一年對于網(wǎng)絡(luò)安全來說是一段很長的時間。 

當(dāng)然，有一些常數(shù)。 多年來，勒索軟件一直是一個主要的網(wǎng)絡(luò)安全問題，但隨著網(wǎng)絡(luò)犯罪分子的攻擊不斷發(fā)展，勒索軟件并沒有消失的跡象。大量的企業(yè)網(wǎng)絡(luò)仍然容易受到攻擊，這通常是由于 長期可用更新的安全漏洞造成的。

特殊功能

了解未來 12 個月內(nèi)世界將趨向的領(lǐng)先技術(shù)趨勢，以及它們將如何影響您的生活和工作。

但是，即使認為自己掌握了網(wǎng)絡(luò)中的所有軟件漏洞，新的安全漏洞總是會出現(xiàn)——其中一些可能會產(chǎn)生重大影響。

以 Log4j 缺陷為例：一年前它是完全未知的，潛伏在代碼中。但在 12 月曝光后，CISA 負責(zé)人將其描述為最嚴(yán)重的缺陷之一。到 2022 年末，它仍然是隱藏在許多組織代碼中的一個經(jīng)常未經(jīng)處理的安全漏洞——這種情況很可能會持續(xù)到很遠的未來。

安全技能短缺

無論研究人員發(fā)現(xiàn)了最新的黑客伎倆或安全漏洞，無論是好是壞，人——而不是技術(shù)——始終是 網(wǎng)絡(luò)安全的核心。

該重點從基本層面開始，即員工能夠識別網(wǎng)絡(luò)釣魚鏈接或商業(yè)電子郵件泄露詐騙，以及雇用合適的信息安全團隊的老板，這有助于制定和監(jiān)控企業(yè)防御。 

但是網(wǎng)絡(luò)安全技能的需求量很大，以至于根本沒有足夠的員工可以四處走動。

博思艾倫高級副總裁兼國家網(wǎng)絡(luò)防御負責(zé)人 Kelly Rozumalski 說漢密爾頓：“隨著網(wǎng)絡(luò)威脅變得更加復(fù)雜，我們需要擁有應(yīng)對它們的資源和合適的技能。因為沒有專業(yè)人才，組織確實處于危險之中。”

“我們需要鼓勵來自各種不同背景的人——從計算機工程和編碼到心理學(xué)——探索網(wǎng)絡(luò)安全，因為要真正贏得人才戰(zhàn)爭，我們不僅需要致力于招聘，還需要致力于建立、留住和投資在我們的天賦中，”她說。

組織擁有適當(dāng)?shù)娜藛T和流程來預(yù)防或檢測網(wǎng)絡(luò)攻擊至關(guān)重要。不僅存在來自網(wǎng)絡(luò)犯罪團伙的網(wǎng)絡(luò)釣魚、惡意軟件攻擊或勒索軟件活動的持續(xù)日常風(fēng)險，還有來自黑客和敵對國家的威脅。 

新的和更大的供應(yīng)鏈威脅

雖然一段時間 以來網(wǎng)絡(luò)空間一直是國際間諜活動和其他活動的舞臺，但當(dāng)前的全球地緣政治環(huán)境正在制造更多威脅。

“我們將回到以大國競爭為特征的地緣政治范式，這是我們幾十年來從未有過的地方，”普華永道網(wǎng)絡(luò)和隱私創(chuàng)新研究所負責(zé)人、聯(lián)邦調(diào)查局網(wǎng)絡(luò)部門前助理主任馬特·戈勒姆 (Matt Gorham) 說。分配。 

“當(dāng)沒有真正的共識、紅線或規(guī)范以及網(wǎng)絡(luò)空間時，我們正在這樣做，”他補充道。 

例如，運行關(guān)鍵基礎(chǔ)設(shè)施的技術(shù)一直是俄羅斯入侵烏克蘭的目標(biāo)。 

在入侵開始前的幾個小時內(nèi)，衛(wèi)星通信提供商 Viasat 受到中斷的影響，中斷了烏克蘭和歐洲其他國家的寬帶連接——西方情報機構(gòu)將此事件歸咎于俄羅斯。 埃隆馬斯克還表示，俄羅斯試圖入侵 Starlink 的系統(tǒng)，Starlink是由他的SpaceX 火箭公司運營的衛(wèi)星通信網(wǎng)絡(luò)，為烏克蘭提供互聯(lián)網(wǎng)接入。

但這不僅僅是在敵對國家試圖通過網(wǎng)絡(luò)攻擊造成破壞的戰(zhàn)區(qū)：組織，特別是那些參與關(guān)鍵供應(yīng)鏈的組織，也發(fā)現(xiàn)自己成為了國家支持的黑客的目標(biāo)。 

看看俄羅斯黑客如何使用惡意軟件入侵一家大型軟件提供商，該軟件將惡意更新推出，為 美國多個政府機構(gòu)的網(wǎng)絡(luò)提供了后門。 

“擔(dān)憂總是由現(xiàn)實世界的事件驅(qū)動。因此，在過去的幾年里，我們看到了民族國家的供應(yīng)鏈攻擊，這些攻擊導(dǎo)致每個人都考慮與之相關(guān)的供應(yīng)鏈風(fēng)險，”Gorham 說，他敦促組織不僅要考慮如何防止網(wǎng)絡(luò)攻擊，還要考慮如何 檢測對網(wǎng)絡(luò)的惡意入侵并進行適當(dāng)?shù)奶幚怼?nbsp;

“如果一個州決心進入你的系統(tǒng)，他們有資源和能力這樣做——所以它是關(guān)于檢測它們并驅(qū)逐它們，”他補充道。

通常，允許攻擊者進入網(wǎng)絡(luò)的不是高級技術(shù)，而是常見的漏洞，例如 弱密碼、未應(yīng)用安全更新或缺乏雙因素身份驗證(2FA)。有時，尤其是在關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)網(wǎng)絡(luò)的情況下，運行這些系統(tǒng)的軟件可能已有多年歷史。 

Web3 和物聯(lián)網(wǎng)：新問題還是回歸基礎(chǔ)？

但是，僅僅因為某些東西是新的，這并不意味著它是自動安全的——隨著 Web3和物聯(lián)網(wǎng)(IoT) 等技術(shù)在 2023 年繼續(xù)取得進展，它們將成為網(wǎng)絡(luò)攻擊和黑客的更大目標(biāo). 

