2023年十大網(wǎng)絡(luò)安全預(yù)測

我們Datamation網(wǎng)站通常會對下一年的發(fā)展做五大預(yù)測。由于網(wǎng)絡(luò)安全是一個如此充滿活力、有時甚至令人望而生畏的領(lǐng)域，五大預(yù)測不足以涵蓋這個領(lǐng)域。因此，我們對2023年做了以下十大預(yù)測。

1. 物聯(lián)網(wǎng)遭到攻擊

Hack The Box公司的首席執(zhí)行官Haris Pylarinos曾是一名道德黑客，他表示，自己不得不像網(wǎng)絡(luò)犯罪分子一樣思考，以確定2023年的幾大威脅。

他預(yù)測2023年將出現(xiàn)物聯(lián)網(wǎng)設(shè)備和傳感器大舉入侵的一幕。

Pylarinos表示，業(yè)界低估了物聯(lián)網(wǎng)攻擊的危險性。掌握硬件技能對于防止災(zāi)難性網(wǎng)絡(luò)攻擊至關(guān)重要，而這類攻擊可能會摧毀整個社會。

2. 安全文化浮出水面

應(yīng)對網(wǎng)絡(luò)安全攻擊、新型病毒家族和新興威脅途徑的方法通常是開發(fā)一套新的網(wǎng)絡(luò)安全工具。

但是如今網(wǎng)絡(luò)安全領(lǐng)域的工具太多了，這種方法變得很笨拙。公司企業(yè)部署了所有最新的系統(tǒng)，卻被告知還需要勒索軟件防護(hù)、安全訪問服務(wù)邊緣(SASE)或零信任網(wǎng)絡(luò)訪問(ZTNA)等工具。這種情況似乎永遠(yuǎn)沒個盡頭。

KnowBe4公司的戰(zhàn)略洞察和研究高級副總裁Joanna Huisman認(rèn)為，2023年全球企業(yè)組織的重心會發(fā)生轉(zhuǎn)移，轉(zhuǎn)移到創(chuàng)建安全文化上。

Huisman表示，如今大多數(shù)企業(yè)組織顯然需要安全意識培訓(xùn)，它們正開始從單純的培訓(xùn)轉(zhuǎn)向更加注重行為和文化。全球范圍內(nèi)出現(xiàn)了一股積極的發(fā)展勢頭，致力于打造強(qiáng)大的安全文化，這勢必需要高管和整個員工群體的支持。

3. 零信任趨于成熟

零信任已經(jīng)成為2022年的熱門術(shù)語，但到目前為止，空談多過實(shí)踐。

Syxsense公司的首席執(zhí)行官Ashley Leonard表示，零信任技術(shù)在企業(yè)基礎(chǔ)設(shè)施中的實(shí)際應(yīng)用很有限。2023年，我們最終將看到零信任概念在企業(yè)IT環(huán)境中得到廣泛落實(shí)。

4. 自主端點(diǎn)

Syxsense公司的Leonard還強(qiáng)調(diào)了端點(diǎn)在IT、計(jì)算能力和網(wǎng)絡(luò)安全領(lǐng)域的角色發(fā)生了變化。

端點(diǎn)安全近年來越來越突出，這個趨勢會持續(xù)下去。有必要強(qiáng)調(diào)智能手機(jī)、PC、服務(wù)器、平板電腦和筆記本電腦的安全性，因?yàn)樗鼈兪欠乐咕W(wǎng)絡(luò)入侵的第一道防線，以便當(dāng)場阻止攻擊。但除了網(wǎng)絡(luò)安全外，更多的任務(wù)將會分包給端點(diǎn)。

Leonard表示，近年來，云計(jì)算備受關(guān)注，云計(jì)算集中了計(jì)算能力，但在很多情況下，功能強(qiáng)大的處理器和端點(diǎn)都沒有得到充分利用。

