(1)(ISC)²公司首席信息安全官 Jon France表示，對網絡安全保險的需求將會增加，但它將更難獲得

 

France說，“企業具有網絡安全意識有其優點和缺點，其中一個缺點是網絡安全保險的保費較高。僅在2022年第一季度，網絡安全保險的保費與2021年第四季度相比上漲了近28%。這主要是由于人們對勒索軟件攻擊、數據泄露、漏洞利用等網絡事件的財務和聲譽風險的認識有所提高。與此同時，網絡安全保險商對企業獲得保費的要求也更加嚴格，要求他們采用雙因素認證和采用EDR、XDR等特定技術。事實上，這些文件過去通常是兩頁的問卷調查，而現在它們是完整的審計報告，可能長達12頁以上。因此，提高網絡保險費用和提出更嚴格的保險要求將是2023年值得關注的障礙。

 

另一方面，由于供應鏈問題的發生率不斷上升，我們也可能會看到需求的增加。由于這些問題，企業可能會開始越來越多地要求與他們合作的任何供應商或第三方必須擁有網絡保險。正如我們已經開始看到的那樣，隨著地緣政治問題加劇，除了企業不斷面臨的網絡威脅之外，還將優先考慮保護他們最重要的資產(包括他們的聲譽)。2023年，網絡安全保險的需求將繼續增加，獲得這些保險的費用和要求也將繼續增加。”

 

(2)Jon France表示，經濟衰退將導致培訓項目開支的減少

 

France說，“盡管人們認為網絡安全可能是一個不受經濟衰退影響的行業，但在經濟衰退期間，網絡安全的人員和質量很可能會受到影響。到目前為止，我們還沒有看到網絡安全的核心預算被削減，但在其他的領域(例如培訓預算)可能會出現縮減。這既適用于各種規模的企業的安全意識培訓，也適用于培訓網絡安全專業人員如何充分保護其關鍵資產。該行業已經面臨著技能短缺的情況，不幸的是，隨著經濟衰退在2023年的持續，由于對熟練網絡安全人員的需求增加，技能短缺的情況可能會加劇。”

 

(3)舒達-席夢思集團信息安全和首席信息官副總裁Drew Perry表示，2023年將是動蕩的一年，因為各國和地方政府都在發布隱私法規

 

Perry說，“信息隱私的可見性和執行力將會繼續提高，但各國和地區的法規并不總是相互一致。首席信息安全官將在企業風險方面發揮更大的咨詢作用，因為他們被要求幫助瀏覽經常相互競爭的隱私規則，以使企業盡可能接近歷史規范。明智的企業在保護收益時將會采取必要的措施，所以首席信息安全官應該了解各種意見。在接下來的幾年里，在這些道路上游刃有余的首席信息安全官將受到追捧。”

 

(4)Zoom公司的首席信息官Michael Adams表示，安全領導者將加大對網絡彈性的關注

 

Adams說，“保護企業免受網絡威脅始終是安全計劃的核心重點領域，同時，我們可以預期，網絡彈性將得到越來越多的關注，這不僅包括安全保護，還包括在發生網絡事件時的恢復和連續性。企業需要不僅在防范網絡威脅方面投入資源，還要對人員、流程和技術進行投資，以減輕影響，并在發生網絡攻擊事件時繼續運營。”

 

(5)CardinalOps公司的首席執行官兼聯合創始人Michael Mumcuoglu表示，自動化與安全運營至關重要

 

Mumcuoglu說，“在2023年，我們將看到自動化進入仍然依賴人工流程的安全運營的少數剩余領域。這些領域包括威脅暴露管理，這有助于全面解決諸如‘我們如何準備來檢測和響應最有可能針對企業的對手?’的問題。另一個變得更加自動化的領域是檢測工程，它仍然高度依賴專業知識和部落知識。自動化不僅會降低這些風險，還會將安全運營中心(SOC)人員從日常任務中解放出來，使他們能夠專注于真正需要人類創造力和創新的更有趣的挑戰，例如威脅搜索和理解新的攻擊行為。”

 

(6)Solvo公司的首席執行官Shira Shamban表示，云原生漏洞將會增加

 

Shamban說，“我們不僅會看到整體安全事件的增加，而且具體來說是云原生漏洞將會增加。根據2022年進行的研究，將近一半的數據泄露發生在云中。隨著企業不斷將部分或整個基礎設施遷移到云端，我們將看到存儲在云端的數據泄露事件的增加，從而導致更多的云原生安全事件發生。應用程序必須以一種第三方可以信任的方式構建。由于這條供應鏈并不安全，在網絡攻擊者看來，在云中進行網絡攻擊的價值越來越大。”

 

(7)Theon Technology咨詢委員會成員Bryan Cunningham表示，量子解密將帶來威脅

 

Cunningham 說，“到2023年底，企業可能都將與量子解密的能力作斗爭。人們對未來量子解密威脅的認識在2022年有所增加，到2023年底，所有企業都將意識到他們將不得不面對這一威脅。”

