远程工作以及将业务向云计算服务的转变,加剧了企业的网络安全风险。根据BakerHostetler公司在2020年进行的一项调查,美国企业经历的最常见的网络攻击是网络钓鱼(38%)、网络入侵(32%)、无意泄露(12%)、被盗/丢失设备或记录(8%)和系统错误配置(5%)。
根据ThoughtLab发布的一份调查报告,2021年网络攻击和数据泄露的平均数量增加了15.1%,与前一年相比显著增长。然而,29%的首席执行官/首席信息安全官和40%的首席安全官承认,他们所在的公司对迅速变化的网络安全和威胁形势没有做好准备。
ThoughtLab的报告声称,在未来两年里,勒索软件和网络钓鱼攻击将继续让安全团队疲于奔命,因为网络罪犯将变得更加猖獗。因此,首席信息安全官和安全团队负责人需要评估如何应对这一不断演变的网络安全领域。为了应对网络攻击浪潮,网络安全专家列出了2023年科技领袖需要关注的网络安全趋势。以下是他们分享的内容:
1、勒索软件攻击的影响
Jobber公司安全总监Brian Masson说,“我们将会看到勒索软件攻击事件继续增长,企业领导者需要做好准备。身份和访问管理(简称 IAM)与人员交互,这在历史上一直是一个问题。还有糟糕的密码,缺少多因素身份验证等问题。我认为这在很长一段时间内都不会改变。一个新的关注领域是:国家赞助的网络攻击带来的影响越来越大。少数企业领导者可能直接负责关键的基础设施,但他们必须考虑这些勒索软件攻击将对企业和业务产生的影响——缺勤率增加、远程工作中断,以及类似的间接业务挑战。”
2、使用复杂的端点检测与防护重建端点
NTT DATA公司安全服务副总裁Sushila Nair说,“勒索软件攻击事件在两年内上升了240%,并将继续上升。大多数情况下,勒索病毒的初始感染媒介是端点,因此企业需要减少网络攻击面。网络攻击者致力于破坏数据备份、多个节点和服务,以便在他们已经无处不在的情况下进行网络攻击。在2023年,企业将不得不更好地使用复杂的端点检测与防护重建端点。此外,企业将更多地转向具有多因素身份验证保护的单点登录,并更加小心地利用免费层SaaS应用程序或无法与单点登录集成的SaaS应用程序。”
3、强调实施网络安全最佳实践
Devo公司的首席信息官Kayla Williams说,“如今,在谁负责网络安全的问题上存在很多误解。首席信息安全官负责制定战略,但如果没有企业中其他部门的支持,他们就无法实施战略。由每个部门的人员来采用安全团队建议或授权的控制。安全团队的期望和实际实施之间的脱节是看到事情被遗漏的地方。2023年,企业将寻求解决这一问题,并将更多的部门重点放在实施安全最佳实践上。”
4、投资员工安全培训以抵御网络攻击
Menlo Security公司的网络安全战略高级主管Mark Guntrip说,“2023年,勒索软件攻击事件将继续上升。在当今的威胁环境中,人员是最薄弱的环节。我们的研究发现,忽视企业安全建议的员工是IT安全决策者最关心的问题,39%的受访者担心勒索软件攻击会超出他们公司的安全能力。网络攻击者变得越来越狡猾,这并不奇怪,因为我们不断看到可以规避典型安全堆栈的技术的出现,例如高度规避自适应威胁攻击。”
5、零信任架构的重要性将会增加
Veeam公司的首席技术官Danny Allan说,“我预计2023年网络安全的首要任务将是通过各种方式应对勒索软件威胁,从与安全团队合作提高网络技能到使用适当的网络安全工具,如多因素身份验证和培训课程。我还认为,零信任架构作为一种验证访问和提高安全性的手段的重要性将会增长,预计网络安全预算将大幅增长。”
6、将政策作为代码纳入网络安全实践
