人們在2023年會在網(wǎng)絡(luò)安全方面看到什么樣的發(fā)展趨勢? AWS公司有關(guān)網(wǎng)絡(luò)安全方面的一些負責人對2023年網(wǎng)絡(luò)安全的發(fā)展趨勢進行了預測。
多因素身份驗證將變得更加普遍
AWS公司首席信息安全官CJ Moses表示,多因素身份驗證在商業(yè)和個人用途上的采用將繼續(xù)增長,包括越來越多地使用生物特征形式的身份驗證,以提高安全性和便利性(使用指紋或面部識別解鎖設(shè)備)。
通過向這個方向發(fā)展,多因素身份驗證在未來將把強大的安全性與可用性結(jié)合起來,確保用戶在改善安全狀況的同時擁有無摩擦的體驗。作為最簡單和最重要的保護措施之一,多因素身份驗證被FIDO聯(lián)盟、美國國家標準與技術(shù)研究院(NIST)和美國政府鼓勵作為在線保護的基準,美國政府最近發(fā)表聲明,敦促所有公司采用多因素身份驗證。
在過去幾年里,各國政府和企業(yè)越來越重視網(wǎng)絡(luò)安全問題,這意味著多因素身份驗證將需要更多地用于滿足日益嚴格的安全要求和期望。
企業(yè)應(yīng)該監(jiān)控多因素身份驗證在未來幾年的進展,看看他們?nèi)绾胃倪M現(xiàn)有能力或?qū)⑿碌亩嘁蛩厣矸蒡炞C能力構(gòu)建到企業(yè)的文化和流程中。
對勞動力的背景的日益包容將解決人才缺口問題
亞馬遜公司安全總監(jiān)Jenny Brinkley表示,解決持續(xù)的安全人才勞動力短缺問題將是許多企業(yè)的首要任務(wù)。在2023年,越來越多的企業(yè)將會越來越意識到,吸引來自不同背景的最優(yōu)秀人才不僅有助于填補關(guān)鍵的空缺職位,還將幫助企業(yè)改善其整體安全態(tài)勢。
企業(yè)以不同的方式構(gòu)建、創(chuàng)造、思考和交付,這是解決不斷變化的安全問題的主要好處。有了更加多樣化的思維方式,不同的觀點開始發(fā)揮作用,使安全團隊對他們必須保持安全的數(shù)字環(huán)境和物理環(huán)境都有新的和獨特的看法。
新的思維方式對網(wǎng)絡(luò)安全團隊來說是極其重要的,因為它減少了多年的偏見和群體思維,并有助于解除信念的限制。不同的背景和團隊也有助于確定如何支持關(guān)鍵的業(yè)務(wù)計劃和目標。安全團隊對于其他團隊來說不再是監(jiān)督部門,而是可以提供幫助的伙伴,在一個多元化的團隊結(jié)構(gòu)中,這種組織思維模式是可行和有效的。
合作將改善準備和事件響應(yīng)
AWS公司的首席信息安全官辦公室主任Mark Ryland表示,安全行業(yè)及其所支持的數(shù)字環(huán)境已經(jīng)從2022年的合作中受益,這一趨勢將持續(xù)下去。“更好的合作”的模式將在2023年及以后獲得動力。
例如,隨著最近建立的開放網(wǎng)絡(luò)安全模式框架獲得新成員,集體防御將得到改善,使安全團隊能夠更容易地關(guān)聯(lián)更多數(shù)據(jù)源,以更少的時間完成他們的工作,并使用增強的數(shù)據(jù)主動改善安全狀況。
更多的企業(yè)將會看到為工程工作和項目、工具、培訓和指南做出貢獻的價值,以幫助標準化整個行業(yè)的安全工具和數(shù)據(jù)格式,包括來自開源安全基金會(OpenSSF)成員的重要貢獻。
網(wǎng)絡(luò)安全培訓將促進有效行動并提高安全性
亞馬遜公司安全部門全球安全培訓主管Jyllian Clarke表示,培訓和教育是實施良好安全措施的關(guān)鍵。即使使用最強大和現(xiàn)代的工具,只有當人們知道該做什么以及如何做時,安全性才有效。任何接觸數(shù)據(jù)或構(gòu)建存儲數(shù)據(jù)的工具和系統(tǒng)的人員都必須被賦予保護這些數(shù)據(jù)的權(quán)利。
大多數(shù)員工并不從事網(wǎng)絡(luò)安全保護工作,他們的職位中也沒有“安全”這一術(shù)語,這可能會導致他們認為安全是別人需要解決的問題。任何形式和規(guī)模的企業(yè)都必須激勵員工關(guān)心安全,并授權(quán)他們采取有意義的行動來確保網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全培訓需要包括一個全面的心態(tài),幫助每個人在企業(yè)的各個層面都將網(wǎng)絡(luò)安全問題作為一個業(yè)務(wù)問題來對待。
