以下了解2023年網(wǎng)絡(luò)犯罪活動將如何演變，以及企業(yè)在未來一年可以做些什么措施來保護(hù)業(yè)務(wù)。

 

 

隨著供應(yīng)鏈的快速現(xiàn)代化和數(shù)字化，也出現(xiàn)了新的安全風(fēng)險。根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的預(yù)測，到2025年，全球45%的企業(yè)將經(jīng)歷對其軟件供應(yīng)鏈的攻擊，這與2021年相比增加了三倍。在以前，這種類型的攻擊甚至不太可能發(fā)生，因為供應(yīng)鏈沒有連接到互聯(lián)網(wǎng)。但供應(yīng)鏈現(xiàn)在需要得到更加妥善的保護(hù)。

 

圍繞軟件供應(yīng)鏈引入的新技術(shù)意味著可能還存在尚未被發(fā)現(xiàn)的安全漏洞，為了在2023年保護(hù)企業(yè)的業(yè)務(wù)，必須發(fā)現(xiàn)這些漏洞。

 

如果企業(yè)已經(jīng)在其技術(shù)堆棧中引入了新的軟件供應(yīng)鏈，或者計劃在2023年的某個時候這樣做，那么企業(yè)必須集成更新的網(wǎng)絡(luò)安全配置，雇用具有數(shù)字供應(yīng)鏈經(jīng)驗的人員和流程，以確保正確實施安全措施。

 

 

隨著智能手機(jī)在工作場所的使用越來越多，移動設(shè)備正成為網(wǎng)絡(luò)攻擊者的更大目標(biāo)，這應(yīng)該不足為奇。事實上，根據(jù)2022年Verizon移動安全指數(shù)(MSI)報告，涉及移動設(shè)備的網(wǎng)絡(luò)犯罪事件在去年增加了22%，而且在2023年到來之前并沒有放緩的跡象。

 

隨著網(wǎng)絡(luò)攻擊者對移動設(shè)備的攻擊，基于短信的身份驗證不可避免地變得不那么安全。即使是看似最安全的公司也容易受到對移動設(shè)備的網(wǎng)絡(luò)攻擊。例如，僅在過去一年，包括優(yōu)步和Okta在內(nèi)的幾家大公司就受到了涉及一次性密碼的安全漏洞的影響。

 

這就要求人們不再依賴基于短信的身份驗證，而是使用更安全的多因素身份驗證(MFA)。這可能包括使用時間敏感令牌的驗證器應(yīng)用程序，或者基于硬件或設(shè)備的更直接的驗證器。

 

企業(yè)需要采取額外的預(yù)防措施，通過實施幫助驗證用戶身份的軟件來防止網(wǎng)絡(luò)攻擊。根據(jù)世界經(jīng)濟(jì)論壇發(fā)布的《2022年全球風(fēng)險報告》，95%的網(wǎng)絡(luò)安全事件是由人為錯誤造成的。這一事實本身就強調(diào)了需要采用軟件應(yīng)用程序，以減少在驗證時人為錯誤的可能性。實現(xiàn)像Specops的安全服務(wù)臺這樣的工具有助于減少針對幫助臺的社交工程攻擊的漏洞，在服務(wù)臺實現(xiàn)安全的用戶驗證，而沒有人為錯誤的風(fēng)險。

 

 

隨著越來越多的企業(yè)選擇基于云的活動，云安全(任何保護(hù)存儲在云中的信息的技術(shù)、政策或服務(wù))應(yīng)該成為2023年及以后的首要任務(wù)。隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)犯罪分子變得越來越復(fù)雜，他們的策略也在不斷演變，這意味著云安全至關(guān)重要，因為企業(yè)更頻繁地依賴云安全。

 

針對基于云計算的網(wǎng)絡(luò)犯罪最可靠的保護(hù)措施是零信任理念。零信任背后的主要原則是自動驗證一切，也就是基本上不相信沒有某種授權(quán)或檢查的任何人。當(dāng)涉及到保護(hù)存儲在云中的數(shù)據(jù)和基礎(chǔ)設(shè)施免受威脅時，這種安全措施至關(guān)重要。

 

 

勒索軟件攻擊繼續(xù)以驚人的速度增加。根據(jù)Verizon公司的調(diào)查，勒索軟件漏洞2022年同比增長13%。美國聯(lián)邦調(diào)查局(FBI)表示，勒索軟件攻擊也變得越來越有針對性——醫(yī)療保健、食品和農(nóng)業(yè)等行業(yè)是最新成為受害者的行業(yè)。

 

隨著勒索軟件威脅的增加，勒索軟件即服務(wù)(RaaS)的使用也在增加。當(dāng)勒索軟件犯罪分子將其基礎(chǔ)設(shè)施出租給其他網(wǎng)絡(luò)犯罪分子或團(tuán)伙時，這一現(xiàn)象日益嚴(yán)重。勒索軟件即服務(wù)(RaaS)套件使威脅行為者更容易快速和經(jīng)濟(jì)地部署攻擊，這對任何領(lǐng)導(dǎo)網(wǎng)絡(luò)安全協(xié)議和程序的人來說都是一個危險的組合。要增加對使用勒索軟件即服務(wù)(RaaS)的威脅參與者的保護(hù)，需要獲得最終用戶的幫助。

 

最終用戶處在企業(yè)對抗勒索軟件攻擊的最前沿，但他們需要適當(dāng)?shù)陌踩嘤?xùn)以確保他們受到保護(hù)。確保網(wǎng)絡(luò)安全程序具有清晰的文件記錄，并定期實施，這樣用戶就可以對安全漏洞保持警惕。在企業(yè)中盡可能采用密碼策略軟件、多因素身份驗證(MFA)和電子郵件安全工具等備份措施也可以減輕最終用戶的網(wǎng)絡(luò)安全負(fù)擔(dān)。

 

 

談到2023年的網(wǎng)絡(luò)安全，不能不提到數(shù)據(jù)隱私法規(guī)。隨著新的數(shù)據(jù)隱私法規(guī)將于2023年在美國生效，現(xiàn)在是評估當(dāng)前的程序和系統(tǒng)的時候，以確保它們符合規(guī)定。這些針對美國各州的新法律只是一個開始。隨著越來越多的州可能在未來幾年制定新的隱私法規(guī)，企業(yè)審查其合規(guī)性將是明智的。

 

數(shù)據(jù)隱私法規(guī)通常要求企業(yè)改變存儲和處理數(shù)據(jù)的方式，如果執(zhí)行不當(dāng)，可能會給企業(yè)帶來額外的風(fēng)險。因此，企業(yè)需要確保遵守適當(dāng)?shù)木W(wǎng)絡(luò)安全協(xié)議，包括如上所述的零信任。

 

 

國內(nèi)主流的to B IT門戶，同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智（www.cioall.com）。同時運營18個IT行業(yè)公眾號（微信搜索D1net即可關(guān)注）。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。