 

(8)Hoxhunt公司的聯合創始人兼首席執行官Mika Aalto表示，需要加強網絡安全培訓

 

Aalto說，“2023年，我們將看到網絡安全培訓的持續進步。人類并沒有進化到能夠發現數字世界中的危險，而學校也沒有教授如何防御網絡攻擊的方法。讓所有人具備防范網絡釣魚攻擊的技能是網絡安全人員的責任。

 

自動化、自適應學習和人工智能/機器學習可以幫助企業大規模提供個性化培訓。為什么這很重要?因為人們需要經常參加相關的培訓，以保持和提高他們的技能水平。觀看枯燥的相關視頻，然后進行基于懲罰的網絡釣魚模擬，這些措施已經被證明不起作用。當人們在動態的學習環境中獲得技能時給予獎勵，將會帶來可衡量的技能提高。這種方法的成功基于行為科學和商業的既定原則，并將成為未來一年保護各種規模企業的關鍵。”

 

(9)Tigera公司的總裁兼首席執行官Ratan Tipirneni表示，網絡攻擊者日益職業化

 

Tipirneni說，“勒索軟件即服務的可用性不斷增加，這種模式為網絡攻擊者提供了復雜的漏洞分布，同時將他們與交易風險隔離開來，這將導致毫無準備的企業的安全狀況惡化。隨時可用的威脅和不安全的部署的綜合影響肯定會導致引人注目的網絡攻擊。在理想的情況下，這些網絡攻擊行為最終將使企業超越基準法規，并將安全作為一項基本工作。”

 

(10)Delinea公司的首席安全科學家和首席信息安全官Joseph Carson表示，人們要具備網絡安全知識和意識

 

Carson說，“構建網絡安全社會的需求將會增加基本的權利。這意味著網絡安全知識和意識將成為2023年的首要任務。隨著越來越多的企業希望獲得網絡保險作為金融安全防護網，以保護他們的業務免受數據泄露和勒索軟件攻擊造成的嚴重財務風險，需要制定可靠的網絡戰略才能獲得這樣的保險。

 

這意味著企業將在2023年持續提升網絡安全性。持續的遠程工作和云計算轉型意味著需要強大的訪問管理策略，并得到多因素身份驗證、密碼管理和持續驗證的支持，以降低風險。

 

除了實施更好的訪問安全控制之外，企業雇主還需要增強員工更好的網絡安全意識。這意味著持續的培訓和教育，以確保隨著網絡威脅的演變，員工了解情況并做好準備，成為網絡戰略的捍衛者。”

 

(11)SlashNext公司的首席執行官Patrick Harr表示，移動工作場所趨勢將為企業創造新的盲點

 

Harr說，“個人溝通渠道(游戲、LinkedIn、WhatsApp、Signal、Snapchat等)將在網絡攻擊者針對企業的攻擊路徑中發揮更大的作用。一旦個人用戶被泄露，網絡攻擊者就可以橫向移動，進入企業。由于電子郵件現在有一些保護措施，網絡攻擊者正把更多的注意力轉向其他通信渠道，并看到了更高的成功率。

 

在新的混合工作中，網絡安全的最大缺口來自員工的個人數據。隨著企業采用新的個人信息、交流和協作渠道，這些盲點變得越來越明顯。網絡攻擊者通過保護較少的個人通信渠道(例如WhatsApp、Signal、Gmail和Facebook Messenger)針對員工進行攻擊。然后，這就變成了一個從外部立足點橫向穿透企業的問題。

 

此外，越來越多的人同時在同一臺設備上完成工作和生活事項，這是一個重要的盲點。我認為這一趨勢將在今年加速。這一切都回到了：‘我如何驗證你是我正在與之交流的人?’或者這是可信的文件或公司網站鏈接嗎?

 

對任何企業來說，最大的威脅不再是機器安全，而是真正的人員安全因素。這就是為什么這些針對人類的網絡攻擊會繼續增加，因為人類容易犯錯，他們會分心，許多威脅不容易被識別為惡意的。”

 

(12)Keeper Security的首席執行官兼聯合創始人Darren Guccione表示，互聯設備將需要更強大的安全性

 

Guccione說，“物聯網設備的數量多年來一直在增長，并且沒有放緩的跡象。在過去三年中，由于2019年新冠疫情導致數字化轉型的加速以及云計算的普及，物聯網設備的數量呈指數級增長。2022年，全球物聯網市場規模預計將增長18%，物聯網設備將達到144億臺。隨著越來越多的消費者和企業依賴物聯網設備，這些設備變得更容易受到網絡攻擊。因此，物聯網設備制造商制造的數十億臺設備將需要更高的開箱即用安全性，以降低惡意軟件入侵的風險及其對分布式拒絕服務(DDoS)攻擊的貢獻。為了防止和減輕毀滅性的網絡攻擊，制造商和供應商必須在設備內部設計安全性，將其嵌入到連接設備的每一層。”

