根據ThoughtLab發布的一份調查報告,2021年網絡攻擊和數據泄露的平均數量增加了15.1%,與前一年相比顯著增長。然而,29%的首席執行官/首席信息安全官和40%的首席安全官承認,他們所在的公司對迅速變化的網絡安全和威脅形勢沒有做好準備。
ThoughtLab的報告聲稱,在未來兩年里,勒索軟件和網絡釣魚攻擊將繼續讓安全團隊疲于奔命,因為網絡罪犯將變得更加猖獗。因此,首席信息安全官和安全團隊負責人需要評估如何應對這一不斷演變的網絡安全領域。為了應對網絡攻擊浪潮,網絡安全專家列出了2023年科技領袖需要關注的網絡安全趨勢。以下是他們分享的內容:
1.勒索軟件攻擊的影響
Jobber公司安全總監Brian Masson說,“我們將會看到勒索軟件攻擊事件繼續增長,企業領導者需要做好準備。身份和訪問管理(簡稱 IAM)與人員交互,這在歷史上一直是一個問題。還有糟糕的密碼,缺少多因素身份驗證等問題。我認為這在很長一段時間內都不會改變。一個新的關注領域是:國家贊助的網絡攻擊帶來的影響越來越大。少數企業領導者可能直接負責關鍵的基礎設施,但他們必須考慮這些勒索軟件攻擊將對企業和業務產生的影響——缺勤率增加、遠程工作中斷,以及類似的間接業務挑戰。”
2.使用復雜的端點檢測與防護重建端點
NTT DATA公司安全服務副總裁Sushila Nair說,“勒索軟件攻擊事件在兩年內上升了240%,并將繼續上升。大多數情況下,勒索病毒的初始感染媒介是端點,因此企業需要減少網絡攻擊面。網絡攻擊者致力于破壞數據備份、多個節點和服務,以便在他們已經無處不在的情況下進行網絡攻擊。在2023年,企業將不得不更好地使用復雜的端點檢測與防護重建端點。此外,企業將更多地轉向具有多因素身份驗證保護的單點登錄,并更加小心地利用免費層SaaS應用程序或無法與單點登錄集成的SaaS應用程序。”
3.強調實施網絡安全最佳實踐
Devo公司的首席信息官Kayla Williams說,“如今,在誰負責網絡安全的問題上存在很多誤解。首席信息安全官負責制定戰略,但如果沒有企業中其他部門的支持,他們就無法實施戰略。由每個部門的人員來采用安全團隊建議或授權的控制。安全團隊的期望和實際實施之間的脫節是看到事情被遺漏的地方。2023年,企業將尋求解決這一問題,并將更多的部門重點放在實施安全最佳實踐上。”
4.投資員工安全培訓以抵御網絡攻擊
Menlo Security公司的網絡安全戰略高級主管Mark Guntrip說,“2023年,勒索軟件攻擊事件將繼續上升。在當今的威脅環境中,人員是最薄弱的環節。我們的研究發現,忽視企業安全建議的員工是IT安全決策者最關心的問題,39%的受訪者擔心勒索軟件攻擊會超出他們公司的安全能力。網絡攻擊者變得越來越狡猾,這并不奇怪,因為我們不斷看到可以規避典型安全堆棧的技術的出現,例如高度規避自適應威脅攻擊。”
5.零信任架構的重要性將會增加
Veeam公司的首席技術官Danny Allan說,“我預計2023年網絡安全的首要任務將是通過各種方式應對勒索軟件威脅,從與安全團隊合作提高網絡技能到使用適當的網絡安全工具,如多因素身份驗證和培訓課程。我還認為,零信任架構作為一種驗證訪問和提高安全性的手段的重要性將會增長,預計網絡安全預算將大幅增長。”
6.將政策作為代碼納入網絡安全實踐
Veeam Kasten公司的產品和合作伙伴副總裁Gaurav Rishi說,“隨著Kubernetes應用程序成為主流,網絡攻擊強度和攻擊向量也在增長。這將導致kubernetes原生數據保護工具變得更加重要,以確保備份仍然是企業的最后一道防線。企業還必須優先考慮自然(使用/保護基礎代碼庫)和培育(操作最佳實踐,包括身份管理、數據加密)。最后,在DevSecOps世界中,企業需要將政策作為代碼納入其流程,以使額外的保護層制度化,并確保在不同環境中實施安全實踐。”
