2023年十大网络安全预测

Datamation 网站通常会对下一年的发展做五大预测。由于网络安全是一个如此充满活力、有时甚至令人望而生畏的领域，五大预测不足以涵盖这个领域。因此，我们对 2023 年做了以下十大预测。

1. 物联网遭到攻击

Hack The Box 公司的首席执行官 Haris Pylarinos 曾是一名道德黑客，他表示，自己不得不像网络犯罪分子一样思考，以确定 2023 年的几大威胁。

他预测 2023 年将出现物联网设备和传感器大举入侵的一幕。

Pylarinos 表示，业界低估了物联网攻击的危险性。掌握硬件技能对于防止灾难性网络攻击至关重要，而这类攻击可能会摧毁整个社会。

2. 安全文化浮出水面

应对网络安全攻击、新型病毒家族和新兴威胁途径的方法通常是开发一套新的网络安全工具。

但是如今网络安全领域的工具太多了，这种方法变得很笨拙。公司企业部署了所有最新的系统，却被告知还需要勒索软件防护、安全访问服务边缘（SASE）或零信任网络访问（ZTNA）等工具。这种情况似乎永远没个尽头。

KnowBe4 公司的战略洞察和研究高级副总裁 Joanna Huisman 认为，2023 年全球企业组织的重心会发生转移，转移到创建安全文化上。

Huisman 表示，如今大多数企业组织显然需要安全意识培训，它们正开始从单纯的培训转向更加注重行为和文化。全球范围内出现了一股积极的发展势头，致力于打造强大的安全文化，这势必需要高管和整个员工群体的支持。

3. 零信任趋于成熟

零信任已经成为 2022 年的热门术语，但到目前为止，空谈多过实践。

Syxsense 公司的首席执行官 Ashley Leonard 表示，零信任技术在企业基础设施中的实际应用很有限。2023 年，我们最终将看到零信任概念在企业 IT 环境中得到广泛落实。

4. 自主端点

Syxsense 公司的 Leonard 还强调了端点在 IT、计算能力和网络安全领域的角色发生了变化。

端点安全近年来越来越突出，这个趋势会持续下去。有必要强调智能手机、PC、服务器、平板电脑和笔记本电脑的安全性，因为它们是防止网络入侵的第一道防线，以便当场阻止攻击。但除了网络安全外，更多的任务将会分包给端点。

Leonard 表示，近年来，云计算备受关注，云计算集中了计算能力，但在很多情况下，功能强大的处理器和端点都没有得到充分利用。

如今由云计算管理的许多任务可以在端点得到更好地执行，这种情况将在 2023 年开始改变。作为其中的一部分，编排和自动化技术将是支持 IT 团队维护安全和服务的关键。

5. Chrome 攻击

数据删除公司 Incogni 分析了 Chrome 网络商店中 1237 个下载量不低于 1000 人次的 Chrome 扩展插件的风险情况。

研究表明，两个 Chrome 扩展插件中就有一个（48.66%）具有高到非常高的风险，比如请求许可，可能因而暴露个人身份信息（PII）、分发广告软件和恶意软件，或者记录用户的一切行为，包括他们在网上输入的密码和财务信息。

预计 2023 年会有大量针对 Chrome 和浏览器扩展插件的攻击。

Surfshark 公司的信息安全官 Aleksandras Valentij 表示，用户应谨慎对待需要以下权限的浏览器扩展插件：读取和更改用户访问的所有网站上的所有数据、音频捕获、浏览数据、剪贴板读取、桌面捕获、文件系统、地理位置、存储以及视频捕获。

在授予浏览器扩展插件权限时记得运用常识，比如广告拦截程序为什么需要访问音频捕获功能或访问文件系统。

6. VPN 失去份额

与之前的许多技术一样，虚拟专用网络（VPN）曾经是一项前沿技术。

随着时间的推移，全球的 IT 和商业环境已经发生了变化，而 VPN 基本上保持不变。因此，VPN 现在可能无法阻止黑客入侵，它们有时可能会使黑客更容易得逞。企业可能会在 2023 年摆脱对 VPN 的依赖。

