我們在 2022 年看到了無數(shù)網(wǎng)絡(luò)安全漏洞。攻擊變得更加復(fù)雜，機(jī)器人變得更加狡猾，漏洞成本成倍增加。然而，企業(yè)在應(yīng)對眾所周知的威脅方面準(zhǔn)備不足。隨著新技術(shù)的興起和遠(yuǎn)程工作的日益普及，網(wǎng)絡(luò)犯罪分子迅速調(diào)整了他們的策略。他們現(xiàn)在以前所未有的方式瞄準(zhǔn)企業(yè)。

因此，每個(gè)組織都需要重新調(diào)整其網(wǎng)絡(luò)安全目標(biāo)和流程，以滿足威脅形勢不斷變化的需求。CISO 必須保持領(lǐng)先地位，并為定義 2023 年的網(wǎng)絡(luò)安全趨勢做好準(zhǔn)備。

1. 勒索軟件攻擊將繼續(xù)造成嚴(yán)重破壞

勒索軟件攻擊在 2022 年不斷成為頭條新聞。2022 年上半年， 發(fā)生了2.361 億次勒索軟件攻擊。 僅檢測這些攻擊就花了大約 49 天。這導(dǎo)致這些攻擊的成本猛增。 2022 年， 71% 的企業(yè) 是勒索軟件的受害者。2023 年最重要的網(wǎng)絡(luò)安全趨勢之一是勒索軟件攻擊將繼續(xù)困擾組織。

為什么這樣？越來越多的公司正在規(guī)范遠(yuǎn)程工作。但是保護(hù)所有端點(diǎn)設(shè)備的安全策略和流程并不成熟。因此，我們看到了來自這些遠(yuǎn)程個(gè)人設(shè)備的勒索軟件攻擊的初始感染。需要做好端點(diǎn)防御準(zhǔn)備。國家贊助的勒索軟件，包括對關(guān)鍵基礎(chǔ)設(shè)施的攻擊，正在增加。25% 面臨勒索軟件攻擊的公司被迫關(guān)閉業(yè)務(wù)。因此，投資安全解決方案，幫助您抵御勒索軟件。

盡量減少勒索軟件影響的最佳做法：

• 保持定期備份
• 制定事件響應(yīng)
• 災(zāi)難恢復(fù)

2. 關(guān)鍵基礎(chǔ)設(shè)施保護(hù)

關(guān)鍵基礎(chǔ)設(shè)施，包括 ICS（工業(yè)控制系統(tǒng)）和 OT（運(yùn)營技術(shù)），是 2022 年網(wǎng)絡(luò)犯罪分子的首要目標(biāo)。通過攻擊關(guān)鍵基礎(chǔ)設(shè)施，攻擊者可以擾亂人們的日常生活，擾亂必需品供應(yīng)，并使整個(gè)經(jīng)濟(jì)陷入停頓。例如，2022 年的 Colonial Pipelines 勒索軟件攻擊摧毀了其整個(gè)網(wǎng)絡(luò)。結(jié)果，它的生產(chǎn)陷入停頓。美國東海岸的天然氣供應(yīng)受到影響。

此外，正在進(jìn)行的俄烏戰(zhàn)爭向我們展示了地緣政治條件如何影響網(wǎng)絡(luò)安全。鑒于全球經(jīng)濟(jì)衰退的可能性增加，不良行為者和敵對國家攻擊關(guān)鍵基礎(chǔ)設(shè)施的可能性很高。關(guān)鍵基礎(chǔ)設(shè)施保護(hù) (CIP) 是 2023 年網(wǎng)絡(luò)安全的首要趨勢。如果你處理關(guān)鍵基礎(chǔ)設(shè)施，

• 確保您的 IT 和 OT 部門主動協(xié)作以發(fā)現(xiàn)漏洞
• 投資于實(shí)時(shí)威脅檢測和預(yù)防解決方案
• 不斷加強(qiáng)防御并保持對攻擊面的集中可見性

