由于網(wǎng)絡安全是一個如此充滿活力、有時甚至令人望而生畏的領域，因此，我們對2023年做了以下十大預測。

1. 物聯(lián)網(wǎng)遭到攻擊

Hack The Box公司的首席執(zhí)行官Haris Pylarinos曾是一名道德黑客，他表示，自己不得不像網(wǎng)絡犯罪分子一樣思考，以確定2023年的幾大威脅。

他預測2023年將出現(xiàn)物聯(lián)網(wǎng)設備和傳感器大舉入侵的一幕。

Pylarinos表示，業(yè)界低估了物聯(lián)網(wǎng)攻擊的危險性。掌握硬件技能對于防止災難性網(wǎng)絡攻擊至關重要，而這類攻擊可能會摧毀整個社會。

2. 安全文化浮出水面

應對網(wǎng)絡安全攻擊、新型病毒家族和新興威脅途徑的方法通常是開發(fā)一套新的網(wǎng)絡安全工具。

但是如今網(wǎng)絡安全領域的工具太多了，這種方法變得很笨拙。公司企業(yè)部署了所有最新的系統(tǒng)，卻被告知還需要勒索軟件防護、安全訪問服務邊緣（SASE）或零信任網(wǎng)絡訪問（ZTNA）等工具。這種情況似乎永遠沒個盡頭。

KnowBe4公司的戰(zhàn)略洞察和研究高級副總裁Joanna Huisman認為，2023年全球企業(yè)組織的重心會發(fā)生轉(zhuǎn)移，轉(zhuǎn)移到創(chuàng)建安全文化上。

Huisman表示，如今大多數(shù)企業(yè)組織顯然需要安全意識培訓，它們正開始從單純的培訓轉(zhuǎn)向更加注重行為和文化。全球范圍內(nèi)出現(xiàn)了一股積極的發(fā)展勢頭，致力于打造強大的安全文化，這勢必需要高管和整個員工群體的支持。

3. 零信任趨于成熟

零信任已經(jīng)成為2022年的熱門術語，但到目前為止，空談多過實踐。

Syxsense公司的首席執(zhí)行官Ashley Leonard表示，零信任技術在企業(yè)基礎設施中的實際應用很有限。2023年，我們最終將看到零信任概念在企業(yè)IT環(huán)境中得到廣泛落實。

4. 自主端點

Syxsense公司的Leonard還強調(diào)了端點在IT、計算能力和網(wǎng)絡安全領域的角色發(fā)生了變化。

端點安全近年來越來越突出，這個趨勢會持續(xù)下去。有必要強調(diào)智能手機、PC、服務器、平板電腦和筆記本電腦的安全性，因為它們是防止網(wǎng)絡入侵的第一道防線，以便當場阻止攻擊。但除了網(wǎng)絡安全外，更多的任務將會分包給端點。

Leonard表示，近年來，云計算備受關注，云計算集中了計算能力，但在很多情況下，功能強大的處理器和端點都沒有得到充分利用。

如今由云計算管理的許多任務可以在端點得到更好地執(zhí)行，這種情況將在2023年開始改變。作為其中的一部分，編排和自動化技術將是支持IT團隊維護安全和服務的關鍵。

5. Chrome攻擊

數(shù)據(jù)刪除公司Incogni分析了Chrome網(wǎng)絡商店中1237個下載量不低于1000人次的Chrome擴展插件的風險情況。

研究表明，兩個Chrome擴展插件中就有一個（48.66%）具有高到非常高的風險，比如請求許可，可能因而暴露個人身份信息（PII）、分發(fā)廣告軟件和惡意軟件，或者記錄用戶的一切行為，包括他們在網(wǎng)上輸入的密碼和財務信息。

預計2023年會有大量針對Chrome和瀏覽器擴展插件的攻擊。

Surfshark公司的信息安全官Aleksandras Valentij表示，用戶應謹慎對待需要以下權限的瀏覽器擴展插件：讀取和更改用戶訪問的所有網(wǎng)站上的所有數(shù)據(jù)、音頻捕獲、瀏覽數(shù)據(jù)、剪貼板讀取、桌面捕獲、文件系統(tǒng)、地理位置、存儲以及視頻捕獲。

在授予瀏覽器擴展插件權限時記得運用常識，比如廣告攔截程序為什么需要訪問音頻捕獲功能或訪問文件系統(tǒng)。

6. VPN失去份額

與之前的許多技術一樣，虛擬專用網(wǎng)絡（VPN）曾經(jīng)是一項前沿技術。

隨著時間的推移，全球的IT和商業(yè)環(huán)境已經(jīng)發(fā)生了變化，而VPN基本上保持不變。因此，VPN現(xiàn)在可能無法阻止黑客入侵，它們有時可能會使黑客更容易得逞。企業(yè)可能會在2023年擺脫對VPN的依賴。