7.與政府機構密切合作,制定安全標準
Rapid7公司的首席安全研究員Deral Heiland說,“隨著越來越多的物聯網供應商尋求提高他們的品牌信任度,我預計在2023年,許多企業將采用自愿的產品安全標準,以超越競爭對手。我還希望物聯網供應商與政府機構進行更密切的合作,努力為物聯網技術制定安全標準。此外,隨著智能數字技術和物理世界交叉的新產品的發展和增長,我們將開始看到存在健康和安全問題的物聯網設備,供應商將被迫進行大規模召回,就像我們在汽車行業看到的那樣。”
8.對客戶的網絡安全實踐保持透明
Object First公司的產品營銷副總裁Tony Liau說,“公眾越來越意識到勒索軟件的威脅和數據隱私問題,因此,企業與客戶的互動和溝通方式將在2023年發生變化。隨著數據泄露變得越來越公開,企業需要在信息傳遞中更加透明,而不是試圖淡化或隱瞞事件,說明他們正在采取哪些措施來緩解問題并防止未來的網絡攻擊行為??蛻魧⑿蕾p這種誠實,并將更有可能與那些在網絡安全實踐方面開放和透明的企業進行合作。”
9.生成式人工智能應用將在安全工具中越來越受歡迎
Info-Tech研究集團的首席研究總監Fritz Jean-Louis說,“在日益萎縮的人才市場中,需要增加開支來應對所需的運營更新,以了解威脅環境,并引入經驗豐富的網絡專家。這將使首席信息安全官在快速而持續的數字化轉型時期與競爭對手保持同步。生成式人工智能的采用將繼續在安全工具中普及。它可以幫助檢測人類可能錯過的關鍵網絡異常、風險和模式。隨著軟件供應鏈攻擊越來越側重于識別零日漏洞,零信任架構正在從一些企業的偏好演變為行業標準?,F在有必要對業務進行持續核查。”
10.2023年優先考慮網絡彈性和降低風險
Perforce公司的Perfecto測試自動化實踐的首席布道者Eran Kinsbruner說,“儲存個人敏感數據的移動設備通常觸手可及,很容易成為惡意攻擊者的目標。企業必須在2023年優先考慮網絡彈性和降低風險戰略。為了實現這一點,團隊可以引入左移方法,在識別安全漏洞和弱點的開發過程中更早地實現代碼和策略。然而,最成功的團隊將在整個開發生命周期中以連續和敏捷的方式集成測試參數和檢查點——不僅僅是“向左移動”。希望看到更多的團隊將安全分析引入持續集成(CI)/持續交付(CD)管道,包括靜態代碼和動態分析活動,以及通過功能測試和模擬服務進行驗證。”
11.新法規將在物聯網領域引入強制性安全措施
Bitdefender公司的物聯網安全總監Dan Berte說,“物聯網漏洞將繼續存在。2023年將繼續困擾物聯網供應商的一個領域是,他們對安全研究人員聯系進行漏洞披露和補丁的反應緩慢(或缺乏)?!稓W盟網絡彈性法案》等新法規預計會帶來一些緩解,該法案將對在歐盟銷售的產品提出強制性的網絡安全要求,但該法規預計最早要到2025年才會生效。”
12.缺乏網絡安全文化將構成嚴重威脅
Epignosis公司的首席信息官Victor Kritakis說,“與前幾年一樣,企業將繼續與網絡釣魚、勒索軟件和DDoS作斗爭。遠程工作將繼續存在,隨之而來的是安全風險。不加防護的家庭網絡、未經培訓的員工以及網絡安全文化的缺失將對企業構成嚴重威脅,除非它們采取適當的預防措施。新的地緣政治現實隨著能源危機的發生,可能會對關鍵的能源基礎設施造成破壞。”
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號