盡管在2021年至2022年間,網(wǎng)絡(luò)安全預(yù)算有所增長,但近幾年的增長勢頭已明顯放緩。這意味著,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者在采購決策時,必須更加審慎地考慮如何改善當(dāng)前的安全和合規(guī)狀況,以確保每一分投入都能帶來實實在在的效益。
那么,如何在2025年優(yōu)化企業(yè)的網(wǎng)絡(luò)安全預(yù)算,以有效應(yīng)對不斷演變的威脅呢?領(lǐng)導(dǎo)層需要深入了解當(dāng)前的網(wǎng)絡(luò)安全格局,并明確哪些舉措能夠幫助他們恰當(dāng)?shù)鼐徑怙L(fēng)險。
AI:憑證安全的“隱形殺手”
雖然現(xiàn)在的AI模型不會像科幻電影中的終結(jié)者那樣,用深沉且?guī)Э谝舻穆曇粽f出“我會回來的”,但它們正以更加隱蔽的方式威脅著我們的網(wǎng)絡(luò)安全。不法分子越來越頻繁地利用ChatGPT等AI模型創(chuàng)建深度偽造內(nèi)容,以改進(jìn)他們的社會工程攻擊。
過去,零信任的口號是“信任但驗證”,而如今,這一格言已演變?yōu)?ldquo;不信任任何事物和任何人”。隨著惡意行為者利用AI和大型語言模型(LLM),社會工程攻擊變得愈發(fā)逼真,攻擊者能夠輕松模仿現(xiàn)實世界中人們的物理和數(shù)字存在。例如,網(wǎng)絡(luò)犯罪分子只需將CEO社交媒體個人資料中的內(nèi)容輸入AI,然后使用“以該個人的風(fēng)格撰寫”的提示,就能生成看似合法的釣魚郵件。這使得人們難以區(qū)分真假信息,從而增加了憑證被盜用的風(fēng)險。
為了應(yīng)對這一挑戰(zhàn),企業(yè)需要制定全面的身份策略,以識別所有用戶并了解他們的正常行為。如果沒有這些能力,幾乎無法識別因憑證被盜用而產(chǎn)生的異常活動。
初始訪問方法的“商品化”擴(kuò)大了攻擊面
惡意行為者繼續(xù)將漏洞利用作為獲取初始訪問權(quán)限的主要方法。一旦他們識別出可利用的漏洞,就會使用略有不同的攻擊路徑來入侵系統(tǒng)。當(dāng)我們將視角放大,審視整個網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)時,初始訪問問題就顯得更加有意義了。
在暗網(wǎng)上,網(wǎng)絡(luò)犯罪分子越來越專注于自己的細(xì)分專業(yè)領(lǐng)域。例如,初始訪問中介(IAB)專注于獲取目標(biāo)系統(tǒng)的訪問權(quán)限,然后在暗網(wǎng)或Telegram頻道上出售這些訪問權(quán)限。無論他們出售的是與漏洞相關(guān)的訪問權(quán)限還是被盜的憑證,這一生態(tài)系統(tǒng)都使得不那么老練的網(wǎng)絡(luò)犯罪分子能夠部署更復(fù)雜的攻擊。
對于中型和大型企業(yè)而言,由于它們更可能成為攻擊者的目標(biāo),因此風(fēng)險緩解策略可能包括更頻繁、更廣泛地輪換密碼,以降低憑證被盜用的風(fēng)險。
身份管理:安全的核心與挑戰(zhàn)
身份一直是安全的核心,并且這一地位將不會改變。雖然企業(yè)可能對其人類用戶和身份有深入的了解和管理,但在管理非人類身份(如服務(wù)賬戶)方面卻越來越吃力。
隨著機器與機器之間的通信以及跨應(yīng)用程序使用的身份數(shù)量爆炸式增長,惡意行為者越來越多地將機器對機器和應(yīng)用程序?qū)C器的身份作為攻擊向量。技術(shù)債務(wù)、混亂和不明確的訪問路線為攻擊者創(chuàng)造了額外的機會。特別是在多云和混合基礎(chǔ)設(shè)施中,惡意行為者可以利用多條訪問路線來入侵系統(tǒng)。