3. 提防供應(yīng)鏈攻擊

另一個(gè)需要為 2023 年做好準(zhǔn)備的關(guān)鍵網(wǎng)絡(luò)安全趨勢是供應(yīng)鏈攻擊的增加。攻擊 在 3 年內(nèi)增加了 742% 。2022 年發(fā)生了幾起備受矚目的供應(yīng)鏈攻擊，包括 GitHub OAuth 令牌攻擊、Fishpig（Magneto 供應(yīng)商）黑客攻擊和 Okta 漏洞。今天的軟件項(xiàng)目 平均有 204 個(gè)依賴項(xiàng)。Java 應(yīng)用程序有近 148 個(gè)依賴項(xiàng)。即使這些供應(yīng)商/組件之一遭到破壞，軟件供應(yīng)鏈中的每一家公司都會受到影響。

對于使用開源軟件和組件的公司來說，供應(yīng)鏈威脅尤為明顯。2022 年發(fā)現(xiàn)了 88,000 個(gè)惡意開源軟件包。許多組織認(rèn)為，只要保護(hù)其 IT 基礎(chǔ)設(shè)施，他們就是安全的。但現(xiàn)實(shí)是您的第 3方服務(wù)提供商的安全性直接影響您的安全。

在選擇開源包時(shí)，您必須非常小心和徹底。以下是需要考慮的幾個(gè)因素：

• 不要選擇有已知漏洞的軟件/組件
• 在嚴(yán)格審查后選擇您的供應(yīng)商
• 建立適當(dāng)?shù)墓?yīng)商選擇、管理和治理政策
• 執(zhí)行定期安全審核以確保它們安全且合規(guī)
• 投資集中可見性和下一代安全解決方案

4. 不良機(jī)器人變得越來越復(fù)雜

是的。不良機(jī)器人變得越來越復(fù)雜和難以捉摸。他們甚至可以無縫繞過 WAF 和安全解決方案。攻擊者廣泛使用機(jī)器人程序，從傳播惡意軟件和抓取內(nèi)容到使用 DDoS 攻擊定位網(wǎng)絡(luò)/應(yīng)用程序。到 2023 年，攻擊者將找到新的創(chuàng)新方法來部署機(jī)器人以實(shí)現(xiàn)其惡意目標(biāo)。作為 CISO，您需要投資先進(jìn)的機(jī)器人程序緩解解決方案 ，以在 2023 年加強(qiáng)網(wǎng)絡(luò)安全。

• 該解決方案應(yīng)配備行為和模式分析、指紋識別和工作流驗(yàn)證。這將有助于檢測和阻止異常行為。
• 安全專家必須全面管理解決方案。這些專家將編寫自定義規(guī)則來阻止即使是高級解決方案也無法單獨(dú)完成的復(fù)雜機(jī)器人攻擊。

5. 提防內(nèi)部攻擊

歷史數(shù)據(jù)分析表明，內(nèi)部威脅繼續(xù)構(gòu)成重大挑戰(zhàn)。在過去兩年中，解決內(nèi)部安全問題的成本從 1145 萬美元增長了 34% 至 1538 萬美元。此外，到 2022 年，內(nèi)部人員主導(dǎo)的事件發(fā)生頻率激增了 44%。這一趨勢將在 2023 年繼續(xù)?；旌瞎ぷ鞯闹髁骰瘜⒓觿?nèi)部攻擊的威脅。從企業(yè)間諜和惡意到社會工程，內(nèi)部攻擊將更有針對性。內(nèi)部攻擊的一些原因如下：

• 身份驗(yàn)證和授權(quán)錯(cuò)誤
• 訪問控制不佳
• 人為錯(cuò)誤
• 將數(shù)據(jù)存儲在不安全的設(shè)備中
• 使用不安全的個(gè)人設(shè)備

CISO 需要在 2023 年使用全面的安全措施來控制內(nèi)部威脅。這應(yīng)包括以下內(nèi)容：

• 網(wǎng)絡(luò)衛(wèi)生
• 取證數(shù)據(jù)收集
• 政策層面的措施
• 針對惡意內(nèi)部人員的紀(jì)律處分

6. 零信任不再只是一個(gè)流行語

零信任重要性的增加是 2023 年的另一個(gè)主要網(wǎng)絡(luò)安全趨勢。在 2022 年，零信任架構(gòu) (ZTA) 不僅僅是一個(gè)流行語或一個(gè)必備的安全措施。隨著越來越多的采用，它已成為網(wǎng)絡(luò)安全的最佳實(shí)踐。

