随时随地工作以及向云计算服务的不断转变加速了公司的网络安全风险。根据 BakerHostetler 2020 年的一项调查,美国公司经历的最常见的网络攻击是网络钓鱼 (38%)、网络入侵 (32%)、无意泄露 (12%)、设备或记录被盗/丢失 (8%),以及系统配置错误 (5%)。 尽管安全团队做出了努力,但网络安全形势似乎每年都在恶化。ThoughtLab 的报告 Opens a new window 发现 2021 年网络攻击和数据泄露的平均数量增加了 15.1%——比上一年显着增加。然而,报告称,29% 的首席执行官/首席信息安全官和 40% 的首席安全官承认,他们的组织没有为快速变化的网络安全和威胁形势做好准备。
ThoughtLab 报告补充说,在接下来的两年里,勒索软件和网络钓鱼攻击将继续让安全团队彻夜难眠,因为“网络犯罪分子将变得更加猖獗”。因此,CISO 和安全负责人需要评估如何驾驭这个不断发展的网络安全领域。为了解码这种网络攻击的暴动,我们请网络安全专家列出了 2023 年技术领导者需要关注的主要网络安全趋势。这是他们揭示的内容。
数据泄露、勒索软件攻击以及新冠疫情带来的严峻挑战,使企业管理层不断提升对网络安全的重视度,并开始就风险暴露和管理方法提出了更高要求。网络安全建设不再只是企业经营的一项成本,而是未来数字化转型发展的基础。因此,CISO 和安全团队需要认真思考如何顺应这种不断变化的发展趋势。 为了帮助企业 CISO 更加高效地开展 2023 年度网络安全规划和建设工作,网络安全专家们给出了以下重点工作建议。
提前做好勒索软件攻击的准备
我们将看到勒索软件攻击继续发生,领导者需要为此做好准备。IAM 与人为因素交互,这在历史上一直是一个问题。错误的密码做法、缺少 MFA 等——我很长时间没有看到这种情况发生变化。一个“新”的关注领域:来自国家赞助的演员的影响越来越大。一些领导者可能直接负责关键基础设施,但我们其他人必须考虑这些攻击将对我们的业务产生的影响——缺勤率增加、远程工作中断以及类似的间接业务挑战。” ——Jobber 安全主管 Brian Masson 2023 年,企业组织会看到更多的勒索软件攻击,因此安全主管们需要提前做好准备。身份和访问管理(IAM)一直是企业网络安全建设的薄弱环节。糟糕的密码实践、缺失多因素身份验证(MFA)等诸多不完善的网络安全防护状况在很长时间内难以在企业中得到根本性改变。同时,我们还会看到有政府背景的攻击正在造成越来越大的影响。在此形势下,企业组织应该尽快加强关键基础设施的安全防护,提前发现勒索软件攻击可能对组织数字化业务发展带来的影响,并通过开展安全演练等活动做好应对勒索攻击的准备。
利用 EDR 技术重建端点安全
勒索软件攻击在两年内上升了 240%,并将继续上升。大多数时候,勒索软件的初始感染媒介是端点,因此组织需要减少攻击面。攻击者现在花时间破坏备份、多个节点和服务,以便他们可以在已经无处不在的情况下进行攻击。到 2023 年,组织将不得不更好地使用复杂的 EDR 重建端点。此外,组织将更多地转向具有 MFA 保护的单点登录,并更加谨慎地利用无法与单点登录集成的免费层 SaaS 应用程序或 SaaS 应用程序。” ——NTT DATA 安全服务副总裁 Sushila Nair 勒索软件攻击是企业数字化业务安全的主要威胁,并会愈演愈烈。而勒索病毒的初始感染途径大多是通过端点,因此组织需要加强端点安全建设,以减小攻击面。2023 年,组织应该重视使用复杂的端点检测和响应(EDR)来重建端点的安全防护能力。此外,企业组织应该更注重结合 MFA 保护的单点登录,并更慎重地使用免费版 SaaS 应用程序或无法与单点登录集成的应用系统。
让企业安全协同建设更广泛
