从供应链中断到与边缘计算相关的挑战以及AI/ML的采用,以下是人们在来年需要了解的最重要的网络安全趋势。人们可能永远不会听到这样的新年预言:“IT安全问题解决了!”当然,也许有些供应商会在他们的宣传材料中加入这种信息,但明智的IT专业人员知道这是不现实的。网络安全威胁和风险一直存在,并将一直存在,直到人类重返农耕或狩猎。这是因为IT系统和运行它们的专业人员总是容易出错,并且总是会有恶意系统和专业人员试图利用这一现实。到2023年,IT安全肯定不是一个新的或暂时的问题,而是一个动态的问题,因为网络风险和网络攻击者在不断变化,即使一些基本要素(例如跨多个帐户共享或重用凭据)保持不变。在此背景下,IT领导者在2023年需要关注的网络安全六??大趋势:1.供应链安全仍然是重点,但工作才刚刚开始IT安全的转变,例如软件供应链安全。这是2022年及以后的热门安全话题。这将是2023年持续关注的领域。今天的软件供应链一如既往地多样化,软件通常是从其他软件构建的,因此保护这些供应链需要长期的承诺。2023年可能会出现什么新情况?虽然一直在谈论软件供应链安全,但他们还没有为此制定预算。“红帽最新的全球技术展望报告显示,软件供应链安全在IT决策者中的安全资金优先级仍然较低,”红帽技术布道师GordonHaff说。,需要有一个好的计划来处理供应链安全,如果他们还没有这样做的话。”对于许多企业而言,这可能不需要超出预算的财务承诺,而是领导承诺、规划和流程改进的问题。“它可能不需要大量投资,但它确实需要一个计划和一个过程来降低未来的风险,”哈夫说。与此同时,Kubernetes安全性作为更广泛软件供应链力量基础的重要性也将增长。多多关注。“Kubernetes将更加强调供应链安全,”Corsha基础设施总监AlexMeijer说。Meijer期望看到越来越多的应用程序,例如容器镜像签名和验证。Meijer的同事Corsha的基础设施工程师RobertBatson也看到了新兴工具的前景——Batson以Sigstore的准入控制器为例。他说,“将供应链安全扩展到托管应用程序的集群,并添加到引导集群的工具列表中,以解决传统意义上的可观察性和安全性等问题。”大年毫无疑问,安全专家都知道美国国家标准技术研究院(NIST)网络安全框架,这是一套用于管理网络安全风险和改善企业安全状况的公开标准和实践。但这并不意味着他们的雇主必须遵守该框架,特别是如果他们的行业或企业不必遵守。BeachheadSolutions副总裁CamRobertson预计2023年将是对NIST框架产生兴趣和使用的重要一年,即使它不是强制性的。“越来越多的企业意识到,尽管他们不一定受NIST网络安全框架的约束,但该框架仍然提供非常全面的安全指南和最佳实践,适用于许多其他政府强制要求(如CMMC或DFARS)和其他行业-特定的授权(HIPAA等法规),企业必须确保持续合规。”以前一直纠结于从哪里开始的组织和团队(网络安全是一个巨大且持续的挑战,以及如何采取可操作的衡量行动),将在NIST等框架中找到各种路线图。“五个‘核心能力’和100多个子类别由NIST框架提供,深入了解CIO、CISO和安全专业人员如何识别和检测威胁,然后根据需要做出反应并从中恢复,”Robertson说。“其他广泛使用的标准可能也是如此和工具,例如CISKubernetesBenchmark或MITREATT&CK框架。罗伯逊认为,NIST框架因其深度和广度可能成为2023年的热门话题。他说:“数据泄露和合规违规的风险太高了。NIST框架将在2023年继续上升,它将成为一个跨行业的标准。这可能成为事实上的标准。企业可以将其作为一种安全策略。我们将看到更多的企业致力于遵守NIST框架。”3.随着边缘计算的发展,随着新的IT范式变得越来越普遍,对边缘计算安全性的需求也越来越大,例如云计算是过去十年中最突出的例子之一,范式的安全性也不可避免地变得至关重要.随着明年许多IT领导者关注边缘计算战略,边缘计算安全性肯定会引起更多关注。就像云计算一样,边缘计算在根本上并不比集中式模型安全,它只是引入了新的或不同的风险和挑战。正如Asimily产品管理高级总监JeremyLinden所说:“边缘计算会带来额外的复杂性,这会使整个系统的安全变得更加困难。但是,边缘计算本身并没有不安全的地方。”地方。”相比之下,边缘安全从根本上需要与任何IT安全领域相同的措施:适当的规划和优先级排序。2023年将是奠定基础的重要一年。4.AI/ML工作负载的需求也在增长简单来说,同样的原理可以用AI/ML代替上面的边缘计算来说明:随着越来越多的机器学习模型和其他形式的人工智能在计算机中运行,这些工作负载将成为网络攻击者更有利可图的目标。AI/ML已经成为一种流行趋势;AI/ML安全性尚未改变,但明年应该会改变。HiddenLayer的联合创始人兼首席执行官ChristopherTitoSestito特别希望CISO和其他IT领导者能够扩展零信任方法并将其原则和实践应用于AI/ML。Sestito表示:“2022年是政府部门加强AI/ML安全监管的一年,也是通过自动化攻击工具加速ML攻击的一年。结果将对CISO提出更多要求,以保护他们的AI/ML。”Sestito补充说,MITRE人工智能对抗威胁景观(ATLAS)框架等资源将使CISO及其团队能够快速评估和实施所需的安全控制,并立即与现有的零信任框架集成。5.还知道安全厂商在哪里吗?重点是IT技术和IT领导力,而不是股市预测或宏观经济分析。但是,如果您查看财经新闻网站或订阅提要,网络安全总是会成为头条新闻。人们普遍认为,2023年可能会带来科技行业的整合和变革。“许多市场观察人士认为,到2023年,没有强大价值主张和收入流的技术供应商的行业地位将会发生变化。IT决策者应该评估他们的供应商是否具有强大的市场地位,”Haff说。这是一个普遍的事实,但它在IT安全领域尤为重要,近年来供应商市场已大幅扩张,尤其是在云/云原生领域。“这当然包括安全领域,初创公司正在以一种经常重叠且相对无差异的方式实现云原生安全的爆炸式增长,”哈夫说。供应商管理是任何IT领导者职责的一部分,到2023年,可能值得更仔细地审视产品组合,尤其是在安全工具方面。6.表现最好的安全机构建立他们的人才管道IT安全技能短缺通常是围绕招聘和留住技术人才的挑战进行更广泛讨论的主要话题。最近的趋势是,战略IT领导者和企业不仅仅在等待其他人来解决这个特定问题。他们正在投资于他们的安全人才管道,并确保他们能够接触到尽可能广泛的受众。“我们预测,高绩效企业将通过针对代表性不足的群体的计划,继续关注在线劳动力的多样性,”Sestito说。留住客户的能力取决于在全球范围内拥有敬业和多元化的员工队伍并进行相应的投资。”Sestito指出,这也不是一个固定的趋势。事实上,扩大网络安全人才库是一项长期战略,而不是短期解决方案。“这不是每年都制定的人力资源战略,而是企业范围内的文化转变,需要多年的关注和承诺,”Sestito说。
