1.對網絡保險的需求將會增加,但它會變得更難獲得,作者:(ISC)²的CISOJonFrance
“網絡安全意識有其優點和缺點……其中一個缺點是網絡保險的保費較高。僅在2022年第一季度,網絡保險的保費就上漲了近28%與2021年第四季度相比。這主要是由于人們對勒索軟件、數據泄露、漏洞利用等網絡事件的財務和聲譽風險的認識提高。與此同時,保險商也對獲得網絡保險提出了更加嚴格的要求,要求進行雙因素身份驗證以及采用EDR、XDR等特定技術。事實上,這些文件過去是兩頁的調查問卷……現在是完整的審計,長達12頁以上。因此,增加網絡保險費和更嚴格的保險要求將成為2023年值得關注的有趣障礙。
另一方面,我們也可能會看到供應鏈問題發生率上升導致需求增加。由于這些問題,公司可能會開始越來越多地要求與他們合作的任何供應商或第三方必須擁有網絡保險。正如我們已經開始看到的那樣,隨著地緣政治問題蔓延到國外,除了公司不斷面臨的網絡威脅之外,公司將優先保護他們最重要的資產(包括他們的聲譽)。到2023年,對網絡保險的需求將繼續增加,獲得這些保單的價格和要求也將繼續增加。”
2.經濟衰退將導致培訓項目支出減少
“盡管人們認為網絡安全可能是一個抗衰退的行業,但在經濟低迷期間,人員和質量很可能會受到打擊。到目前為止,我們還沒有看到網絡安全的核心預算被削減,但培訓預算等更“自由裁量”的領域可能會出現縮減。這既適用于各種規模的公司的安全意識培訓,也適用于培訓網絡安全專業人員如何充分保護其關鍵資產。該行業已經面臨技能短缺,不幸的是,由于對熟練網絡安全工作者的需求增加,隨著2023年經濟衰退的到來,我們可能會看到技能短缺進一步惡化。”
3.2023年將是動蕩的一年,因為競爭激烈的隱私法規在州和地方層面獲得通過,作者:舒達席夢思床上用品信息安全副總裁兼首席信息安全官DrewPerry
“信息隱私將在可見性和執行方面繼續增長,但收費將由并不總是相互一致的各種區域法規牽頭。CISO將在組織風險方面發揮更大的咨詢作用,因為他們被要求幫助駕馭經常相互競爭的隱私規則,以使企業能夠盡可能接近歷史規范運營。在保護底線方面,明智的組織不會采取任何措施,因此CISO應該期望參與到以前不尋求他們的意見的對話中。在接下來的幾年里,能夠自如地走這些道路的CISO將受到追捧。”
4.安全領導者將更加關注網絡彈性,作者:Zoom首席信息安全官MichaelAdams:
“雖然保護組織免受網絡威脅始終是安全計劃的核心關注領域,但我們可以期待對網絡彈性的更多關注,這超出了保護范圍,包括在發生網絡事件時的恢復和連續性。它不僅投入資源抵御網絡威脅;它正在對人員、流程和技術進行投資,以減輕影響并在發生網絡事件時繼續運營。”
5.自動化和安全運營,作者:CardinalOps首席執行官兼聯合創始人MichaelMumcuoglu:
“到2023年,我們將看到自動化進入安全運營的剩余幾個領域,這些領域仍然依賴于手動流程。這些領域包括威脅暴露管理,它有助于全面解決諸如“我們如何準備檢測和響應最有可能以我們組織為目標的對手?”等問題。另一個將變得更加自動化的領域是檢測工程,它仍然高度依賴專業知識和部落知識。自動化不僅會降低這些組織的風險,還會將SOC人員從繁瑣的任務中解放出來,使他們能夠專注于真正需要人類創造力和創新的更有趣的挑戰,例如威脅搜尋和理解新的和新穎的行為。”
6.云原生漏洞的增加,作者:Solvo首席執行官ShiraShamban:
“我們不僅會看到整體安全事件的增加,而且特別是云原生漏洞的增加。根據2022研究,近一半的數據泄露發生在云端。隨著公司繼續將部分或整個基礎設施遷移到云中,我們將看到存儲在云中的數據和皇冠上的寶石數量增加,從而導致更多的云原生安全事件機會。應用程序必須以第三方可以信任的方式構建。由于這條供應鏈不安全,因此在網絡攻擊者眼中,在云中進行黑客攻擊具有越來越多的價值。”