如今,关于谁拥有安全性存在很多误解。有一位负责制定战略的 CISO,但如果没有来自组织其他领域的支持,他们就无法实施该战略。每个部门的人员都可以应用安全团队推荐或强制执行的控制措施。安全团队的期望与实际实施之间的这种脱节是我们看到事情失败的地方。2023 年将是组织寻求解决这一问题并将更多部门重点放在实施安全最佳实践上的一年。” ——Devo CISO Kayla Williams 如今企业对谁是网络安全工作的责任人存在诸多误解。CISO 及安全团队所制定的安全战略,如果得不到企业管理层和各个业务部门的支持,就无法有效的落地实施。因此,要保障数字化转型的安全开展,企业每个部门都应该参与并配合实施安全团队的安全建议和防护控制措施。企业数字化发展中之所以存在大量的安全漏洞,主要原因在于安全团队的规划与具体实施之间存在脱节。在 2023 年,各企业应该努力去解决好这个问题,让各部门更重视网络安全工作,并且和 IT 部门、安全运营团队更好地协同配合。
向零信任架构转型将更加重要
我预计 2023 年网络安全的首要任务将是通过多种方式解决勒索软件威胁,从通过与安全团队合作提高网络技能到正确的安全工具,如多因素身份验证 (MFA) 和培训课程。我还认为,零信任架构作为验证访问和提高安全性的一种手段,其重要性将会增长,并且预计网络安全预算将大幅增加,超过几十年前人们认为可能达到的水平。” ——Veeam 首席技术官 Danny Allan 2023 年企业网络安全建设的根本性任务就是要通过各种有效的方式应对新型网络攻击威胁,作为一种验证访问和提高安全性的手段,零信任架构会越来越重要,并会得到更多的项目预算。不过,企业向零信任架构转型需要慎重规划,现有系统和零信任环境需要时间磨合才能共存。目前零信任技术仍在快速成长,持续了解零信任技术和解决方案的发展对于长期保护投资很重要。
让网络安全建设实践更加透明
公众越来越意识到勒索软件威胁和数据隐私问题,公司与客户互动和沟通的方式将因此在 2023 年发生转变。随着数据泄漏变得越来越公开,组织将需要在消息传递中更加透明,而不是试图淡化或隐藏事件。他们需要承认问题并提供详细信息,说明他们正在采取哪些步骤来缓解问题并防止未来的违规行为。客户会欣赏这种诚实,并更有可能与对其网络安全实践公开透明的公司开展业务。” ——Object First 产品营销副总裁 Tony Liau 消费者已经越来越意识到数据隐私保护的重要性,因此在 2023 年,企业与客户互动和沟通的方式将会有所改变。组织需要在与消费者的信息传达方面加强透明度,而不是企图淡化或隐瞒安全事件。企业需要及时承认问题,并透露安全事件的更多细节,这样可以表明自己在采取什么措施来缓解问题,并防止重蹈覆辙。客户会欣赏这种坦诚的做法,并更加信任在网络安全实践方面做到开放透明的企业。
生成式 AI 被更加广泛的采用
增加支出将是必要的,以解决了解威胁环境所需的运营更新,并在不断萎缩的人才市场中引进经验丰富的网络专家。这将使 CISO 能够在快速、持续的数字化转型时期与竞争对手保持同步。生成式 AI 的采用将在安全工具中越来越受欢迎。在神经网络的支持下,它可以帮助检测人类可能错过的关键网络异常、风险和模式。随着软件供应链攻击越来越专注于识别零日漏洞,零信任架构正在从一些组织的偏好演变为行业标准。现在有必要对操作进行持续验证。” ——Info-Tech Research Group 首席研究员 Fritz Jean-Louis 2023 年,业务运营部门需要更加了解网络安全威胁环境,并招聘经验丰富的网络专家。这将使 CISO 能够在持续发展的数字化转型时代跟上竞争对手的步伐。生成式 AI 技术会在新一代安全工具中得到更广泛的应用。这种技术基于卷积神经网络,有助于检测关键性的网络异常、风险和模式。随着软件供应链攻击越来越致力于利用零日漏洞,企业现在有必要实现数字化业务发展中的持续安全运营。
将安全策略即代码纳入到建设实践中