DH2i公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Don Boxley表示，現(xiàn)在可以用現(xiàn)代軟件定義邊界（SDP）完成用VPN幾乎不可能完成的任務。

Boxley表示，SDP使企業(yè)組織能夠使用零信任網(wǎng)絡訪問隧道將任何對稱網(wǎng)絡地址轉(zhuǎn)換（NAT）背后的應用程序、服務器、物聯(lián)網(wǎng)設備和用戶連接到任何完全圓錐形NAT（full cone NAT），無需重新配置網(wǎng)絡或設置復雜且易出問題的VPN。

完全圓錐形NAT指這種NAT：來自同一個內(nèi)部IP地址和端口的所有請求被映射到同一個外部IP地址和端口。此外，任何外部主機可以將數(shù)據(jù)包發(fā)送到內(nèi)部主機，只需將數(shù)據(jù)包發(fā)送到被映射的外部地址。

7. Logj4將推動創(chuàng)新

Logj4漏洞敲響了一記警鐘，影響了全球十分之一的公司。

Platform.sh公司的隱私和安全副總裁Joey Stanford認為，通過鼓勵企業(yè)雇傭經(jīng)驗豐富的開發(fā)人員來執(zhí)行漏洞檢查和加強軟件集成，為開源提供資金支持，Logj4漏洞將在2023年促進更安全的開源創(chuàng)新。

Stanford表示，政府層面也會有所行動，比如要求建立軟件材料清單（SBOM），以確保未來的軟件項目更安全，這將惠及使用和致力于開源的企業(yè)，并確認其在未來互聯(lián)網(wǎng)開發(fā)中的應有地位。

8. 混沌工程將提高安全性

Quest公司的技術策略師和首席工程師Adrian Moir表示，在來年，企業(yè)將改進其數(shù)據(jù)安全測試流程，日益部署混沌工程來夯實企業(yè)彈性。

混沌工程最初是為開發(fā)人員測試而構(gòu)建，它可以幫助IT團隊測試恢復操作以及應用程序和數(shù)據(jù)傳輸管道。通過定期測試企業(yè)數(shù)據(jù)保護設備的每個環(huán)節(jié)，團隊將能夠確認從不可變數(shù)據(jù)存儲到可復制性的諸多恢復技術有效地工作。

Moir表示，鑒于勒索軟件、自然災害及其他業(yè)務干擾因素，企業(yè)高層將彈性和風險降低作為更高的優(yōu)先級，預計企業(yè)會把這項工作視作常規(guī)數(shù)據(jù)保護操作的一部分。

9. BEC驅(qū)動MFA的采用

商業(yè)電子郵件入侵（BEC）將繼續(xù)成為網(wǎng)絡攻擊者的首要攻擊方法，也是進入企業(yè)組織的最簡單途徑。

隨著零日攻擊不斷增加，人們會考慮減小外部攻擊面。因此，BEC將推動多因素身份驗證（MFA）的采用。

下一代托管服務提供商Thrive公司的首席信息安全官Chip Gibbons表示，MFA將無處不在；沒有MFA的保護，任何東西都不應該從外部獲得。

10. 確定風險管理的優(yōu)先級

談到網(wǎng)絡風險的治理和監(jiān)管，VMware公司的高級網(wǎng)絡安全策略師Karen Worstell認為，由于網(wǎng)絡風險本身涉及更大的利害關系以及企業(yè)聲譽通常不堪一擊，整個體系已崩潰。

Worstell表示，因此，企業(yè)將加大網(wǎng)絡風險管理方面的投入力度。

董事會在確保充分控制和報告網(wǎng)絡攻擊的流程方面需要極其明確的角色和責任。網(wǎng)絡風險治理不僅僅是首席信息安全官的責任?，F(xiàn)在，它顯然是企業(yè)主管需要操心的問題。說到網(wǎng)絡安全，推諉注定是行不通的。

緩解風險

Codeproof公司的首席執(zhí)行官Satish Shetty給出了一些建議，這將幫助企業(yè)降低風險，避免成為媒體的頭條新聞：

?對員工進行安全培訓，告知不要點擊網(wǎng)絡釣魚鏈接或從外部郵件下載附件。

?使用Slack和Microsoft Teams之類的應用程序進行內(nèi)部溝通。

?主要使用電子郵件進行外部溝通。

?遷移到基于云的電子郵件服務，比如Microsoft 365或Google Workspace，而不是使用內(nèi)部電子郵件服務器。

?部署移動設備管理（MDM）和移動威脅防御（MTD）軟件，以保護移動設備和便攜式設備，充分利用其執(zhí)行安全配置的功能。

?在線帳戶使用強密碼和雙因素身份驗證。

及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)

【網(wǎng)絡安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權內(nèi)容。
電話：400-869-9193 負責人：張明