服務(wù)賬戶可能帶來的風(fēng)險包括開發(fā)人員創(chuàng)建的安全變通方法、第三方供應(yīng)商的系統(tǒng)以及密碼策略未更新的舊設(shè)備、賬戶和權(quán)限等。因此,識別和管理服務(wù)賬戶將是關(guān)鍵的安全風(fēng)險緩解策略。企業(yè)需要明確定義這些賬戶可以做什么和不可以做什么,并像對人類管理員賬戶一樣嚴(yán)格執(zhí)行這些策略。
合規(guī):不可或缺的一環(huán)
本杰明·富蘭克林曾斷言:“世界上除了死亡和稅收之外,沒有什么是確定的。”如果他今天還在世,他可能會加上“還有數(shù)據(jù)保護(hù)法規(guī)”。盡管全球范圍內(nèi)出現(xiàn)了一些放松管制的舉措,但網(wǎng)絡(luò)安全卻是個例外。立法和監(jiān)管機構(gòu)將繼續(xù)加倍努力,確保公司保護(hù)消費者和員工的信息。
企業(yè)應(yīng)投資于能夠生成強大合規(guī)文檔的解決方案,并能夠跨多個法律、法規(guī)和框架進(jìn)行映射。這將有助于企業(yè)滿足不斷變化的合規(guī)要求,并證明其已采取了適當(dāng)?shù)陌踩胧?/p>
網(wǎng)絡(luò)風(fēng)險保險:更嚴(yán)格的審查與監(jiān)控
在商業(yè)世界中,網(wǎng)絡(luò)保險被視為一種轉(zhuǎn)移安全事件成本的方式。然而,近年來網(wǎng)絡(luò)保險提供商對于應(yīng)該賠付公司哪些費用變得越來越謹(jǐn)慎,并更新了他們的保險范圍和除外條款以變得更加嚴(yán)格。甚至最初獲得保險的要求也變得顯著更加苛刻。
為了獲得網(wǎng)絡(luò)責(zé)任保險的批準(zhǔn),企業(yè)需要回答保險承保人提出的越來越具體的問題,并提供持續(xù)的控制監(jiān)測來支持這些回答。這意味著企業(yè)需要更有效地實施、維護(hù)和監(jiān)控安全控制,以滿足保險公司的要求。
減少用戶摩擦:提高安全采用率的關(guān)鍵
企業(yè)需要部署更多的安全產(chǎn)品、制定更深入的安全策略,并以更嚴(yán)格的方式監(jiān)控其環(huán)境。然而,每次添加新的控制措施時,都會給最終用戶帶來額外的摩擦。例如,企業(yè)在允許用戶登錄公司設(shè)備、網(wǎng)絡(luò)和應(yīng)用程序之前,會添加新的身份驗證因素。這增加了登錄步驟和時間,對于用戶來說是一種負(fù)擔(dān)。
為了減輕這種負(fù)擔(dān)并提高安全的采用率,企業(yè)需要尋找減少摩擦的解決方案。隨著消費者和客戶要求企業(yè)對他們的敏感信息負(fù)責(zé),公司需要實施能夠幫助他們在安全性和可用性之間找到微妙平衡的解決方案。
展望未來:以身份為基礎(chǔ)的水晶球
雖然無人能真正預(yù)測未來,但過去幾年基于身份的攻擊在統(tǒng)計上的增加表明,威脅行為者將繼續(xù)部署這些方法。因此,當(dāng)企業(yè)在2025年選擇其網(wǎng)絡(luò)安全投資時,他們應(yīng)該重點考慮如何實施身份衛(wèi)生、在復(fù)雜環(huán)境中(包括由相互連接的應(yīng)用程序和大量難以管理的用戶如服務(wù)賬戶組成的環(huán)境)實施、維護(hù)和監(jiān)控用戶訪問的流程。
通過加強身份管理、提高合規(guī)性、優(yōu)化網(wǎng)絡(luò)風(fēng)險保險策略以及減少用戶摩擦,企業(yè)可以更好地應(yīng)對不斷演變的網(wǎng)絡(luò)安全威脅,并保護(hù)其敏感信息和資產(chǎn)免受攻擊。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號