數(shù)據(jù)泄露、勒索軟件攻擊以及新冠疫情帶來的嚴(yán)峻挑戰(zhàn)，使企業(yè)管理層不斷提升對網(wǎng)絡(luò)安全的重視度，并開始就風(fēng)險暴露和管理方法提出了更高要求。網(wǎng)絡(luò)安全建設(shè)不再只是企業(yè)經(jīng)營的一項成本，而是未來數(shù)字化轉(zhuǎn)型發(fā)展的基礎(chǔ)。因此，CISO和安全團(tuán)隊需要認(rèn)真思考如何順應(yīng)這種不斷變化的發(fā)展趨勢。

為了幫助企業(yè)CISO更加高效地開展2023年度網(wǎng)絡(luò)安全規(guī)劃和建設(shè)工作，網(wǎng)絡(luò)安全專家們給出了以下重點(diǎn)工作建議。

1. “提前做好勒索軟件攻擊的準(zhǔn)備”

——Jobber安全主管Brian Masson

2023年，企業(yè)組織會看到更多的勒索軟件攻擊，因此安全主管們需要提前做好準(zhǔn)備。身份和訪問管理（IAM）一直是企業(yè)網(wǎng)絡(luò)安全建設(shè)的薄弱環(huán)節(jié)。糟糕的密碼實(shí)踐、缺失多因素身份驗(yàn)證（MFA）等諸多不完善的網(wǎng)絡(luò)安全防護(hù)狀況在很長時間內(nèi)難以在企業(yè)中得到根本性改變。同時，我們還會看到有政府背景的攻擊正在造成越來越大的影響。在此形勢下，企業(yè)組織應(yīng)該盡快加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)，提前發(fā)現(xiàn)勒索軟件攻擊可能對組織數(shù)字化業(yè)務(wù)發(fā)展帶來的影響，并通過開展安全演練等活動做好應(yīng)對勒索攻擊的準(zhǔn)備。

2. “利用EDR技術(shù)重建端點(diǎn)安全”

——NTT DATA安全服務(wù)副總裁Sushila Nair

勒索軟件攻擊是企業(yè)數(shù)字化業(yè)務(wù)安全的主要威脅，并會愈演愈烈。而勒索病毒的初始感染途徑大多是通過端點(diǎn)，因此組織需要加強(qiáng)端點(diǎn)安全建設(shè)，以減小攻擊面。2023年，組織應(yīng)該重視使用復(fù)雜的端點(diǎn)檢測和響應(yīng)（EDR）來重建端點(diǎn)的安全防護(hù)能力。此外，企業(yè)組織應(yīng)該更注重結(jié)合MFA保護(hù)的單點(diǎn)登錄，并更慎重地使用免費(fèi)版SaaS應(yīng)用程序或無法與單點(diǎn)登錄集成的應(yīng)用系統(tǒng)。

3. “讓企業(yè)安全協(xié)同建設(shè)更廣泛”

——Devo CISO Kayla Williams

如今企業(yè)對誰是網(wǎng)絡(luò)安全工作的責(zé)任人存在諸多誤解。CISO及安全團(tuán)隊所制定的安全戰(zhàn)略，如果得不到企業(yè)管理層和各個業(yè)務(wù)部門的支持，就無法有效的落地實(shí)施。因此，要保障數(shù)字化轉(zhuǎn)型的安全開展，企業(yè)每個部門都應(yīng)該參與并配合實(shí)施安全團(tuán)隊的安全建議和防護(hù)控制措施。企業(yè)數(shù)字化發(fā)展中之所以存在大量的安全漏洞，主要原因在于安全團(tuán)隊的規(guī)劃與具體實(shí)施之間存在脫節(jié)。在2023年，各企業(yè)應(yīng)該努力去解決好這個問題，讓各部門更重視網(wǎng)絡(luò)安全工作，并且和IT部門、安全運(yùn)營團(tuán)隊更好地協(xié)同配合。

4. “向零信任架構(gòu)轉(zhuǎn)型將更加重要”

——Veeam首席技術(shù)官Danny Allan

2023年企業(yè)網(wǎng)絡(luò)安全建設(shè)的根本性任務(wù)就是要通過各種有效的方式應(yīng)對新型網(wǎng)絡(luò)攻擊威脅，作為一種驗(yàn)證訪問和提高安全性的手段，零信任架構(gòu)會越來越重要，并會得到更多的項目預(yù)算。不過，企業(yè)向零信任架構(gòu)轉(zhuǎn)型需要慎重規(guī)劃，現(xiàn)有系統(tǒng)和零信任環(huán)境需要時間磨合才能共存。目前零信任技術(shù)仍在快速成長，持續(xù)了解零信任技術(shù)和解決方案的發(fā)展對于長期保護(hù)投資很重要。

5. “讓網(wǎng)絡(luò)安全建設(shè)實(shí)踐更加透明”

——Object First產(chǎn)品營銷副總裁Tony Liau

消費(fèi)者已經(jīng)越來越意識到數(shù)據(jù)隱私保護(hù)的重要性，因此在2023年，企業(yè)與客戶互動和溝通的方式將會有所改變。組織需要在與消費(fèi)者的信息傳達(dá)方面加強(qiáng)透明度，而不是企圖淡化或隱瞞安全事件。企業(yè)需要及時承認(rèn)問題，并透露安全事件的更多細(xì)節(jié)，這樣可以表明自己在采取什么措施來緩解問題，并防止重蹈覆轍?？蛻魰蕾p這種坦誠的做法，并更加信任在網(wǎng)絡(luò)安全實(shí)踐方面做到開放透明的企業(yè)。