7.TheonTechnology顧問委員會成員BryanCunningham的《量子解密》:
“到2023年底,每個組織都將與量子解密能力作斗爭。雖然到2022年人們對量子解密的未來(無人知曉)威脅的意識有所增強,但到2023年底,所有組織都將意識到他們將必須面對這種威脅。”
8.網絡安全培訓,Hoxhunt的聯合創始人兼首席執行官MikaAalto:
“到2023年,我們將看到網絡安全培訓的持續進步。人類并沒有進化到發現數字世界中的危險。學校系統不會教他們防御網絡攻擊的黑魔法。它在我們身上。人為風險是一個組織問題。讓我們的員工具備免受網絡釣魚攻擊的技能是我們的責任。
自動化、自適應學習和人工智能/機器學習可以幫助大規模提供個性化培訓。為什么這很重要?因為人們需要經常參加保持在他們技能水平邊緣的相關培訓,以便提高和保持參與。一段冗長、枯燥的視頻后接基于懲罰的網絡釣魚模擬已被證明是行不通的。專注于失敗會導致失敗。當人們在動態學習環境中獲得技能時對其進行獎勵會帶來可衡量的進步。這種方法廣泛地描述了游戲化,其成功基于行為科學和商業的既定原則,并將成為未來一年保護各種規模組織的關鍵。”
9.不良行為者的職業化,Tigera總裁兼首席執行官RatanTipirneni:
“勒索軟件即服務的可用性越來越高,這種模型為不良行為者提供復雜的漏洞分布,同時將他們與交易風險隔離開來,這將導致毫無準備的企業安全狀況惡化。隨時可用的威脅和不安全的部署的綜合影響肯定會導致引人注目的違規行為。在理想情況下,這些漏洞最終將使企業超越基準法規,使安全成為基礎工作。”
10.TheCyberBasics–CyberHygieneandAwareness,作者:Delinea首席安全科學家兼咨詢CISOJosephCarson:
“成為網絡安全社會的必要性將增加正確掌握基礎知識的必要性。這意味著網絡衛生和意識將成為2023年的重中之重。隨著越來越多的組織希望獲得網絡保險作為財務安全網,以保護其業務免受數據泄露和勒索軟件攻擊導致的嚴重財務風險,需要獲得可靠的保障到位的網絡戰略將被強制要求獲得保險。“便宜又容易”的時代已經結束。
這意味著要在2023年回歸基礎,提升網絡安全基線。持續的遠程工作和云轉型意味著需要通過多因素身份驗證、密碼管理和持續驗證來支持強大的訪問管理策略,以降低風險。
除了實施更好的訪問安全控制外,雇主還需要賦予員工更好的網絡安全意識。這意味著持續的培訓和教育,以確保隨著威脅的演變,員工了解情況并準備好成為網絡戰略的有力捍衛者。”
11.移動工作場所趨勢將為企業創造新的盲點,作者:SlashNext首席執行官PatrickHarr:
“個人通信渠道(游戲、LinkedIn、WhatsApp、Signal、Snapchat等)將在不良行為者設計的針對企業的攻擊路徑中發揮更大的作用。一旦單個用戶受到威脅,壞人就可以橫向移動以獲取業務。而且由于電子郵件現在至少有一些保護措施,網絡犯罪分子將更多注意力轉向這些其他通信渠道,并且成功率更高。
安全態勢的最大漏洞來自新混合勞動力中員工的個人數據。隨著組織采用新的個人消息傳遞、通信和協作渠道,這些盲點變得越來越明顯。攻擊者通過WhatsApp、Signal、Gmail和FacebookMessenger等受保護較少的個人通信渠道以員工為目標,以實施攻擊。然后它就變成了從外部立足點橫向滲透到組織中的問題。
此外,現在越來越多的人在同一設備上同時處理業務任務和個人生活,這是一個很大的盲點。我只看到這種趨勢在來年會加速。這一切都回到了:我如何驗證你真的是我正在與之交流的人?或者這是我假設的可信文件或公司網站鏈接?