Veeam Kasten公司的产品和合作伙伴副总裁Gaurav Rishi说,“随着Kubernetes应用程序成为主流,网络攻击强度和攻击向量也在增长。这将导致kubernetes原生数据保护工具变得更加重要,以确保备份仍然是企业的最后一道防线。企业还必须优先考虑自然(使用/保护基础代码库)和培育(操作最佳实践,包括身份管理、数据加密)。最后,在DevSecOps世界中,企业需要将政策作为代码纳入其流程,以使额外的保护层制度化,并确保在不同环境中实施安全实践。”
7、与政府机构密切合作,制定安全标准
Rapid7公司的首席安全研究员Deral Heiland说,“随着越来越多的物联网供应商寻求提高他们的品牌信任度,我预计在2023年,许多企业将采用自愿的产品安全标准,以超越竞争对手。我还希望物联网供应商与政府机构进行更密切的合作,努力为物联网技术制定安全标准。此外,随着智能数字技术和物理世界交叉的新产品的发展和增长,我们将开始看到存在健康和安全问题的物联网设备,供应商将被迫进行大规模召回,就像我们在汽车行业看到的那样。”
8、对客户的网络安全实践保持透明
Object First公司的产品营销副总裁Tony Liau说,“公众越来越意识到勒索软件的威胁和数据隐私问题,因此,企业与客户的互动和沟通方式将在2023年发生变化。随着数据泄露变得越来越公开,企业需要在信息传递中更加透明,而不是试图淡化或隐瞒事件,说明他们正在采取哪些措施来缓解问题并防止未来的网络攻击行为。客户将欣赏这种诚实,并将更有可能与那些在网络安全实践方面开放和透明的企业进行合作。”
9、生成式人工智能应用将在安全工具中越来越受欢迎
Info-Tech研究集团的首席研究总监Fritz Jean-Louis说,“在日益萎缩的人才市场中,需要增加开支来应对所需的运营更新,以了解威胁环境,并引入经验丰富的网络专家。这将使首席信息安全官在快速而持续的数字化转型时期与竞争对手保持同步。生成式人工智能的采用将继续在安全工具中普及。它可以帮助检测人类可能错过的关键网络异常、风险和模式。随着软件供应链攻击越来越侧重于识别零日漏洞,零信任架构正在从一些企业的偏好演变为行业标准。现在有必要对业务进行持续核查。”
10、2023年优先考虑网络弹性和降低风险
Perforce公司的Perfecto测试自动化实践的首席布道者Eran Kinsbruner说,“储存个人敏感数据的移动设备通常触手可及,很容易成为恶意攻击者的目标。企业必须在2023年优先考虑网络弹性和降低风险战略。为了实现这一点,团队可以引入左移方法,在识别安全漏洞和弱点的开发过程中更早地实现代码和策略。然而,最成功的团队将在整个开发生命周期中以连续和敏捷的方式集成测试参数和检查点——不仅仅是“向左移动”。希望看到更多的团队将安全分析引入持续集成(CI)/持续交付(CD)管道,包括静态代码和动态分析活动,以及通过功能测试和模拟服务进行验证。”
11、新法规将在物联网领域引入强制性安全措施
Bitdefender公司的物联网安全总监Dan Berte说,“物联网漏洞将继续存在。2023年将继续困扰物联网供应商的一个领域是,他们对安全研究人员联系进行漏洞披露和补丁的反应缓慢(或缺乏)。《欧盟网络弹性法案》等新法规预计会带来一些缓解,该法案将对在欧盟销售的产品提出强制性的网络安全要求,但该法规预计最早要到2025年才会生效。”
12、缺乏网络安全文化将构成严重威胁
Epignosis公司的首席信息官Victor Kritakis说,“与前几年一样,企业将继续与网络钓鱼、勒索软件和DDoS作斗争。远程工作将继续存在,随之而来的是安全风险。不加防护的家庭网络、未经培训的员工以及网络安全文化的缺失将对企业构成严重威胁,除非它们采取适当的预防措施。新的地缘政治现实随着能源危机的发生,可能会对关键的能源基础设施造成破坏。”
