2023年十大網絡安全預測

我們 Datamation 網站通常會對下一年的發展做五大預測。由于網絡安全是一個如此充滿活力、有時甚至令人望而生畏的領域，五大預測不足以涵蓋這個領域。因此，我們對 2023 年做了以下十大預測。

1. 物聯網遭到攻擊

Hack The Box 公司的首席執行官 Haris Pylarinos 曾是一名道德黑客，他表示，自己不得不像網絡犯罪分子一樣思考，以确定 2023 年的幾大威脅。

他預測 2023 年将出現物聯網設備和傳感器大舉入侵的一幕。

Pylarinos 表示，業界低估了物聯網攻擊的危險性。掌握硬件技能對于防止災難性網絡攻擊至關重要，而這類攻擊可能會摧毀整個社會。

2. 安全文化浮出水面

應對網絡安全攻擊、新型病毒家族和新興威脅途徑的方法通常是開發一套新的網絡安全工具。

但是如今網絡安全領域的工具太多了，這種方法變得很笨拙。公司企業部署了所有最新的系統，卻被告知還需要勒索軟件防護、安全訪問服務邊緣（SASE）或零信任網絡訪問（ZTNA）等工具。這種情況似乎永遠沒個盡頭。

KnowBe4 公司的戰略洞察和研究高級副總裁 Joanna Huisman 認為，2023 年全球企業組織的重心會發生轉移，轉移到創建安全文化上。

Huisman 表示，如今大多數企業組織顯然需要安全意識培訓，它們正開始從單純的培訓轉向更加注重行為和文化。全球範圍内出現了一股積極的發展勢頭，緻力于打造強大的安全文化，這勢必需要高管和整個員工群體的支持。

3. 零信任趨于成熟

零信任已經成為 2022 年的熱門術語，但到目前為止，空談多過實踐。

Syxsense 公司的首席執行官 Ashley Leonard 表示，零信任技術在企業基礎設施中的實際應用很有限。2023 年，我們最終将看到零信任概念在企業 IT 環境中得到廣泛落實。

4. 自主端點

Syxsense 公司的 Leonard 還強調了端點在 IT、計算能力和網絡安全領域的角色發生了變化。

端點安全近年來越來越突出，這個趨勢會持續下去。有必要強調智能手機、PC、服務器、平闆電腦和筆記本電腦的安全性，因為它們是防止網絡入侵的第一道防線，以便當場阻止攻擊。但除了網絡安全外，更多的任務将會分包給端點。

Leonard 表示，近年來，雲計算備受關注，雲計算集中了計算能力，但在很多情況下，功能強大的處理器和端點都沒有得到充分利用。

如今由雲計算管理的許多任務可以在端點得到更好地執行，這種情況将在 2023 年開始改變。作為其中的一部分，編排和自動化技術将是支持 IT 團隊維護安全和服務的關鍵。

5. Chrome 攻擊

數據删除公司 Incogni 分析了 Chrome 網絡商店中 1237 個下載量不低于 1000 人次的 Chrome 擴展插件的風險情況。

研究表明，兩個 Chrome 擴展插件中就有一個（48.66%）具有高到非常高的風險，比如請求許可，可能因而暴露個人身份信息（PII）、分發廣告軟件和惡意軟件，或者記錄用戶的一切行為，包括他們在網上輸入的密碼和财務信息。

預計 2023 年會有大量針對 Chrome 和浏覽器擴展插件的攻擊。

Surfshark 公司的信息安全官 Aleksandras Valentij 表示，用戶應謹慎對待需要以下權限的浏覽器擴展插件：讀取和更改用戶訪問的所有網站上的所有數據、音頻捕獲、浏覽數據、剪貼闆讀取、桌面捕獲、文件系統、地理位置、存儲以及視頻捕獲。

在授予浏覽器擴展插件權限時記得運用常識，比如廣告攔截程序為什麼需要訪問音頻捕獲功能或訪問文件系統。

6. VPN 失去份額

與之前的許多技術一樣，虛拟專用網絡（VPN）曾經是一項前沿技術。

随着時間的推移，全球的 IT 和商業環境已經發生了變化，而 VPN 基本上保持不變。因此，VPN 現在可能無法阻止黑客入侵，它們有時可能會使黑客更容易得逞。企業可能會在 2023 年擺脫對 VPN 的依賴。