對任何公司來說,最大的單一威脅不再是機器安全——它確實是人的安全因素。這就是為什么這些對人類的攻擊會繼續增加,因為人類容易犯錯,他們會分心,而且許多威脅不容易被識別為惡意的。”
12.聯網設備將需要更強大的安全性,作者:KeeperSecurity首席執行官兼聯合創始人DarrenGuccione:
“連接的物聯網設備數量多年來一直在增長,而且沒有放緩的跡象。在過去三年中,由于COVID-19的加速數字化轉型和基于云的計算的激增,物聯網設備的數量呈指數級增長。2022年物聯網市場預計增長18%到144億活躍連接。隨著越來越多的消費者和企業依賴聯網設備,這些聯網解決方案變得更容易受到網絡攻擊。因此,原始設備制造商(OEM)出貨的數十億臺設備將需要更高的開箱即用安全性,以降低惡意軟件入侵的風險及其對分布式拒絕服務(DDoS)攻擊的貢獻。為了防止和減輕破壞性攻擊,OEM的制造商和供應商必須在設備內設計安全性,將其嵌入連接設備的每一層。”
13.數據可見性和合規性,作者:DigSecurity首席執行官兼聯合創始人DanBenjamin:
“到2023年,CISO將優先采用能夠讓他們了解組織所持有的數據、數據所在的位置以及數據帶來的風險的解決方案。這種可見性對于安全領導者至關重要,因為他們制定計劃以滿足高度監管的世界中的合規性要求,并在日益具有挑戰性的威脅環境中保護數據。”
14.供應鏈安全,Coalfire副總裁CaitlinJohanson:
“2022年,美國尤其面臨來自國外創建、開發和運行的B2B和B2C技術的風險和漏洞——中國云軟件TikTok就是一個完美的例子。它開始引發許多問題,圍繞著代碼和應用程序的來源、將哪些數據放入這些應用程序以及這些數據的主權是什么。到2023年,我們將開始看到更多關于開發人員所在位置和代碼來源的審查,更多組織將關注軟件組成分析和安全代碼開發(應用程序安全)。基本上,質疑我們國家供應鏈的每個組成部分。Covid對我們供應鏈的總體位置提出了質疑,今年,
15.ICS/OT技能差距將因前所未有的需求而擴大,作者:HexagonAssetLifecycleIntelligence網絡生態系統全球總監EdwardLiebig
“研究表明,絕大多數電力、石油和天然氣以及制造企業在過去一年半左右的時間里都經歷過網絡攻擊。研究還表明,由于對熟練專業人員的高需求,網絡安全勞動力缺口正在擴大。除了多年來普遍存在的針對關鍵基礎設施系統的強烈威脅,拜登政府新的100天跨部門沖刺和更多法規的發布,還需要更多專業人士跟上。此外,許多組織目前缺乏能夠在IT和OT部門成功整合安全實踐和嚴格要求的員工,隨著2023年工業4.0的興起,這一點變得越來越重要。”
16.虛擬世界可能是下一件大事,但讓我們面對現實吧,作者:VMware首席網絡安全策略師RickMcElroy
“考慮到元宇宙的采用仍處于起步階段,元宇宙的未來相對未知,但企業仍在將其推向市場的速度超過了安全社區所接受的速度。我們已經在當前版本的數字世界中看到身份盜用和深度偽造攻擊的實例,其中不良行為者掠奪高管以在公司外部電匯數十萬美元。這不是說元宇宙虛擬現實中的類似騙局不會增加嗎?當我們開始展望2023年時,企業在交付這項新興技術時需要謹慎和考慮。將密碼拖入虛擬世界是導致泄露的一個秘訣。”
17.網絡風險管理將成為企業領導者的首要任務,作者:VMware高級網絡安全策略師KarenWorstell
“在網絡風險的治理和監督方面,我們的系統已經崩潰。它不再像十五年前那樣-我們正在處理更高的風險和脆弱的企業聲譽。因此,到2023年,我們將看到公司在網絡風險管理方面加倍努力。在確保充分控制和報告網絡攻擊的過程中,董事會需要有更明確的角色和責任。網絡風險治理不僅僅是CISO的領域,現在顯然是董事和官員級別的關注點。談到網絡,似是而非的否認已經死了。”
18.到2023年,復雜的固件攻擊將變得更加普遍,網絡犯罪分子將繼續投資于利用對端點設備的物理訪問的攻擊,作者:惠普公司系統安全研究與創新首席技術專家BorisBalacheff。
“到2023年,組織應該控制固件安全。曾經,固件攻擊僅被復雜的APT(高級持續威脅)組織和國家使用。但在過去的一年里,我們看到了網絡犯罪社區能力開發和交易增加的跡象——從破解BIOS密碼的工具,到針對設備BIOS(基本輸入/輸出系統)和UEFI(統一可擴展固件)的Rootkit和特洛伊木馬界面)。現在,我們在網絡犯罪市場上看到標價幾千美元的固件Rootkit。
隨著需求的增長,復雜攻擊功能的可負擔價格也隨之而來。我們應該期待看到更多此類商品在地下網絡犯罪中出售,進而引發更多固件攻擊。
對固件級別的訪問使攻擊者能夠獲得持久的控制權并隱藏在設備操作系統之下,使他們很難被發現——更不用說刪除和收回控制權了。組織應確保他們了解設備硬件和固件安全方面的行業最佳實踐和標準。他們還應該了解和評估可用于保護、檢測和從此類攻擊中恢復的最先進技術。”