 

(13)Dig Security公司的首席執行官和聯合創始人Dan Benjamin表示，企業需要加強數據可見性和合規性

 

Benjamin說，“在2023年，首席信息安全官將優先考慮采用解決方案，為其企業持有的數據、數據所在位置以及數據帶來的風險提供可見性。對于安全領導者來說，這種可見性至關重要，因為他們要在高度監管的世界中構建項目，以滿足合規要求，并在日益具有挑戰性的威脅環境中保護數據。”

 

(14)Coalfire公司的副總裁Caitlin Johanson表示，要關注供應鏈安全

 

Johanson說，“在2022年，美國面臨更多的來自國外創建、開發和運行的B2B和B2C技術的風險和漏洞。這引發了許多問題，包括代碼和應用程序來自哪里，哪些數據被放入這些應用程序中，以及這些數據的主權是什么。2023年，我們將開始看到更多關于開發人員在哪里以及代碼來自哪里的審查，更多的企業將專注于軟件組合分析和安全代碼開發(應用程序安全)。基本上，就是質疑供應鏈的每一個環節。新冠疫情給供應鏈帶來了問題，在2023年，我們將開始更多地關注與國外軟件開發相關的供應鏈安全風險。”

 

(15)Hexagon Asset Lifecycle Intelligence公司的網絡生態系統全球總監Edward Liebig表示，ICS/OT技能差距將因前所未有的需求而擴大

 

Liebig 說，“研究表明，在過去一年半左右的時間里，絕大多數電力、石油和天然氣以及制造行業的企業都經歷過網絡攻擊。研究還表明，由于對熟練專業人員的高需求，網絡安全勞動力缺口正在擴大。除了多年來一直普遍存在的對關鍵基礎設施系統的嚴重威脅，隨著美國政府發布的更多法規，還需要更多專業的人員。此外，許多企業目前缺乏能夠成功整合IT和OT部門的安全實踐和嚴謹性的員工，隨著工業4.0在2023年的興起，這一點變得越來越重要。”

 

(16)VMware公司的首席網絡安全策略師Rick McElroy表示，元宇宙可能是下一個大事件，需要面對現實

 

McElroy說，“元宇宙的未來發展相對未知，因為它的采用仍處于起步階段，但企業將其推向市場的速度仍然快于安全社區所能接受的速度。在當前的數字世界中，我們已經看到了身份盜竊和深度偽造攻擊的例子，其中網絡攻擊者以企業高管為目標，在企業外部進行數十萬美元的電匯或交易。在虛擬現實的元宇宙中，類似的騙局不會增加。當我們開始展望2023年的時候，企業在提供這種新興技術的方法上需要謹慎和思考。將密碼引入到元宇宙中是一種違規行為。但如果我們仔細考慮用于識別用戶和部署持續身份驗證的控制措施，利用生物識別和密切監控用戶行為等不同因素，這將有助于緩解元宇宙的安全問題。”

 

(17)VMware公司的高級網絡安全策略師Karen Worstell表示，網絡風險管理將成為企業領導者的首要任務

 

Worstell說，“在網絡風險的治理和監督方面，我們的系統已經崩潰。它不再是15年前的樣子——我們正在處理更高的風險和脆弱的企業聲譽。因此在2023年，我們將看到企業加倍重視網絡風險管理。在確保充分控制和報告網絡攻擊的過程中，企業董事會需要有更明確的角色和責任。網絡風險治理不僅是首席信息安全官的領域，現在顯然是董事和高級管理人員的關注點。”

 

(18)惠普公司的系統安全研究與創新首席技術專家Boris Balacheff表示，2023年，復雜的固件攻擊將變得更加普遍，網絡犯罪分子將繼續投資于利用端點設備的物理訪問的攻擊

 

Balacheff說，“2023年，企業應該控制固件安全。在過去的一年，我們已經看到了網絡犯罪社區能力發展和交易的跡象——從入侵BIOS密碼的工具，到針對設備BIOS和統一可擴展固件接口 (UEFI)的rootkit和木馬。我們現在在網絡犯罪市場上可以看到售價幾千美元的固件rootkit。

 

復雜攻擊能力與不斷增長的需求齊頭并進。我們可以預見在網絡犯罪中看到更多這類產品的銷售，進而引發更多固件攻擊。

 

對固件級別的訪問使網絡攻擊者能夠獲得持久控制，并隱藏在設備操作系統之下，使它們很難被發現，更不用說移除和收回控制權。企業應該了解設備硬件和固件安全方面的行業最佳實踐和標準。他們還應該了解和評估可用于保護、檢測和從此類攻擊中恢復的最先進技術。”

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智（www.cioall.com）。同時運營18個IT行業公眾號（微信搜索D1net即可關注）。

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。