DH2i 公司的聯合創始人兼首席執行官 Don Boxley 表示，現在可以用現代軟件定義邊界（SDP）完成用 VPN 幾乎不可能完成的任務。

Boxley 表示，SDP 使企業組織能夠使用零信任網絡訪問隧道将任何對稱網絡地址轉換（NAT）背後的應用程序、服務器、物聯網設備和用戶連接到任何完全圓錐形 NAT（full cone NAT），無需重新配置網絡或設置複雜且易出問題的 VPN。

完全圓錐形 NAT 指這種 NAT：來自同一個内部 IP 地址和端口的所有請求被映射到同一個外部 IP 地址和端口。此外，任何外部主機可以将數據包發送到内部主機，隻需将數據包發送到被映射的外部地址。

7. Logj4 将推動創新

Logj4 漏洞敲響了一記警鐘，影響了全球十分之一的公司。

Platform.sh 公司的隐私和安全副總裁 Joey Stanford 認為，通過鼓勵企業雇傭經驗豐富的開發人員來執行漏洞檢查和加強軟件集成，為開源提供資金支持，Logj4 漏洞将在 2023 年促進更安全的開源創新。

Stanford 表示，政府層面也會有所行動，比如要求建立軟件材料清單（SBOM），以确保未來的軟件項目更安全，這将惠及使用和緻力于開源的企業，并确認其在未來互聯網開發中的應有地位。

8. 混沌工程将提高安全性

Quest 公司的技術策略師和首席工程師 Adrian Moir 表示，在來年，企業将改進其數據安全測試流程，日益部署混沌工程來夯實企業彈性。

混沌工程最初是為開發人員測試而構建，它可以幫助 IT 團隊測試恢複操作以及應用程序和數據傳輸管道。通過定期測試企業數據保護設備的每個環節，團隊将能夠确認從不可變數據存儲到可複制性的諸多恢複技術有效地工作。

Moir 表示，鑒于勒索軟件、自然災害及其他業務幹擾因素，企業高層将彈性和風險降低作為更高的優先級，預計企業會把這項工作視作常規數據保護操作的一部分。

9. BEC 驅動 MFA 的采用

商業電子郵件入侵（BEC）将繼續成為網絡攻擊者的首要攻擊方法，也是進入企業組織的最簡單途徑。

随着零日攻擊不斷增加，人們會考慮減小外部攻擊面。因此，BEC 将推動多因素身份驗證（MFA）的采用。

下一代托管服務提供商 Thrive 公司的首席信息安全官 Chip Gibbons 表示，MFA 将無處不在；沒有 MFA 的保護，任何東西都不應該從外部獲得。

10. 确定風險管理的優先級

談到網絡風險的治理和監管，VMware 公司的高級網絡安全策略師 Karen Worstell 認為，由于網絡風險本身涉及更大的利害關系以及企業聲譽通常不堪一擊，整個體系已崩潰。

Worstell 表示，因此，企業将加大網絡風險管理方面的投入力度。

董事會在确保充分控制和報告網絡攻擊的流程方面需要極其明确的角色和責任。網絡風險治理不僅僅是首席信息安全官的責任。現在，它顯然是企業主管需要操心的問題。說到網絡安全，推诿注定是行不通的。

緩解風險

Codeproof 公司的首席執行官 Satish Shetty 給出了一些建議，這将幫助企業降低風險，避免成為媒體的頭條新聞：

•對員工進行安全培訓，告知不要點擊網絡釣魚鍊接或從外部郵件下載附件。

•使用 Slack 和 Microsoft Teams 之類的應用程序進行内部溝通。

•主要使用電子郵件進行外部溝通。

•遷移到基于雲的電子郵件服務，比如 Microsoft 365 或 Google Workspace，而不是使用内部電子郵件服務器。

•部署移動設備管理（MDM）和移動威脅防禦（MTD）軟件，以保護移動設備和便攜式設備，充分利用其執行安全配置的功能。

•在線帳戶使用強密碼和雙因素身份驗證。