人們可能永遠(yuǎn)不會(huì)聽到這樣的新年預(yù)測:“IT安全問題解決了!”
當(dāng)然,也許一些供應(yīng)商會(huì)在他們的宣傳材料中融入這種信息,但明智的IT專業(yè)人士知道這是不切實(shí)際的。網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)總是一直存在,除非人類回到農(nóng)耕或狩獵的原始生活,否則將永遠(yuǎn)如此。
這是因?yàn)镮T系統(tǒng)和運(yùn)行它們的專業(yè)人員總是容易出錯(cuò),總是會(huì)有惡意的系統(tǒng)和專業(yè)人員試圖利用這一現(xiàn)實(shí)。
在2023年,IT安全肯定不是一個(gè)新問題或暫時(shí)的問題,而是一個(gè)動(dòng)態(tài)問題,因?yàn)榫W(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)攻擊者不斷發(fā)生變化,即使一些基本的要素(如跨多個(gè)帳戶共享或重用憑據(jù))保持不變。
在這種情況下,IT領(lǐng)導(dǎo)者需要在2023年關(guān)注網(wǎng)絡(luò)安全的以下六個(gè)趨勢(shì):
1.供應(yīng)鏈安全仍然是一個(gè)焦點(diǎn),但這項(xiàng)工作才剛剛開始
“趨勢(shì)”這一術(shù)語有時(shí)意味著“新趨勢(shì)”,但在IT安全領(lǐng)域,它更可能表明一種長期的轉(zhuǎn)變,例如軟件供應(yīng)鏈安全。在2022年甚至更早之前,這是一個(gè)熱門的安全話題。這將是2023年持續(xù)關(guān)注的一個(gè)領(lǐng)域。
如今的軟件供應(yīng)鏈與以往一樣多樣化,軟件通常是由其他軟件構(gòu)建而成的,因此確保這些供應(yīng)鏈的安全性將需要長期的承諾。
2023年可能會(huì)有什么新變化?雖然人們一直在談?wù)撥浖?yīng)鏈安全問題,但他們還沒有在預(yù)算方面進(jìn)行支持。
Red Hat公司技術(shù)布道者Gordon Haff表示,“Red Hat公司最新的全球技術(shù)展望報(bào)告表明,軟件供應(yīng)鏈安全在IT決策者中仍然是一個(gè)較低的安全融資優(yōu)先事項(xiàng)。這表明,對(duì)于許多企業(yè)來說,需要制定處理供應(yīng)鏈安全的一個(gè)良好計(jì)劃,如果他們還沒有這樣做的話。”
對(duì)于許多企業(yè)來說,這可能不需要超出預(yù)算的財(cái)務(wù)承諾,這是一個(gè)領(lǐng)導(dǎo)層承諾、計(jì)劃和流程改進(jìn)的問題。
Haff說:“這可能不需要大量投資,但它確實(shí)需要一個(gè)計(jì)劃和流程來降低未來的風(fēng)險(xiǎn)。”
與此同時(shí),Kubernetes安全作為更廣泛的軟件供應(yīng)鏈實(shí)力基礎(chǔ)的重要性也將得到越來越多的關(guān)注。
Corsha公司基礎(chǔ)設(shè)施主管Alex Meijer表示:“Kubernetes的供應(yīng)鏈安全將得到更多的重視。”Meijer希望看到容器圖像簽名和驗(yàn)證之類的應(yīng)用越來越多。
Meijer的同事、Corsha公司基礎(chǔ)設(shè)施工程師Robert Batson也看到了新興工具的前景——Batson以Sigstore的準(zhǔn)入控制器為例。他說,“將供應(yīng)鏈安全擴(kuò)展到托管應(yīng)用程序的集群,并加入引導(dǎo)集群的工具列表,以處理傳統(tǒng)意義上的可觀察性和安全性等問題。”
2.2023年對(duì)于NIST網(wǎng)絡(luò)安全框架來說是重要的一年
毫無疑問,安全專家很了解美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)網(wǎng)絡(luò)安全框架,這是一套用于管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和提高企業(yè)安全態(tài)勢(shì)的公開標(biāo)準(zhǔn)和實(shí)踐。但這并不意味著他們的雇主必須遵守這一框架,特別是如果他們的行業(yè)或企業(yè)不需要這樣做。
Beachhead Solutions公司的副總裁Cam Robertson預(yù)計(jì),2023年將是人們對(duì)NIST框架感興趣和使用的重要一年,即使它不是強(qiáng)制性的。