隨著組織面臨許多網(wǎng)絡(luò)威脅，零信任變得越來越流行。隨著越來越多的組織采用零信任原則，我們很可能會看到持續(xù)的創(chuàng)新。我們相信更多的組織將（并且應(yīng)該）對 ZTA 進(jìn)行大量投資。

零信任可以通過多種方式實(shí)施：

• 多重身份驗(yàn)證
• 網(wǎng)絡(luò)分割
• 持續(xù)監(jiān)控用戶行為

實(shí)施這些措施可以顯著降低數(shù)據(jù)泄露和其他網(wǎng)絡(luò)安全事件的風(fēng)險(xiǎn)。

7. 零信任有實(shí)施挑戰(zhàn)

雖然公司在 2023 年加速采用 ZTA，但實(shí)施失誤的風(fēng)險(xiǎn)很高。

例如，

• 由于對信任關(guān)系的理解不足，構(gòu)建低信任而不是無信任架構(gòu)。這使公司面臨多種安全風(fēng)險(xiǎn)
• 缺乏文化和教育投資，導(dǎo)致零信任采用率低
• 使用 ZTA 作為網(wǎng)絡(luò)安全的銀彈解決方案。它只是安全的一部分，應(yīng)該這樣對待

8. API 安全不可或缺

此前，Gartner 預(yù)測，到 2022 年，API 將成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。不幸的是，這個(gè)預(yù)言成真了。API 越來越流行，供不同的軟件系統(tǒng)進(jìn)行通信和交換數(shù)據(jù)。然而，這種增加的使用也使它們成為尋求利用 API 代碼或架構(gòu)漏洞的黑客的主要目標(biāo)。

對 API 的一些常見攻擊包括注入攻擊（惡意代碼被插入到 API 請求中）和拒絕服務(wù)攻擊（黑客使用虛假請求使 API 過載，導(dǎo)致其崩潰或變得不可用）。由于 API 在現(xiàn)代軟件開發(fā)中起著至關(guān)重要的作用，因此優(yōu)先考慮API 安全并采取主動措施抵御潛在攻擊至關(guān)重要。

9. 網(wǎng)絡(luò)犯罪分子的進(jìn)入門檻將不斷降低

如今，網(wǎng)絡(luò)犯罪分子無需成為技術(shù)奇才或經(jīng)驗(yàn)豐富。漏洞利用工具包、租用機(jī)器人等的易用性降低了網(wǎng)絡(luò)犯罪分子的進(jìn)入門檻。如果 2023 年出現(xiàn)經(jīng)濟(jì)衰退，這些障礙將進(jìn)一步降低。隨著越來越多的人尋求快速簡便的賺錢方式，將有更多的黑客可供雇傭。這是 2023 年另一個(gè)需要關(guān)注和準(zhǔn)備的網(wǎng)絡(luò)安全趨勢。

10. 攻擊面將繼續(xù)擴(kuò)大

我們已經(jīng)掀起了使用 API、云技術(shù)和物聯(lián)網(wǎng)設(shè)備的熱潮。這些已經(jīng)擴(kuò)大了攻擊面。推出 5G 高速網(wǎng)絡(luò)服務(wù)為威脅增加了一個(gè)新的維度。攻擊者可以在連接的設(shè)備和高速互聯(lián)網(wǎng)連接之間挑選和利用多個(gè)端點(diǎn)/組件。2023 年，您需要專注于保護(hù)攻擊面并加強(qiáng)安全態(tài)勢。

11. 關(guān)注網(wǎng)絡(luò)彈性

盡管在強(qiáng)大的安全性方面進(jìn)行了所有投資，但數(shù)據(jù)泄露是不可避免的。根據(jù) Acronis 的預(yù)測，數(shù)據(jù)泄露的平均成本將在 2023 年達(dá)到 500 萬美元。重要的是您可以如何有效地預(yù)防、抵御這些違規(guī)行為并從中恢復(fù)。

2023 年的首要網(wǎng)絡(luò)安全趨勢是對網(wǎng)絡(luò)彈性的需求增加。從您的 SDLC 階段開始，您必須優(yōu)先考慮網(wǎng)絡(luò)彈性，同時(shí)主動管理風(fēng)險(xiǎn)。安全工具和流程必須幫助您預(yù)測風(fēng)險(xiǎn)和預(yù)防事故。它還必須幫助您以最低的成本從網(wǎng)絡(luò)事件中快速恢復(fù)。

