每位CISO都必须在2023年准备应对的19大网络安全趋势

我们在 2022 年看到了无数网络安全漏洞。攻击变得更加复杂,机器人变得更加狡猾,漏洞成本成倍增加。然而,企业在应对众所周知的威胁方面准备不足。随着新技术的兴起和远程工作的日益普及,网络犯罪分子迅速调整了他们的策略。他们现在以前所未有的方式瞄准企业。,,因此,每个组织都需要重新调整其网络安全目标和流程,以满足威胁形势不断变化的需求。CISO 必须保持领先地位,并为定义 2023 年的网络安全趋势做好准备。,1. 勒索软件攻击将继续造成严重破坏,勒索软件攻击在 2022 年不断成为头条新闻。2022 年上半年, 发生了2.361 亿次勒索软件攻击。 仅检测这些攻击就花了大约 49 天。这导致这些攻击的成本猛增。 2022 年, 71% 的企业 是勒索软件的受害者。2023 年最重要的网络安全趋势之一是勒索软件攻击将继续困扰组织。,为什么这样?越来越多的公司正在规范远程工作。但是保护所有端点设备的安全策略和流程并不成熟。因此,我们看到了来自这些远程个人设备的勒索软件攻击的初始感染。需要做好端点防御准备。国家赞助的勒索软件,包括对关键基础设施的攻击,正在增加。25% 面临勒索软件攻击的公司被迫关闭业务。因此,投资安全解决方案,帮助您抵御勒索软件。,尽量减少勒索软件影响的最佳做法:,2. 关键基础设施保护,关键基础设施,包括 ICS(工业控制系统)和 OT(运营技术),是 2022 年网络犯罪分子的首要目标。通过攻击关键基础设施,攻击者可以扰乱人们的日常生活,扰乱必需品供应,并使整个经济陷入停顿。例如,2022 年的 Colonial Pipelines 勒索软件攻击摧毁了其整个网络。结果,它的生产陷入停顿。美国东海岸的天然气供应受到影响。,,此外,正在进行的俄乌战争向我们展示了地缘政治条件如何影响网络安全。鉴于全球经济衰退的可能性增加,不良行为者和敌对国家攻击关键基础设施的可能性很高。关键基础设施保护 (CIP) 是 2023 年网络安全的首要趋势。如果你处理关键基础设施,,3. 提防供应链攻击,另一个需要为 2023 年做好准备的关键网络安全趋势是供应链攻击的增加。攻击 在 3 年内增加了 742% 。2022 年发生了几起备受瞩目的供应链攻击,包括 GitHub OAuth 令牌攻击、Fishpig(Magneto 供应商)黑客攻击和 Okta 漏洞。今天的软件项目 平均有 204 个依赖项。Java 应用程序有近 148 个依赖项。即使这些供应商/组件之一遭到破坏,软件供应链中的每一家公司都会受到影响。,对于使用开源软件和组件的公司来说,供应链威胁尤为明显。2022 年发现了 88,000 个恶意开源软件包。许多组织认为,只要保护其 IT 基础设施,他们就是安全的。但现实是您的第 3方服务提供商的安全性直接影响您的安全。,在选择开源包时,您必须非常小心和彻底。以下是需要考虑的几个因素:,4. 不良机器人变得越来越复杂,是的。不良机器人变得越来越复杂和难以捉摸。他们甚至可以无缝绕过 WAF 和安全解决方案。攻击者广泛使用机器人程序,从传播恶意软件和抓取内容到使用 DDoS 攻击定位网络/应用程序。到 2023 年,攻击者将找到新的创新方法来部署机器人以实现其恶意目标。作为 CISO,您需要投资先进的机器人程序缓解解决方案 ,以在 2023 年加强网络安全。,5. 提防内部攻击,历史数据分析表明,内部威胁继续构成重大挑战。在过去两年中,解决内部安全问题的成本从 1145 万美元增长了 34% 至 1538 万美元。此外,到 2022 年,内部人员主导的事件发生频率激增了 44%。这一趋势将在 2023 年继续。混合工作的主流化将加剧内部攻击的威胁。从企业间谍和恶意到社会工程,内部攻击将更有针对性。内部攻击的一些原因如下:,CISO 需要在 2023 年使用全面的安全措施来控制内部威胁。这应包括以下内容:,6. 零信任不再只是一个流行语,零信任重要性的增加是 2023 年的另一个主要网络安全趋势。