随着 Kubernetes 应用程序成为主流,攻击强度和向量也在增长。这将导致 Kubernetes 原生数据保护工具的重要性进一步提高,以确保备份仍然是您的最后一道防线。组织还必须优先考虑自然(使用/保护基础代码库)和培养(运营最佳实践,包括身份管理、数据加密)之间的平衡。最后,在 DevSecOps 世界中,企业需要将政策即代码纳入其流程,以制度化额外的保护层,并确保在多样化的环境中实施安全实践。” ——Veeam 产品和合作伙伴关系副总裁 Gaurav Rishi 随着容器化的应用系统开发模式成为主流,新型网络攻击途径和强度也会随之发生变化。这将导致 Kubernetes 原生数据保护工具变得更加重要,确保系统数据安全仍然是最后一道防线。企业不仅应该重视系统本身的使用安全和基础代码库保护,还应该加强系统使用中的身份管理和数据应用加密。在 DevSecOps 环境下,企业要尽快地将安全策略即代码整合到流程中,以落实额外的保护层,并确保安全实践在各种异构环境下能够统一实施。
通过增强网络弹性来降低风险
我们的移动设备经常触手可及并存储个人敏感数据,使它们很容易成为恶意攻击的目标。组织必须在 2023 年优先考虑网络弹性和降低风险的战略。为实现这一目标,团队可以引入左移方法,在开发过程的早期实施代码和策略,以识别安全漏洞和弱点。然而,最成功的团队将以持续和敏捷的方式在整个开发生命周期中集成测试参数和检查点——而不仅仅是“左移”。期待看到更多团队将安全分析引入 CI/CD 管道,包括静态代码和动态分析活动,以及通过功能测试和模拟服务进行验证。” ——Perfecto by Perforce 首席市场官 Eran Kinsbruner 移动设备在现代化办公中已经触手可及,其中存储有大量个人敏感数据,很容易成为恶意攻击的目标。企业在 2023 年须高度重视网络安全弹性和降低潜在风险的战略。为此,团队可以引入“安全左移”的防护方法,在应用的开发阶段识别安全漏洞和风险代码。当然,最理想的状态是在整个应用系统全生命周期中持续敏捷地整合测试参数和检查点,而不是仅仅局限于“安全左移”。因此,有条件的安全团队应该将安全分析能力引入到 CI/CD 管道,包括静态代码和动态分析活动,以及利用功能测试和模拟服务来进行验证。
加强物联网应用的合规
物联网漏洞将继续存在。2023 年将继续困扰物联网供应商的一个领域是他们对安全研究人员接触漏洞披露和修补的反应缓慢(或缺乏反应)。欧盟网络弹性法案等新法规预计会带来一些缓解措施,但这将对在欧盟销售的产品引入强制性网络安全要求,但预计该法律最早要到 2025 年才会生效。” ——比特梵德物联网安全主管 Dan Berte 物联网漏洞将继续存在,并在 2023 年会继续困扰企业的物联网应用。一个重要原因就是,物联网方案商对安全研究人员披露的漏洞和补丁反应缓慢。随着《欧盟网络弹性法案》等新法规的颁布,预计会改善这方面的情况,这些法规会对物联网产品的销售和应用提出强制性的网络安全要求,并明确处罚的措施和要求。尽管相关法案的最终生效还需要几年的时间,但是企业应该对此提前进行准备。
不断加强企业员工的安全培训
勒索软件攻击将在 2023 年继续上升。在当今的威胁形势下,没有人的系统是安全的,也没有迹象表明网络犯罪分子会放慢这些努力。” 在安全方面,人是最薄弱的环节。我们的研究发现,员工忽视公司安全建议是 IT 安全决策者最关心的问题之一,39% 的员工担心勒索软件攻击会超出其公司的安全能力。随着我们不断看到可以规避典型安全堆栈的技术不断涌现,例如高度规避自适应威胁 (HEAT) 攻击,网络攻击者变得越来越聪明也就不足为奇了。” ——Menlo Security 网络安全战略高级主管 Mark Guntrip 目前,还没有迹象表明网络犯罪分子会减慢发起攻击的步伐。因此在 2023 年的网络安全威胁形势下,没有一家组织的信息化应用系统是绝对安全的,而人是安全领域最薄弱的环节。研究数据显示,无视组织安全建议的员工是企业安全决策管理者最为担心的薄弱因素。随着网络攻击者变得越来越狡猾,我们不断看到可以规避典型安全架构的新技术层出不穷,比如高度规避性自适应威胁(HEAT)攻击等。只有全面提升每个员工的安全意识和责任心,才能尽可能减少企业被恶意攻击的次数。