如今由云計(jì)算管理的許多任務(wù)可以在端點(diǎn)得到更好地執(zhí)行，這種情況將在2023年開始改變。作為其中的一部分，編排和自動化技術(shù)將是支持IT團(tuán)隊(duì)維護(hù)安全和服務(wù)的關(guān)鍵。

5. Chrome攻擊

數(shù)據(jù)刪除公司Incogni分析了Chrome網(wǎng)絡(luò)商店中1237個下載量不低于1000人次的Chrome擴(kuò)展插件的風(fēng)險情況。

研究表明，兩個Chrome擴(kuò)展插件中就有一個(48.66%)具有高到非常高的風(fēng)險，比如請求許可，可能因而暴露個人身份信息(PII)、分發(fā)廣告軟件和惡意軟件，或者記錄用戶的一切行為，包括他們在網(wǎng)上輸入的密碼和財(cái)務(wù)信息。

預(yù)計(jì)2023年會有大量針對Chrome和瀏覽器擴(kuò)展插件的攻擊。

Surfshark公司的信息安全官Aleksandras Valentij表示，用戶應(yīng)謹(jǐn)慎對待需要以下權(quán)限的瀏覽器擴(kuò)展插件：讀取和更改用戶訪問的所有網(wǎng)站上的所有數(shù)據(jù)、音頻捕獲、瀏覽數(shù)據(jù)、剪貼板讀取、桌面捕獲、文件系統(tǒng)、地理位置、存儲以及視頻捕獲。

在授予瀏覽器擴(kuò)展插件權(quán)限時記得運(yùn)用常識，比如廣告攔截程序?yàn)槭裁葱枰L問音頻捕獲功能或訪問文件系統(tǒng)。

6. VPN失去份額

與之前的許多技術(shù)一樣，虛擬專用網(wǎng)絡(luò)(VPN)曾經(jīng)是一項(xiàng)前沿技術(shù)。

隨著時間的推移，全球的IT和商業(yè)環(huán)境已經(jīng)發(fā)生了變化，而VPN基本上保持不變。因此，VPN現(xiàn)在可能無法阻止黑客入侵，它們有時可能會使黑客更容易得逞。企業(yè)可能會在2023年擺脫對VPN的依賴。

DH2i公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Don Boxley表示，現(xiàn)在可以用現(xiàn)代軟件定義邊界(SDP)完成用VPN幾乎不可能完成的任務(wù)。

Boxley表示，SDP使企業(yè)組織能夠使用零信任網(wǎng)絡(luò)訪問隧道將任何對稱網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)背后的應(yīng)用程序、服務(wù)器、物聯(lián)網(wǎng)設(shè)備和用戶連接到任何完全圓錐形NAT(full cone NAT)，無需重新配置網(wǎng)絡(luò)或設(shè)置復(fù)雜且易出問題的VPN。

完全圓錐形NAT指這種NAT：來自同一個內(nèi)部IP地址和端口的所有請求被映射到同一個外部IP地址和端口。此外，任何外部主機(jī)可以將數(shù)據(jù)包發(fā)送到內(nèi)部主機(jī)，只需將數(shù)據(jù)包發(fā)送到被映射的外部地址。

7. Logj4將推動創(chuàng)新

Logj4漏洞敲響了一記警鐘，影響了全球十分之一的公司。

Platform.sh公司的隱私和安全副總裁Joey Stanford認(rèn)為，通過鼓勵企業(yè)雇傭經(jīng)驗(yàn)豐富的開發(fā)人員來執(zhí)行漏洞檢查和加強(qiáng)軟件集成，為開源提供資金支持，Logj4漏洞將在2023年促進(jìn)更安全的開源創(chuàng)新。

Stanford表示，政府層面也會有所行動，比如要求建立軟件材料清單(SBOM)，以確保未來的軟件項(xiàng)目更安全，這將惠及使用和致力于開源的企業(yè)，并確認(rèn)其在未來互聯(lián)網(wǎng)開發(fā)中的應(yīng)有地位。