隨著企業(yè)不斷尋找吸引員工并改善安全結(jié)果的方法,新的最佳實踐包括開發(fā)個性化的多模式學習計劃,該計劃包含多種演示、討論和動手實驗創(chuàng)造性地吸引所有學習風格。幫助員工清楚地理解安全最佳實踐背后的原因是必要的。這可以通過分享現(xiàn)實世界的例子、經(jīng)驗教訓和案例研究來實現(xiàn),這些例子說明了為什么他們所做的一切都必須把安全放在第一位。
對于技術(shù)人員和非技術(shù)人員來說,需要了解個人行為如何影響網(wǎng)絡(luò)安全,無論是積極的還是消極的,都能建立共同的責任感,從而改善網(wǎng)絡(luò)安全狀況,并將網(wǎng)絡(luò)安全作為一項功能優(yōu)先考慮,而不是事后考慮的事項。多式聯(lián)運安全培訓輔以持續(xù)的意識模式,在日常工作中培養(yǎng)網(wǎng)絡(luò)安全文化,讓員工了解并參與其中,同時為他們完成工作提供幫助。
嵌入式安全通過基礎(chǔ)設(shè)施即代碼將變得更加切實
AWS公司首席信息安全官辦公室負責人Merritt Baer表示, 網(wǎng)絡(luò)安全仍然是最重要的,越來越多的企業(yè)將業(yè)務(wù)轉(zhuǎn)移到云平臺,因為他們希望在產(chǎn)品開發(fā)生命周期的早期“左移”網(wǎng)絡(luò)安全,以獲得更好、更可擴展的軟件開發(fā)方法。現(xiàn)在,云計算提供商已經(jīng)消除了構(gòu)建和維護數(shù)據(jù)中心的繁重工作,并投資于開發(fā)安全硬件,云計算的強大功能和靈活性使企業(yè)能夠在不可變和短暫的環(huán)境中運營。
這是一個明顯的業(yè)務(wù)推動者:它使開發(fā)人員能夠快速移動并構(gòu)建安全性。這意味著只要敲擊鍵盤或移動鼠標,財富100強企業(yè)和小型創(chuàng)業(yè)公司現(xiàn)在都有能力采用基礎(chǔ)設(shè)施即代碼(IaC),利用模板(包括安全控制、許可和保護)。換句話說,現(xiàn)在他們也可以將安全視為代碼。
這些具有嵌入式安全考慮的環(huán)境是安全團隊幫助定義和改進“鋪就的道路”,使開發(fā)人員能夠快速運行運營環(huán)境。其結(jié)果是更加自動化,更少的人工審查一次性環(huán)境,更好的構(gòu)建者體驗和大規(guī)模的安全性。隨著云計算應(yīng)用的增加,“云計算”和“安全”將更好地交織在一起,因為云計算使構(gòu)建者能夠?qū)踩紤]因素納入他們的代碼和架構(gòu)決策中。
期待這能成為將安全放在首位的所有團隊的一個例子:讓安全的事情成為容易的事情。
企業(yè)將增加投資并關(guān)注業(yè)務(wù)彈性
AWS公司企業(yè)戰(zhàn)略總監(jiān)Clarke Rodgers表示, 隨著數(shù)字化轉(zhuǎn)型和云計算應(yīng)用項目在各行業(yè)領(lǐng)域的普及,安全和運營彈性將受到利益相關(guān)者、股東、董事會、保險公司和其他人越來越多的審查。由IT部門每年一兩次測試業(yè)務(wù)連續(xù)性計劃和程序?qū)⒉辉僮銐颉?/div>
必須開發(fā)具有彈性的、高可用性的技術(shù)架構(gòu)和支持業(yè)務(wù)流程,并檢查在最糟糕的情況下可能出現(xiàn)的問題。預算將包括“持續(xù)維護和改進”項目,以確保系統(tǒng)在退役前不僅具有高性能,而且具有安全性和彈性。隨著自動化的力量和云計算技術(shù)的規(guī)模,在沒有人為干預的情況下重建安全、有彈性的環(huán)境將不再只是一個夢想。
企業(yè)領(lǐng)導者將變得更加精通數(shù)字化,并增加投資,真正改變他們的經(jīng)營方式(創(chuàng)新、組織結(jié)構(gòu)、業(yè)務(wù)流程、提升/再培訓),他們將為挑戰(zhàn)組織彈性的事件做準備。企業(yè)高管和董事會將定期參加桌面/比賽日演習,回答“如果……會怎么樣?”的問題。
例如,如果遇到網(wǎng)絡(luò)安全事件(對企業(yè)或供應(yīng)商/合作伙伴),關(guān)鍵業(yè)務(wù)系統(tǒng)是否可用?遇到經(jīng)濟衰退、與天氣有關(guān)的不利影響、戰(zhàn)爭的負面影響以及其他事件將如何應(yīng)對?