關(guān)于 Web3 的潛力仍然有很多炒作——這是一種通過使用區(qū)塊鏈、加密貨幣和基于代幣的經(jīng)濟學(xué)將控制權(quán)從大公司手中奪走并在用戶之間分散權(quán)力的網(wǎng)絡(luò)愿景。

但就像任何新技術(shù)一樣，尤其是伴隨著大量興奮和炒作的新技術(shù)，隨著軟件開發(fā)急于發(fā)布產(chǎn)品和服務(wù)，安全性經(jīng)常被遺忘——正如針對加密貨幣交易所的各種黑客攻擊所證明的那樣，攻擊者竊取了數(shù)百萬加密貨幣。 

“人們對新技術(shù)感到非常興奮。然后他們忘記考慮安全漏洞，因為他們急于實施它。在 Web3 中，我們看到了這種情況，人們被炒作開始 -但安全卻被拋在了后面，”曼徹斯特城市大學(xué)網(wǎng)絡(luò)安全講師、HackerOne 的漏洞賞金獵人Katie Paxton-Fear 說。 

由于這種情況， 漏洞賞金獵人在 Web3 應(yīng)用程序和服務(wù)中發(fā)現(xiàn)了許多漏洞。它們通常是主要漏洞，如果惡意黑客首先發(fā)現(xiàn)它們，可能會非常有利可圖——而且對用戶來說可能代價高昂。 

但是，雖然其中一些漏洞是新穎而復(fù)雜的，但許多影響加密貨幣交易所和其他 Web3 服務(wù)的安全漏洞都歸結(jié)為錯誤配置的服務(wù)或網(wǎng)絡(luò)釣魚攻擊，犯罪分子在這些攻擊中掌握了密碼。 

因此，雖然實驗性和不尋常的漏洞是一個問題，但建立網(wǎng)絡(luò)安全基礎(chǔ)可以幫助阻止 Web3 違規(guī)行為，特別是隨著該技術(shù)變得越來越流行，并且成為網(wǎng)絡(luò)犯罪分子更有吸引力的目標(biāo)。 

“這幾乎就像我們正在研究這些非?？岬男侣┒床⒈凰鼈兇笏列麄鳌覀兺浟嗽L問控制之類的東西，”Paxton-Fear 說。 

雖然區(qū)塊鏈和 Web3 目前可能仍被視為小眾技術(shù)，但物聯(lián)網(wǎng)并非如此，全球各地的家庭和工作場所安裝了數(shù)十億臺設(shè)備，其中包括一些有助于為關(guān)鍵基礎(chǔ)設(shè)施和醫(yī)療保健提供動力的設(shè)備。 

但是與其他新技術(shù)一樣，如果這些連接的設(shè)備沒有得到適當(dāng)?shù)谋Ｗo，那么它們可能會被破壞，甚至使整個網(wǎng)絡(luò)易受攻擊。這是一個需要考慮的差距，因為連接設(shè)備在我們的生活中變得越來越普遍。

Booz Allen Hamilton 的 Rozumalski 說：“我們正處于一個非常艱難的困境。但我們必須注意它。” “現(xiàn)在，不良行為者可以通過醫(yī)療設(shè)備進入，并以此為中心摧毀整個醫(yī)院網(wǎng)絡(luò)——這顯然會對患者護理產(chǎn)生影響。”

她認為，關(guān)鍵在于醫(yī)院和任何其他組織的關(guān)鍵基礎(chǔ)設(shè)施提供商都必須認識到，網(wǎng)絡(luò)安全在 2023 年的規(guī)劃和決策過程中發(fā)揮著關(guān)鍵作用，以幫助確保網(wǎng)絡(luò)盡可能安全地抵御威脅。 

2023 年網(wǎng)絡(luò)安全展望

“安全必須在談判桌上占有一席之地，這非常非常關(guān)鍵。但你需要從戰(zhàn)略上考慮如何降低這些風(fēng)險，因為這些設(shè)備很重要，”Rozumalski 說 - 她相信正在取得進展，隨著董事會越來越意識到網(wǎng)絡(luò)安全問題。然而，還有很多工作要做。 

“我認為我們在過去一年中采取了很多措施，這些措施將開始讓我們變得越來越好，并能夠在未來真正應(yīng)對其中的一些威脅”。 

而且她并不是唯一一個認為網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全預(yù)算仍需要更多關(guān)注的人，但總體而言，事情正在朝著正確的方向發(fā)展。 

普華永道的 Gorham 說：“人們越來越意識到這是一個重大而廣泛的威脅，并且存在重大風(fēng)險——這讓我有些樂觀，”盡管他意識到網(wǎng)絡(luò)安全不會突然變得完美。隨著世界進入 2023 年，仍有許多挑戰(zhàn)需要應(yīng)對。威脅不會消失——它很重要，而且隨著我們繼續(xù)進行數(shù)字化轉(zhuǎn)型，它只會變得更加重要。但我認為我們今天正在接受它這一事實對未來來說是一個好兆頭?！?/p>