Robertson說:“越來越多的企業(yè)意識(shí)到,即使他們不一定受到NIST網(wǎng)絡(luò)安全框架的約束,該框架仍然提供了特別全面的安全指導(dǎo)和最佳實(shí)踐,適用于許多其他政府要求的授權(quán)(如CMMC或DFARS)以及其他行業(yè)特定的授權(quán)(HIPAA等法規(guī)),企業(yè)必須確保持續(xù)遵守。”
以前一直糾結(jié)于從何處開始的企業(yè)和團(tuán)隊(duì)(網(wǎng)絡(luò)安全是一個(gè)巨大而持續(xù)的挑戰(zhàn),以及如何采取可衡量的行動(dòng)),將在NIST這樣的框架中找到各種各樣的路線圖。
Robertson說:“NIST框架提供的五個(gè)‘核心功能’和100多個(gè)子類別深入研究了首席信息官、首席信息安全官和安全專業(yè)人員如何識(shí)別和檢測威脅,然后根據(jù)需要做出反應(yīng)并從中恢復(fù)。”
對(duì)于其他廣泛使用的標(biāo)準(zhǔn)和工具,例如CIS Kubernetes Benchmark或MITRE ATT&CK框架,也可能如此。
Robertson認(rèn)為,由于其深度和廣度,NIST框架可能在2023年成為一個(gè)熱門話題。
他說:“數(shù)據(jù)違規(guī)和合規(guī)漏洞的風(fēng)險(xiǎn)太高了,NIST框架將在2023年繼續(xù)崛起,將成為跨行業(yè)的標(biāo)準(zhǔn),這也許會(huì)成為事實(shí)上的標(biāo)準(zhǔn),企業(yè)可以將其作為安全戰(zhàn)略。我們將看到更多的企業(yè)努力獲得NIST框架的合規(guī)性。”
3.隨著邊緣計(jì)算的增長,對(duì)邊緣計(jì)算安全性的需求也在增長
隨著新的IT范式變得越來越普遍,例如云計(jì)算是過去十年最突出的例子之一,范式的安全性也不可避免地變得至關(guān)重要。
隨著邊緣計(jì)算策略在未來一年被許多IT領(lǐng)導(dǎo)者所關(guān)注,邊緣計(jì)算安全肯定會(huì)引起更多關(guān)注。
就像云計(jì)算一樣,邊緣計(jì)算從根本上來說并不比集中式模型更不安全,它只是引入了新的或不同的風(fēng)險(xiǎn)和挑戰(zhàn)。
正如Asimily公司產(chǎn)品管理高級(jí)總監(jiān)Jeremy Linden所說的那樣:“邊緣計(jì)算可能帶來更多的復(fù)雜性,這可能會(huì)使整個(gè)系統(tǒng)的安全變得更加困難。不過,邊緣計(jì)算在本質(zhì)上沒有什么不安全的地方。”
與其相反,邊緣安全從根本上需要與任何IT安全領(lǐng)域相同的措施:適當(dāng)?shù)囊?guī)劃和優(yōu)先級(jí)。2023年將是奠定基礎(chǔ)的重要一年。
4.對(duì)人工智能/機(jī)器學(xué)習(xí)工作負(fù)載的需求也在增長
從簡單的意義上說,可以用人工智能/機(jī)器學(xué)習(xí)代替上面的邊緣計(jì)算來說明同樣的原則:隨著越來越多的企業(yè)在生產(chǎn)中運(yùn)行越來越多的機(jī)器學(xué)習(xí)模型和其他形式的人工智能,這些工作負(fù)載將成為網(wǎng)絡(luò)攻擊者更加有利可圖的目標(biāo)。人工智能/機(jī)器學(xué)習(xí)一直是流行的趨勢(shì);人工智能/機(jī)器學(xué)習(xí)安全還沒有改變,但這應(yīng)該會(huì)在未來一年發(fā)生變化。
HiddenLayer公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Christopher Tito Sestito特別希望首席信息安全官和其他IT領(lǐng)導(dǎo)者擴(kuò)展零信任方法,并將其原則和實(shí)踐應(yīng)用于人工智能/機(jī)器學(xué)習(xí)。
Sestito說:“2022年是政府部門加強(qiáng)對(duì)人工智能/機(jī)器學(xué)習(xí)安全監(jiān)管的一年,也是通過自動(dòng)攻擊工具加速機(jī)器學(xué)習(xí)攻擊的一年。其結(jié)果將對(duì)首席信息安全官提出更多要求,以保護(hù)他們的人工智能/機(jī)器學(xué)習(xí)。”
Sestito補(bǔ)充說,MITRE人工智能對(duì)抗威脅景觀(ATLAS)框架等資源將使首席信息安全官及其團(tuán)隊(duì)能夠快速評(píng)估和實(shí)施所需的安全控制,并立即與現(xiàn)有的零信任框架集成。
5.仍然知道安全供應(yīng)商在哪里嗎?