在 2022 年,零信任架构 (ZTA) 不仅仅是一个流行语或一个必备的安全措施。随着越来越多的采用,它已成为网络安全的最佳实践。,,随着组织面临许多网络威胁,零信任变得越来越流行。随着越来越多的组织采用零信任原则,我们很可能会看到持续的创新。我们相信更多的组织将(并且应该)对 ZTA 进行大量投资。,零信任可以通过多种方式实施:,实施这些措施可以显着降低数据泄露和其他网络安全事件的风险。,7. 零信任有实施挑战,虽然公司在 2023 年加速采用 ZTA,但实施失误的风险很高。,例如,,8. API 安全不可或缺,此前,Gartner 预测,到 2022 年,API 将成为网络攻击的主要目标。不幸的是,这个预言成真了。API 越来越流行,供不同的软件系统进行通信和交换数据。然而,这种增加的使用也使它们成为寻求利用 API 代码或架构漏洞的黑客的主要目标。,对 API 的一些常见攻击包括注入攻击(恶意代码被插入到 API 请求中)和拒绝服务攻击(黑客使用虚假请求使 API 过载,导致其崩溃或变得不可用)。由于 API 在现代软件开发中起着至关重要的作用,因此优先考虑API 安全并采取主动措施抵御潜在攻击至关重要。,9. 网络犯罪分子的进入门槛将不断降低,如今,网络犯罪分子无需成为技术奇才或经验丰富。漏洞利用工具包、租用机器人等的易用性降低了网络犯罪分子的进入门槛。如果 2023 年出现经济衰退,这些障碍将进一步降低。随着越来越多的人寻求快速简便的赚钱方式,将有更多的黑客可供雇佣。这是 2023 年另一个需要关注和准备的网络安全趋势。,10. 攻击面将继续扩大,我们已经掀起了使用 API、云技术和物联网设备的热潮。这些已经扩大了攻击面。推出 5G 高速网络服务为威胁增加了一个新的维度。攻击者可以在连接的设备和高速互联网连接之间挑选和利用多个端点/组件。2023 年,您需要专注于保护攻击面并加强安全态势。,,11. 关注网络弹性,尽管在强大的安全性方面进行了所有投资,但数据泄露是不可避免的。根据 Acronis 的预测,数据泄露的平均成本将在 2023 年达到 500 万美元。重要的是您可以如何有效地预防、抵御这些违规行为并从中恢复。,2023 年的首要网络安全趋势是对网络弹性的需求增加。从您的 SDLC 阶段开始,您必须优先考虑网络弹性,同时主动管理风险。安全工具和流程必须帮助您预测风险和预防事故。它还必须帮助您以最低的成本从网络事件中快速恢复。,12. 自动化和人工智能是网络安全的未来,这不仅是 2023 年的网络安全趋势,也是未来的趋势。网络犯罪分子正在利用同类最佳的技术和工具来策划违规行为。组织必须利用自动化、人工智能和机器学习来应对复杂的威胁。,在Cyber​​ Security Hub进行的一项研究中,19% 的网络安全专业人士透露,他们的组织正在投资人工智能和网络安全自动化。另一方面,网络犯罪分子也在采用人工智能和机器学习来扩大他们的攻击。因此,他们进行更广泛和复杂攻击的能力将得到显着增强。它可能使 2023 年成为发生更大规模、更复杂攻击的一年。,社交网络平台上的人类模仿、AI 支持的密码猜测和 Deepfakes 是 AI 滥用的几个例子。黑客们已经开始尝试使用 openAI 聊天机器人 ChatGPT 来编写恶意代码和创建黑客工具。尽管 OpenAI 的创建者已经采取了多项措施来防止将 AI 用于恶意目的,但企业必须做好防范高级攻击的准备。,13. 攻击者智取安全技术,网络犯罪分子不断寻找方法来规避 MFA(多因素身份验证)和 EDR(端点检测和响应)技术等安全技术。随着恶意软件签名的不断变化,黑客可以逃脱入侵检测系统等静态安全工具。我们可能会在 2023 年看到 EDR 规避工具在黑市上出售。CISO 需要考虑采用此类技术的风险。你还需要密切关注这方面的事态发展。,14. 大量社会工程攻击,2022 年上半年,记录了 2.55 亿次社会工程学攻击。鱼叉式网络钓鱼、社交媒体网络钓鱼、深度造假和电子商务诈骗是流行的攻击类型。