通過繼續(xù)學習和轉(zhuǎn)型(數(shù)字化轉(zhuǎn)型沒有終點),企業(yè)將在2023年變得更安全、更有彈性。
有了專門的工具,能見度將會提高
亞馬遜公司安全數(shù)據(jù)湖總經(jīng)理Rod Wallace表示,加速的數(shù)字化轉(zhuǎn)型、遠程工作、更多的物聯(lián)網(wǎng)設(shè)備、新技術(shù)以及對移動性和訪問的需求,為安全團隊創(chuàng)造了不斷增長的需要保護的環(huán)境。來自企業(yè)的越來越多的安全信號將產(chǎn)生越來越多的不同日志和事件數(shù)據(jù),必須快速收集、調(diào)查和響應(yīng)這些數(shù)據(jù),以有效地解決潛在問題。
在未來幾年,安全數(shù)據(jù)湖等專用工具的部署將不斷增加,這將使安全團隊能夠自動集中、輕松訪問和更有效地分析來自云計算和內(nèi)部部署來源的所有安全數(shù)據(jù)。這種更高的可見性,意味著可以主動識別更多的潛在威脅和漏洞,以幫助預防未來的安全事件。
云安全將隨著自動推理而增強
AWS公司自動化推理副總裁和杰出科學家Byron Cook表示,自動化推理使人們能夠在幾秒鐘甚至更快地準確回答許多安全問題,否則用暴力測試可能需要大量的時間。根據(jù)預測,在可預見的未來,自動推理工具的容量和性能將每年翻一番。這一預測基于以下三點:
•實際上,所有的自動化推理工具都是基于將問題轉(zhuǎn)換為數(shù)學邏輯的有效的解決方案。當比較過去20年在相同的基準和硬件上的可滿足性求解器時,可以看到它們的容量和性能以每年20%的速度增長。
•摩爾定律繼續(xù)提供額外的、每年都在增長的計算能力,以解決可以并行化和分布的問題。
•最近的科學結(jié)果為人們提供了一種新的突破性方法,可以在微處理器之間分配工作,從而提供了接近阿姆達爾定律理論極限的速度。
當這三點放在一起時,計算表明年產(chǎn)能和性能有可能翻一番。這種不斷增長的能力將釋放出新的革命性的云安全工具,這在當今是無法想象的。
安全團隊將更加重視量子密碼技術(shù)
AWS公司密碼學高級工程師Matthew Campagna表示,2023年,企業(yè)將開始更加重視加密敏捷性。美國國家標準與技術(shù)研究所(NIST)預期的后量子密碼(PQC)標準化過程和《量子計算網(wǎng)絡(luò)安全準備法案》的第一份規(guī)范草案將推動IT領(lǐng)導者開始從經(jīng)典密碼系統(tǒng)過渡到新的后量子算法。
人們還將看到行業(yè)和政府為已知的密碼學用例制定遷移策略。例如,隨著混合密鑰建立的出現(xiàn),經(jīng)典密鑰建立方法的使用(例如橢圓曲線Diffie-Hellman)與新的后量子密鑰封裝機制(如Kyber)的結(jié)合將被用于后量子標準的第一次迭代,以提供針對未來潛在量子對手的長期機密性。
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
關(guān)鍵字:網(wǎng)絡(luò)安全多因素身份驗證首席信息安全官
京公網(wǎng)安備 11010502049343號