人們關(guān)注的是IT技術(shù)和IT領(lǐng)導(dǎo)力,而不是股市預(yù)測或宏觀經(jīng)濟(jì)分析。但如果查看財(cái)經(jīng)新聞網(wǎng)站或訂閱信息,就會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)安全總會(huì)成為頭條新聞。人們普遍認(rèn)為2023年可能會(huì)帶來科技行業(yè)的整合和變革。
Haff說:“許多市場觀察人士認(rèn)為,在2023年,那些沒有強(qiáng)大價(jià)值主張和收入流的科技供應(yīng)商的行業(yè)地位將會(huì)改變。IT決策者應(yīng)該評(píng)估他們的供應(yīng)商是否擁有強(qiáng)大的市場地位。”
這是一個(gè)普遍的事實(shí),但在IT安全領(lǐng)域尤其重要,供應(yīng)商市場在最近幾年得到了極大的擴(kuò)展,特別是在云計(jì)算/云原生領(lǐng)域。
Haff說:“這當(dāng)然包括安全領(lǐng)域,在這個(gè)領(lǐng)域,初創(chuàng)公司以經(jīng)常重疊和相對(duì)無差別的方式實(shí)現(xiàn)云原生安全的爆炸式增長。”
供應(yīng)商管理是任何IT領(lǐng)導(dǎo)者角色的一部分,在2023年,可能值得更密切地關(guān)注投資組合,尤其是在安全工具方面。
6.表現(xiàn)最好的安全機(jī)構(gòu)會(huì)建立自己的人才管道
在圍繞招募和留住技術(shù)人才的挑戰(zhàn)展開的廣泛討論中,IT安全技能短缺通常是一個(gè)主要的話題。
最近出現(xiàn)的一個(gè)趨勢(shì)是,戰(zhàn)略IT領(lǐng)導(dǎo)者和企業(yè)不只是等待他人來解決這個(gè)特定的問題。他們正在投資于自己的安全人才管道,并確保能夠接觸到最廣泛的受眾。
Sestito表示:“我們預(yù)測,通過針對(duì)代表性不足群體的項(xiàng)目,表現(xiàn)優(yōu)秀的企業(yè)將繼續(xù)關(guān)注網(wǎng)絡(luò)勞動(dòng)力的多元化。這些企業(yè)意識(shí)到,他們能否在市場競爭中獲勝、克服復(fù)雜挑戰(zhàn)、吸引和留住客戶的能力取決于在全球擁有一支敬業(yè)和多元化的員工隊(duì)伍,并將進(jìn)行相應(yīng)的投資。”
Sestito指出,這也不是一個(gè)固定的趨勢(shì)。實(shí)際上,擴(kuò)大網(wǎng)絡(luò)安全人才庫是一項(xiàng)長期戰(zhàn)略,不是短期就能解決的問題。
Sestito說,“這不是每年制定的人力資源戰(zhàn)略,與其相反,這是企業(yè)范圍內(nèi)的文化的一個(gè)轉(zhuǎn)變,需要多年的關(guān)注和投入。”
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)