6. “生成式AI被更加廣泛的采用”

——Info-Tech Research Group首席研究員Fritz Jean-Louis

2023年，業(yè)務(wù)運(yùn)營部門需要更加了解網(wǎng)絡(luò)安全威脅環(huán)境，并招聘經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)專家。這將使CISO能夠在持續(xù)發(fā)展的數(shù)字化轉(zhuǎn)型時代跟上競爭對手的步伐。生成式AI技術(shù)會在新一代安全工具中得到更廣泛的應(yīng)用。這種技術(shù)基于卷積神經(jīng)網(wǎng)絡(luò)，有助于檢測關(guān)鍵性的網(wǎng)絡(luò)異常、風(fēng)險和模式。隨著軟件供應(yīng)鏈攻擊越來越致力于利用零日漏洞，企業(yè)現(xiàn)在有必要實(shí)現(xiàn)數(shù)字化業(yè)務(wù)發(fā)展中的持續(xù)安全運(yùn)營。

7. “將安全策略即代碼納入到建設(shè)實(shí)踐中”

——Veeam產(chǎn)品和合作伙伴關(guān)系副總裁Gaurav Rishi

隨著容器化的應(yīng)用系統(tǒng)開發(fā)模式成為主流，新型網(wǎng)絡(luò)攻擊途徑和強(qiáng)度也會隨之發(fā)生變化。這將導(dǎo)致Kubernetes原生數(shù)據(jù)保護(hù)工具變得更加重要，確保系統(tǒng)數(shù)據(jù)安全仍然是最后一道防線。企業(yè)不僅應(yīng)該重視系統(tǒng)本身的使用安全和基礎(chǔ)代碼庫保護(hù)，還應(yīng)該加強(qiáng)系統(tǒng)使用中的身份管理和數(shù)據(jù)應(yīng)用加密。在DevSecOps環(huán)境下，企業(yè)要盡快地將安全策略即代碼整合到流程中，以落實(shí)額外的保護(hù)層，并確保安全實(shí)踐在各種異構(gòu)環(huán)境下能夠統(tǒng)一實(shí)施。

8. “通過增強(qiáng)網(wǎng)絡(luò)彈性來降低風(fēng)險”

——Perfecto by Perforce首席市場官Eran Kinsbruner

移動設(shè)備在現(xiàn)代化辦公中已經(jīng)觸手可及，其中存儲有大量個人敏感數(shù)據(jù)，很容易成為惡意攻擊的目標(biāo)。企業(yè)在2023年須高度重視網(wǎng)絡(luò)安全彈性和降低潛在風(fēng)險的戰(zhàn)略。為此，團(tuán)隊可以引入“安全左移”的防護(hù)方法，在應(yīng)用的開發(fā)階段識別安全漏洞和風(fēng)險代碼。當(dāng)然，最理想的狀態(tài)是在整個應(yīng)用系統(tǒng)全生命周期中持續(xù)敏捷地整合測試參數(shù)和檢查點(diǎn)，而不是僅僅局限于“安全左移”。因此，有條件的安全團(tuán)隊?wèi)?yīng)該將安全分析能力引入到CI/CD管道，包括靜態(tài)代碼和動態(tài)分析活動，以及利用功能測試和模擬服務(wù)來進(jìn)行驗(yàn)證。

9. “加強(qiáng)物聯(lián)網(wǎng)應(yīng)用的合規(guī)”

——比特梵德物聯(lián)網(wǎng)安全主管Dan Berte

物聯(lián)網(wǎng)漏洞將繼續(xù)存在，并在2023年會繼續(xù)困擾企業(yè)的物聯(lián)網(wǎng)應(yīng)用。一個重要原因就是，物聯(lián)網(wǎng)方案商對安全研究人員披露的漏洞和補(bǔ)丁反應(yīng)緩慢。隨著《歐盟網(wǎng)絡(luò)彈性法案》等新法規(guī)的頒布，預(yù)計會改善這方面的情況，這些法規(guī)會對物聯(lián)網(wǎng)產(chǎn)品的銷售和應(yīng)用提出強(qiáng)制性的網(wǎng)絡(luò)安全要求，并明確處罰的措施和要求。盡管相關(guān)法案的最終生效還需要幾年的時間，但是企業(yè)應(yīng)該對此提前進(jìn)行準(zhǔn)備。

10.“不斷加強(qiáng)企業(yè)員工的安全培訓(xùn)”

——Menlo Security網(wǎng)絡(luò)安全戰(zhàn)略高級主管Mark Guntrip

目前，還沒有跡象表明網(wǎng)絡(luò)犯罪分子會減慢發(fā)起攻擊的步伐。因此在2023年的網(wǎng)絡(luò)安全威脅形勢下，沒有一家組織的信息化應(yīng)用系統(tǒng)是絕對安全的，而人是安全領(lǐng)域最薄弱的環(huán)節(jié)。研究數(shù)據(jù)顯示，無視組織安全建議的員工是企業(yè)安全決策管理者最為擔(dān)心的薄弱因素。隨著網(wǎng)絡(luò)攻擊者變得越來越狡猾，我們不斷看到可以規(guī)避典型安全架構(gòu)的新技術(shù)層出不窮，比如高度規(guī)避性自適應(yīng)威脅（HEAT）攻擊等。只有全面提升每個員工的安全意識和責(zé)任心，才能盡可能減少企業(yè)被惡意攻擊的次數(shù)。

參考鏈接：

https://www.spiceworks.com/it-security/cyber-risk-management/interviews/top-cybersecurity-trends-2023/