12. 自動化和人工智能是網(wǎng)絡(luò)安全的未來

這不僅是 2023 年的網(wǎng)絡(luò)安全趨勢，也是未來的趨勢。網(wǎng)絡(luò)犯罪分子正在利用同類最佳的技術(shù)和工具來策劃違規(guī)行為。組織必須利用自動化、人工智能和機(jī)器學(xué)習(xí)來應(yīng)對復(fù)雜的威脅。

• 自動化為安全性注入了敏捷性、靈活性和準(zhǔn)確性。
• AI、ML 和分析可幫助您分析大數(shù)據(jù)點(diǎn)并發(fā)現(xiàn)異常行為和模式。
• 您甚至可以檢測并阻止最復(fù)雜的攻擊者行為。

在Cyber?? Security Hub進(jìn)行的一項(xiàng)研究中，19% 的網(wǎng)絡(luò)安全專業(yè)人士透露，他們的組織正在投資人工智能和網(wǎng)絡(luò)安全自動化。另一方面，網(wǎng)絡(luò)犯罪分子也在采用人工智能和機(jī)器學(xué)習(xí)來擴(kuò)大他們的攻擊。因此，他們進(jìn)行更廣泛和復(fù)雜攻擊的能力將得到顯著增強(qiáng)。它可能使 2023 年成為發(fā)生更大規(guī)模、更復(fù)雜攻擊的一年。

社交網(wǎng)絡(luò)平臺上的人類模仿、AI 支持的密碼猜測和 Deepfakes 是 AI 濫用的幾個(gè)例子。黑客們已經(jīng)開始嘗試使用 openAI 聊天機(jī)器人 ChatGPT 來編寫惡意代碼和創(chuàng)建黑客工具。盡管 OpenAI 的創(chuàng)建者已經(jīng)采取了多項(xiàng)措施來防止將 AI 用于惡意目的，但企業(yè)必須做好防范高級攻擊的準(zhǔn)備。

13. 攻擊者智取安全技術(shù)

網(wǎng)絡(luò)犯罪分子不斷尋找方法來規(guī)避 MFA（多因素身份驗(yàn)證）和 EDR（端點(diǎn)檢測和響應(yīng)）技術(shù)等安全技術(shù)。隨著惡意軟件簽名的不斷變化，黑客可以逃脫入侵檢測系統(tǒng)等靜態(tài)安全工具。我們可能會在 2023 年看到 EDR 規(guī)避工具在黑市上出售。CISO 需要考慮采用此類技術(shù)的風(fēng)險(xiǎn)。你還需要密切關(guān)注這方面的事態(tài)發(fā)展。

14. 大量社會工程攻擊

2022 年上半年，記錄了 2.55 億次社會工程學(xué)攻擊。魚叉式網(wǎng)絡(luò)釣魚、社交媒體網(wǎng)絡(luò)釣魚、深度造假和電子商務(wù)詐騙是流行的攻擊類型。攻擊者在誘使毫無戒心的受害者服從他們的命令方面變得越來越有創(chuàng)意。我們相信，社會工程攻擊將在 2023 年激增。作為 CISO，您必須預(yù)見到這些攻擊并采取強(qiáng)有力的預(yù)防措施。

15. 認(rèn)證措施的演變

從科技公司到州立大學(xué)，許多機(jī)構(gòu)都采用了多因素身份驗(yàn)證 (MFA) 來確保安全。簡化用戶身份驗(yàn)證方法的工作也在進(jìn)行中。此外，公共和私營部門實(shí)體將 MFA 作為其用戶和/或員工政策的一部分執(zhí)行，以加強(qiáng)安全措施。最新加入這一趨勢的公司是 GitHub，該公司表示將在 2023 年引入雙因素身份驗(yàn)證 (2FA)，以增強(qiáng)其代碼存儲庫服務(wù)的安全性。

