近年来,我们已经看到网络安全的话题从IT部门转移到董事会。随着攻击激增和潜在处罚(无论是监管还是失去客户信任)的增加,它已成为每个组织级别的优先事项。我们通常认为网络安全是黑客与罪犯和安全专家之间的一场持续不断的战斗,由于技术的不断进步,这场战斗不断升级。这就是我们有时会在电视节目和电影中看到的商业“光鲜亮丽”的一面。事实上,威胁有时来自敌对的外国或狡猾、精通技术的犯罪策划者。然而,在现实中,由于网络安全不当导致敏感数据意外泄露,或者员工在家工作时粗心或鲁莽地使用不安全的设备,也可能产生威胁。在Covid-19大流行期间开始并在许多组织中继续的向家庭和远程工作文化的转变,以及物联网(IoT)在商业和社会的所有领域的传播,意味着安全永远不会松懈.更多的机会引起头痛和费用。正因为如此,网络安全是2023年每个人的首要议程,因此这里有一些2023年的主要趋势:潜在的门窗有数据。Gartner分析师预测,到2023年,全球将有430亿台物联网连接设备。物联网设备——从智能可穿戴设备到家用电器、汽车、楼宇警报系统和工业机械——常常被证明是网络安全负责人头疼的问题。这是因为,由于它们通常不用于直接存储敏感数据,因此制造商并不总是专注于通过频繁的安全补丁和更新来保证它们的安全。最近这种情况发生了变化,因为事实证明,即使他们自己不存储数据,攻击者通常也可以找到方法将它们用作其他潜在联网设备的网关。例如,现在您不太可能找到不需要用户设置自己的PIN的默认密码或PIN的设备,而过去通常是这种情况。到2023年,世界各地的许多政府举措将生效,旨在提高连接设备以及将它们连接在一起的云系统和网络的安全性。这包括将在美国推出的物联网设备标签系统,为消费者提供有关他们带入家中的设备可能造成的安全威胁的信息。在家工作网络安全成为企业的首要任务最近,自大流行开始以来,许多组织的网络安全优先事项一直是保护全球数百万台用于家庭和远程工作的设备。在大流行之前,当我们都在办公室工作时,安全代理(可能在IT部门)定期检查和更新公司笔记本电脑和智能手机非常简单。这使得确保它们没有间谍软件和恶意软件并运行最新版本的防病毒软件和其他预防措施变得相对简单。到2023年,当员工比以往任何时候都更有可能使用个人设备远程连接到工作网络时,出现了一系列新的挑战。使用不安全的设备连接到网络可能会导致员工在不知不觉中成为网络钓鱼攻击的受害者,在这种攻击中,攻击者会诱骗用户泄露他们的密码。随着越来越多的人远程工作,我们越来越有可能发现自己在彼此不认识的团队中工作,并且有可能成为假冒诈骗的牺牲品。它还支持勒索软件攻击,在这种攻击中,软件被注入网络以擦除有价值的数据,除非用户向攻击者支付赎金。这种情况的风险在远程工作情况下也会增加,在这种情况下,设备更有可能无人看管。针对企业和政府民族国家的国际国家支持的攻击者经常参与网络间谍活动和破坏活动,试图扰乱不友好或相互竞争的政府或获取机密。然而,在当今时代,公司和非政府组织(NGO)越来越有可能发现自己成为国家行为者的目标。自2017年WannaCry勒索软件攻击(据信由与朝鲜政府有关联的黑客所为)以来,全球服务器已发生数十万次攻击,安全机构认为这些攻击可追溯到外国政府。2023年,70多个国家/地区将举行政府选举——这些活动通常是外国敌对利益的目标。除了对基础设施的黑客攻击和网络攻击之外,这还将采取社交媒体上的虚假宣传活动的形式。这通常涉及寻求影响有利于一个政党的结果,而该政党的胜利将有利于敌对的国家政府。毫无疑问,网络战将继续成为武装冲突的关键因素,一位分析人士在谈到俄乌战争时说:“数字是这场战争的重要组成部分,地面战斗也是如此。人工智能(AI)在网络安全中发挥着越来越重要的作用,随着网络攻击尝试的数量迅速增加,人类网络安全专家越来越难以对所有攻击做出响应并预测接下来最危险的攻击将发生在何处。这就是人工智能发挥作用的地方。机器学习算法可以比人类更有效地实时检查跨网络移动的大量数据,并学习识别表明威胁的模式。据IBM称,与不使用人工智能和自动化来检测和响应数据泄露的公司相比,使用人工智能和自动化来检测和响应数据泄露的公司与2019年相比平均节省了300万美元。不幸的是,随着人工智能的可用性持续增长,黑客和犯罪分子也越来越熟练地使用它。人工智能算法用于在连接到互联网的数百万台计算机和网络中识别安全性较弱的系统,或可能包含有价值数据的系统。它还可用于创建大量个性化网络钓鱼电子邮件,旨在诱骗收件人泄露敏感信息,并且越来越擅长逃避旨在过滤此类消息的自动电子邮件防御。AI甚至被用来人为“克隆”高管的声音,然后骗取交易授权!这就是为什么在网络安全中使用人工智能有时被称为“军备竞赛”,因为黑客和安全人员竞相确保最新和最复杂的算法对他们有利,而不是对立。据预测,到2030年,人工智能网络安全产品的市场价值将接近1390亿美元,是2021年市场价值的近十倍。构建安全意识文化或许是最重要的一步任何组织都可以采取的措施是确保它正在努力发起和培养一种围绕网络安全问题的意识文化。如今,雇主或雇员将网络安全视为IT部门需要处理的事情已经不够好了。事实上,培养威胁意识并采取基本预防措施以确保安全应该成为2023年每个人工作职责的基本组成部分!网络钓鱼攻击依靠“社会工程”方法来诱骗用户泄露有价值的信息或在他们的设备上安装恶意软件。没有人需要技术技能来学习了解这些类型的攻击并采取基本的预防措施以避免成为受害者。同样,应该全面教授基本的安全技能,例如安全使用密码和理解双因素身份验证(2FA)并保持最新。采取此类基本预防措施来培养网络安全意识文化应该成为组织业务战略的核心要素,以确保在未来12个月内建立弹性和就绪状态。
