用程序,以及这些数据的主权是什么。在2023年,我们将开始看到更多关于开发人员在哪里以及代码来自何处的审查,等等企业将专注于软件组合分析和安全代码开发(应用程序安全)。基本上,质疑供应链中的每个环节。COVID-19给供应链带来了问题,2023年我们将开始更加关注供应链安全与外国软件开发相关的风险。(15)HexagonAssetLifecycleIntelligence网络生态系统全球总监EdwardLiebig表示,ICS/OT技能差距将扩大,因为需求转移公用事业、石油和天然气以及制造业中的大多数公司都经历过网络攻击。研究还表明,由于对熟练专业人员的高需求,网络安全劳动力缺口正在扩大。除了多年来普遍存在的对关键基础设施系统的严重威胁之外,随着美国政府颁布更多法规,还需要更多的专业人员。此外,许多企业目前缺乏能够成功整合IT和OT部门的安全实践和严谨性的员工,随着工业4.0在2023年站稳脚跟,这将变得越来越重要。(16)VMware首席网络安全策略师RickMcElroy表示,metaverse可能是下一件大事,需要面对现实McElroy说:“metaverse的未来发展相对未知,因为它的采用仍处于起步阶段。但公司将它们推向市场的速度仍然超过了安全社区可以接受的速度。”在当前的数字世界中,我们已经看到了身份盗用和深度伪造攻击的例子,其中网络攻击者以企业高管为目标,在企业外部电汇或交易数十万美元。在虚拟现实的元宇宙中,类似的骗局不会增加。当我们开始展望2023年时,公司在交付这项新兴技术时需要谨慎和深思熟虑。将密码引入metaverse是一种违规行为。但如果我们仔细考虑用于识别用户的控件并部署持续身份验证,利用不同的因素,如生物识别和密切监控用户行为,将有助于缓解元界的安全问题。(17)VMware高级网络安全策略师KarenWorstell表示,网络风险管理将成为企业领导者的首要任务15年前——我们正在应对更高的风险和脆弱的企业声誉。因此,在2023年,我们将看到公司在网络风险管理方面加倍努力。公司董事会需要在确保充分控制和报告网络攻击方面发挥更明确的作用和责任。网络风险治理不仅是CISO的领域,现在显然是董事和高级管理人员关注的问题。(18)复杂的固件攻击将在2023年变得更加普遍,网络犯罪分子将继续投资于利用物理访问的攻击惠普系统安全研究和创新首席技术专家BorisBalacheff说:“到2023年,企业应该控制端点设备。”固件安全。在过去的一年里,我们看到了网络犯罪社区能力开发和交易的迹象——从破解BIOS密码的工具,到针对设备BIOS和统一可扩展固件接口(UEFI)的Rootkit和特洛伊木马程序。我们现在看到固件Rootkit在网络犯罪市场上以数千美元的价格出售。复杂的攻击能力与不断增长的需求齐头并进。我们可以预期在网络犯罪中看到更多这些产品的销售,从而导致更多的固件攻击。对固件级别的访问允许网络攻击者获得持久控制并隐藏在设备操作系统下,使他们难以被发现,更不用说删除和收回控制了。组织应该了解设备硬件和固件安全的行业最佳实践和标准。他们还应该了解和评估可用于保护、检测和从此类攻击中恢复的最先进技术。“