8. 混沌工程將提高安全性

Quest公司的技術(shù)策略師和首席工程師Adrian Moir表示，在來年，企業(yè)將改進(jìn)其數(shù)據(jù)安全測試流程，日益部署混沌工程來夯實(shí)企業(yè)彈性。

混沌工程最初是為開發(fā)人員測試而構(gòu)建，它可以幫助IT團(tuán)隊(duì)測試恢復(fù)操作以及應(yīng)用程序和數(shù)據(jù)傳輸管道。通過定期測試企業(yè)數(shù)據(jù)保護(hù)設(shè)備的每個環(huán)節(jié)，團(tuán)隊(duì)將能夠確認(rèn)從不可變數(shù)據(jù)存儲到可復(fù)制性的諸多恢復(fù)技術(shù)有效地工作。

Moir表示，鑒于勒索軟件、自然災(zāi)害及其他業(yè)務(wù)干擾因素，企業(yè)高層將彈性和風(fēng)險降低作為更高的優(yōu)先級，預(yù)計(jì)企業(yè)會把這項(xiàng)工作視作常規(guī)數(shù)據(jù)保護(hù)操作的一部分。

9. BEC驅(qū)動MFA的采用

商業(yè)電子郵件入侵(BEC)將繼續(xù)成為網(wǎng)絡(luò)攻擊者的首要攻擊方法，也是進(jìn)入企業(yè)組織的最簡單途徑。

隨著零日攻擊不斷增加，人們會考慮減小外部攻擊面。因此，BEC將推動多因素身份驗(yàn)證(MFA)的采用。

下一代托管服務(wù)提供商Thrive公司的首席信息安全官Chip Gibbons表示，MFA將無處不在;沒有MFA的保護(hù)，任何東西都不應(yīng)該從外部獲得。

10. 確定風(fēng)險管理的優(yōu)先級

談到網(wǎng)絡(luò)風(fēng)險的治理和監(jiān)管，VMware公司的高級網(wǎng)絡(luò)安全策略師Karen Worstell認(rèn)為，由于網(wǎng)絡(luò)風(fēng)險本身涉及更大的利害關(guān)系以及企業(yè)聲譽(yù)通常不堪一擊，整個體系已崩潰。

Worstell表示，因此，企業(yè)將加大網(wǎng)絡(luò)風(fēng)險管理方面的投入力度。

董事會在確保充分控制和報(bào)告網(wǎng)絡(luò)攻擊的流程方面需要極其明確的角色和責(zé)任。網(wǎng)絡(luò)風(fēng)險治理不僅僅是首席信息安全官的責(zé)任。現(xiàn)在，它顯然是企業(yè)主管需要操心的問題。說到網(wǎng)絡(luò)安全，推諉注定是行不通的。

緩解風(fēng)險

Codeproof公司的首席執(zhí)行官Satish Shetty給出了一些建議，這將幫助企業(yè)降低風(fēng)險，避免成為媒體的頭條新聞：

?? 對員工進(jìn)行安全培訓(xùn)，告知不要點(diǎn)擊網(wǎng)絡(luò)釣魚鏈接或從外部郵件下載附件。

?? 使用Slack和Microsoft Teams之類的應(yīng)用程序進(jìn)行內(nèi)部溝通。

?? 主要使用電子郵件進(jìn)行外部溝通。

?? 遷移到基于云的電子郵件服務(wù)，比如Microsoft 365或Google Workspace，而不是使用內(nèi)部電子郵件服務(wù)器。

?? 部署移動設(shè)備管理(MDM)和移動威脅防御(MTD)軟件，以保護(hù)移動設(shè)備和便攜式設(shè)備，充分利用其執(zhí)行安全配置的功能。

?? 在線帳戶使用強(qiáng)密碼和雙因素身份驗(yàn)證。

參考及來源：https://www.datamation.com/security/cybersecurity-predictions/

來源：嘶吼專業(yè)版