16. 2023 年加密網(wǎng)絡(luò)安全趨勢

我們在 2022 年看到了幾次大規(guī)模的加密貨幣黑客攻擊，例如 浪人網(wǎng)絡(luò) （損失 6.2 億美元）、蟲洞橋黑客攻擊（損失 3.2 億美元）等。截至 2022 年 10 月，投資者在 125 起事件中因加密貨幣黑客損失了 30 億美元。這些事件只會在 2023 年增加，使用加密貨幣的公司需要做好更好的準(zhǔn)備。

17. 2023 年全球經(jīng)濟(jì)衰退與網(wǎng)絡(luò)安全趨勢

2023 年可能會出現(xiàn)全球經(jīng)濟(jì)衰退。這將通過以下方式影響 2023 年的網(wǎng)絡(luò)安全趨勢。

• 組織將被迫削減資源和安全預(yù)算。
• 隨著防御能力的減弱，威脅行為者將有更多機(jī)會通過各種媒介發(fā)起攻擊，其中電子郵件是主要目標(biāo)。
• 這種不對稱性將直接導(dǎo)致所有行業(yè)成功違規(guī)的增加。

18. 多向量網(wǎng)絡(luò)攻擊呈上升趨勢

2022 年 6 月，有史以來最大規(guī)模的 DDoS 攻擊針對的是 Google Cloud Armor 用戶。攻擊持續(xù)了 69 分鐘，并使用 HTTPS 進(jìn)行。該攻擊涉及來自 132 個(gè)國家/地區(qū)的 5,256 個(gè)源 IP，是有史以來規(guī)模最大的第 7 層 DDoS 攻擊。谷歌表示，它比之前的記錄大了 76%。DDoS 攻擊的規(guī)模越來越大，激發(fā)了黑客進(jìn)行多向量攻擊。它通過在多個(gè)方面攻擊公司來壓倒公司。當(dāng)公司試圖減輕一種威脅媒介時(shí)，它們將同時(shí)成為另一種威脅媒介的目標(biāo)。這意味著企業(yè)必須同時(shí)應(yīng)對各種威脅媒介。

防止多向量網(wǎng)絡(luò)攻擊涉及實(shí)施針對不同攻擊向量的措施。以下是一些步驟：

• 使軟件和系統(tǒng)保持最新：許多攻擊利用軟件和系統(tǒng)中的漏洞。讓他們及時(shí)更新最新的安全補(bǔ)丁和更新可以幫助防止這些類型的攻擊。
• 監(jiān)控網(wǎng)絡(luò)活動：監(jiān)控網(wǎng)絡(luò)活動可以幫助檢測表明正在進(jìn)行的攻擊的異?；顒?。
• 實(shí)施網(wǎng)絡(luò)分段：將網(wǎng)絡(luò)的不同部分分開有助于防止攻擊從一個(gè)區(qū)域傳播到另一個(gè)區(qū)域。

19. 安全實(shí)踐的透明度很重要

網(wǎng)絡(luò)安全實(shí)踐的透明度確實(shí)是一個(gè)值得關(guān)注的趨勢。近年來，我們看到組織和公眾越來越意識到數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的后果。因此，越來越多的組織要求其網(wǎng)絡(luò)安全實(shí)踐更加透明。網(wǎng)絡(luò)安全實(shí)踐的透明度可以采取多種形式，例如公開安全政策和程序、定期更新安全事件和違規(guī)行為，以及允許第三方對安全實(shí)踐進(jìn)行審計(jì)和評估。

當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時(shí)，您需要通知您的利益相關(guān)者，告訴他們您現(xiàn)在正在采取哪些措施來減輕攻擊，以及您正在采取哪些措施來防止未來的攻擊。當(dāng)組織不披露違規(guī)行為時(shí)，它會招致違規(guī)罰款并損害聲譽(yù)。您需要誠實(shí)和透明，以培養(yǎng)客戶和利益相關(guān)者之間的信任。當(dāng)然，您不必說出所有內(nèi)容；但消息傳遞需要清晰和公開。

結(jié)論

CISO 必須為 2023 年的這些網(wǎng)絡(luò)安全趨勢做好準(zhǔn)備。需要注意的是，這些只是根據(jù) 2022 年的可用信息確定的預(yù)測和趨勢。通過優(yōu)先考慮網(wǎng)絡(luò)安全，降低業(yè)務(wù)中斷、財(cái)務(wù)損失和無法彌補(bǔ)的聲譽(yù)損失的風(fēng)險(xiǎn)。