攻击者在诱使毫无戒心的受害者服从他们的命令方面变得越来越有创意。我们相信,社会工程攻击将在 2023 年激增。作为 CISO,您必须预见到这些攻击并采取强有力的预防措施。,15. 认证措施的演变,从科技公司到州立大学,许多机构都采用了多因素身份验证 (MFA) 来确保安全。简化用户身份验证方法的工作也在进行中。此外,公共和私营部门实体将 MFA 作为其用户和/或员工政策的一部分执行,以加强安全措施。最新加入这一趋势的公司是 GitHub,该公司表示将在 2023 年引入双因素身份验证 (2FA),以增强其代码存储库服务的安全性。,16. 2023 年加密网络安全趋势,我们在 2022 年看到了几次大规模的加密货币黑客攻击,例如 浪人网络 (损失 6.2 亿美元)、虫洞桥黑客攻击(损失 3.2 亿美元)等。截至 2022 年 10 月,投资者在 125 起事件中因加密货币黑客损失了 30 亿美元。这些事件只会在 2023 年增加,使用加密货币的公司需要做好更好的准备。,17. 2023 年全球经济衰退与网络安全趋势,2023 年可能会出现全球经济衰退。这将通过以下方式影响 2023 年的网络安全趋势。,18. 多向量网络攻击呈上升趋势,2022 年 6 月,有史以来最大规模的 DDoS 攻击针对的是 Google Cloud Armor 用户。攻击持续了 69 分钟,并使用 HTTPS 进行。该攻击涉及来自 132 个国家/地区的 5,256 个源 IP,是有史以来规模最大的第 7 层 DDoS 攻击。谷歌表示,它比之前的记录大了 76%。DDoS 攻击的规模越来越大,激发了黑客进行多向量攻击。它通过在多个方面攻击公司来压倒公司。当公司试图减轻一种威胁媒介时,它们将同时成为另一种威胁媒介的目标。这意味着企业必须同时应对各种威胁媒介。,防止多向量网络攻击涉及实施针对不同攻击向量的措施。以下是一些步骤:,19. 安全实践的透明度很重要,网络安全实践的透明度确实是一个值得关注的趋势。近年来,我们看到组织和公众越来越意识到数据泄露和网络攻击的后果。因此,越来越多的组织要求其网络安全实践更加透明。网络安全实践的透明度可以采取多种形式,例如公开安全政策和程序、定期更新安全事件和违规行为,以及允许第三方对安全实践进行审计和评估。,当网络安全事件发生时,您需要通知您的利益相关者,告诉他们您现在正在采取哪些措施来减轻攻击,以及您正在采取哪些措施来防止未来的攻击。当组织不披露违规行为时,它会招致违规罚款并损害声誉。您需要诚实和透明,以培养客户和利益相关者之间的信任。当然,您不必说出所有内容;但消息传递需要清晰和公开。,结论,CISO 必须为 2023 年的这些网络安全趋势做好准备。需要注意的是,这些只是根据 2022 年的可用信息确定的预测和趋势。通过优先考虑网络安全,降低业务中断、财务损失和无法弥补的声誉损失的风险。,
,我们在 2022 年看到了无数网络安全漏洞。攻击变得更加复杂,机器人变得更加狡猾,漏洞成本成倍增加。然而,企业在应对众所周知的威胁方面准备不足。随着新技术的兴起和远程工作的日益普及,网络犯罪分子迅速调整了他们的策略。他们现在以前所未有的方式瞄准企业。,为什么这样?越来越多的公司正在规范远程工作。但是保护所有端点设备的安全策略和流程并不成熟。因此,我们看到了来自这些远程个人设备的勒索软件攻击的初始感染。需要做好端点防御准备。国家赞助的勒索软件,包括对关键基础设施的攻击,正在增加。25% 面临勒索软件攻击的公司被迫关闭业务。因此,投资安全解决方案,帮助您抵御勒索软件。,

版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《每位CISO都必须在2023年准备应对的19大网络安全趋势》
文章链接:https://zhuji.vsping.com/341636.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。