DH2i 公司的联合创始人兼首席执行官 Don Boxley 表示，现在可以用现代软件定义边界（SDP）完成用 VPN 几乎不可能完成的任务。

Boxley 表示，SDP 使企业组织能够使用零信任网络访问隧道将任何对称网络地址转换（NAT）背后的应用程序、服务器、物联网设备和用户连接到任何完全圆锥形 NAT（full cone NAT），无需重新配置网络或设置复杂且易出问题的 VPN。

完全圆锥形 NAT 指这种 NAT：来自同一个内部 IP 地址和端口的所有请求被映射到同一个外部 IP 地址和端口。此外，任何外部主机可以将数据包发送到内部主机，只需将数据包发送到被映射的外部地址。

7. Logj4 将推动创新

Logj4 漏洞敲响了一记警钟，影响了全球十分之一的公司。

Platform.sh 公司的隐私和安全副总裁 Joey Stanford 认为，通过鼓励企业雇佣经验丰富的开发人员来执行漏洞检查和加强软件集成，为开源提供资金支持，Logj4 漏洞将在 2023 年促进更安全的开源创新。

Stanford 表示，政府层面也会有所行动，比如要求建立软件材料清单（SBOM），以确保未来的软件项目更安全，这将惠及使用和致力于开源的企业，并确认其在未来互联网开发中的应有地位。

8. 混沌工程将提高安全性

Quest 公司的技术策略师和首席工程师 Adrian Moir 表示，在来年，企业将改进其数据安全测试流程，日益部署混沌工程来夯实企业弹性。

混沌工程最初是为开发人员测试而构建，它可以帮助 IT 团队测试恢复操作以及应用程序和数据传输管道。通过定期测试企业数据保护设备的每个环节，团队将能够确认从不可变数据存储到可复制性的诸多恢复技术有效地工作。

Moir 表示，鉴于勒索软件、自然灾害及其他业务干扰因素，企业高层将弹性和风险降低作为更高的优先级，预计企业会把这项工作视作常规数据保护操作的一部分。

9. BEC 驱动 MFA 的采用

商业电子邮件入侵（BEC）将继续成为网络攻击者的首要攻击方法，也是进入企业组织的最简单途径。

随着零日攻击不断增加，人们会考虑减小外部攻击面。因此，BEC 将推动多因素身份验证（MFA）的采用。

下一代托管服务提供商 Thrive 公司的首席信息安全官 Chip Gibbons 表示，MFA 将无处不在；没有 MFA 的保护，任何东西都不应该从外部获得。

10. 确定风险管理的优先级

谈到网络风险的治理和监管，VMware 公司的高级网络安全策略师 Karen Worstell 认为，由于网络风险本身涉及更大的利害关系以及企业声誉通常不堪一击，整个体系已崩溃。

Worstell 表示，因此，企业将加大网络风险管理方面的投入力度。

董事会在确保充分控制和报告网络攻击的流程方面需要极其明确的角色和责任。网络风险治理不仅仅是首席信息安全官的责任。现在，它显然是企业主管需要操心的问题。说到网络安全，推诿注定是行不通的。

缓解风险

Codeproof 公司的首席执行官 Satish Shetty 给出了一些建议，这将帮助企业降低风险，避免成为媒体的头条新闻：

・对员工进行安全培训，告知不要点击网络钓鱼链接或从外部邮件下载附件。

・使用 Slack 和 Microsoft Teams 之类的应用程序进行内部沟通。

・主要使用电子邮件进行外部沟通。

・迁移到基于云的电子邮件服务，比如 Microsoft 365 或 Google Workspace，而不是使用内部电子邮件服务器。

・部署移动设备管理（MDM）和移动威胁防御（MTD）软件，以保护移动设备和便携式设备，充分利用其执行安全配置的功能。

・在线帐户使用强密码和双因素身份验证。

————————————————

原文作者：黑白之道

转自链接：https://www.wangan.com/p/11v71979f7f1505c

版权声明：著作权归作者所有。商业转载请联系作者获得授权，非商业转载请保留以上作者信息和原文链接。