在您為來年制定網(wǎng)絡安全彈性計劃、優(yōu)先事項和路線圖時，安全和風險專家提供了以下 2023 年網(wǎng)絡安全預測。

1. 對網(wǎng)絡保險的需求將會增加，但它會變得更難獲得， 作者：(ISC)2 的CISO Jon France

“網(wǎng)絡安全意識有其優(yōu)點和缺點……其中一個缺點是網(wǎng)絡保險的保費較高。僅在 2022 年第一季度，網(wǎng)絡保險的保費就上漲了近 28% 與 2021 年第四季度相比。這主要是由于人們對勒索軟件、數(shù)據(jù)泄露、漏洞利用等網(wǎng)絡事件的財務和聲譽風險的認識提高。與此同時，保險商也對獲得網(wǎng)絡保險提出了更加嚴格的要求，要求進行雙因素身份驗證以及采用 EDR、XDR 等特定技術。事實上，這些文件過去是兩頁的調(diào)查問卷……現(xiàn)在是完整的審計，長達 12 頁以上。因此，增加網(wǎng)絡保險費和更嚴格的保險要求將成為 2023 年值得關注的有趣障礙。  

另一方面，我們也可能會看到供應鏈問題發(fā)生率上升導致需求增加。由于這些問題，公司可能會開始越來越多地要求與他們合作的任何供應商或第三方必須擁有網(wǎng)絡保險。正如我們已經(jīng)開始看到的那樣，隨著地緣政治問題蔓延到國外，除了公司不斷面臨的網(wǎng)絡威脅之外，公司將優(yōu)先保護他們最重要的資產(chǎn)（包括他們的聲譽）。到 2023 年，對網(wǎng)絡保險的需求將繼續(xù)增加，獲得這些保單的價格和要求也將繼續(xù)增加。”

2. 經(jīng)濟衰退將導致培訓項目支出減少 

“盡管人們認為網(wǎng)絡安全可能是一個抗衰退的行業(yè)，但在經(jīng)濟低迷期間，人員和質(zhì)量很可能會受到打擊。到目前為止，我們還沒有看到網(wǎng)絡安全的核心預算被削減，但培訓預算等更“自由裁量”的領域可能會出現(xiàn)縮減。這既適用于各種規(guī)模的公司的安全意識培訓，也適用于培訓網(wǎng)絡安全專業(yè)人員如何充分保護其關鍵資產(chǎn)。該行業(yè)已經(jīng)面臨技能短缺，不幸的是，由于對熟練網(wǎng)絡安全工作者的需求增加，隨著 2023 年經(jīng)濟衰退的到來，我們可能會看到技能短缺進一步惡化。”

3. 2023 年將是動蕩的一年，因為競爭激烈的隱私法規(guī)在州和地方層面獲得通過 ，作者：舒達席夢思床上用品信息安全副總裁兼首席信息安全官 Drew Perry 

“信息隱私將在可見性和執(zhí)行方面繼續(xù)增長，但收費將由并不總是相互一致的各種區(qū)域法規(guī)牽頭。CISO 將在組織風險方面發(fā)揮更大的咨詢作用，因為他們被要求幫助駕馭經(jīng)常相互競爭的隱私規(guī)則，以使企業(yè)能夠盡可能接近歷史規(guī)范運營。在保護底線方面，明智的組織不會采取任何措施，因此 CISO 應該期望參與到以前不尋求他們的意見的對話中。在接下來的幾年里，能夠自如地走這些道路的 CISO 將受到追捧。”

 4. 安全領導者將更加關注網(wǎng)絡彈性，作者：Zoom 首席信息安全官 Michael Adams：

“雖然保護組織免受網(wǎng)絡威脅始終是安全計劃的核心關注領域，但我們可以期待對網(wǎng)絡彈性的更多關注，這超出了保護范圍，包括在發(fā)生網(wǎng)絡事件時的恢復和連續(xù)性。它不僅投入資源抵御網(wǎng)絡威脅；它正在對人員、流程和技術進行投資，以減輕影響并在發(fā)生網(wǎng)絡事件時繼續(xù)運營?！?/p>

5. 自動化和安全運營，作者 ： CardinalOps首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Michael Mumcuoglu ：

“到 2023 年，我們將看到自動化進入安全運營的剩余幾個領域，這些領域仍然依賴于手動流程。這些領域包括威脅暴露管理，它有助于全面解決諸如“我們?nèi)绾螠蕚錂z測和響應最有可能以我們組織為目標的對手？”等問題。另一個將變得更加自動化的領域是檢測工程，它仍然高度依賴專業(yè)知識和部落知識。自動化不僅會降低這些組織的風險，還會將 SOC 人員從繁瑣的任務中解放出來，使他們能夠?qū)Ｗ⒂谡嬲枰祟悇?chuàng)造力和創(chuàng)新的更有趣的挑戰(zhàn)，例如威脅搜尋和理解新的和新穎的行為。”

6. 云原生漏洞的增加，作者：Solvo首席執(zhí)行官 Shira Shamban：

“我們不僅會看到整體安全事件的增加，而且特別是云原生漏洞的增加。根據(jù) 2022研究，近一半的數(shù)據(jù)泄露發(fā)生在云端。隨著公司繼續(xù)將部分或整個基礎設施遷移到云中，我們將看到存儲在云中的數(shù)據(jù)和皇冠上的寶石數(shù)量增加，從而導致更多的云原生安全事件機會。應用程序必須以第三方可以信任的方式構建。由于這條供應鏈不安全，因此在網(wǎng)絡攻擊者眼中，在云中進行黑客攻擊具有越來越多的價值?！?/p>

7. Theon Technology顧問委員會成員 Bryan Cunningham 的《量子解密》 ：

“到 2023 年底，每個組織都將與量子解密能力作斗爭。 雖然到 2022 年人們對量子解密的未來（無人知曉）威脅的意識有所增強，但到 2023 年底，所有組織都將意識到他們將必須面對這種威脅?！?/p>

8. 網(wǎng)絡安全培訓，Hoxhunt的聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Mika Aalto ：

“到 2023 年，我們將看到網(wǎng)絡安全培訓的持續(xù)進步。人類并沒有進化到發(fā)現(xiàn)數(shù)字世界中的危險。學校系統(tǒng)不會教他們防御網(wǎng)絡攻擊的黑魔法。它在我們身上。人為風險是一個組織問題。讓我們的員工具備免受網(wǎng)絡釣魚攻擊的技能是我們的責任。

自動化、自適應學習和人工智能/機器學習可以幫助大規(guī)模提供個性化培訓。為什么這很重要？因為人們需要經(jīng)常參加保持在他們技能水平邊緣的相關培訓，以便提高和保持參與。一段冗長、枯燥的視頻后接基于懲罰的網(wǎng)絡釣魚模擬已被證明是行不通的。專注于失敗會導致失敗。當人們在動態(tài)學習環(huán)境中獲得技能時對其進行獎勵會帶來可衡量的進步。這種方法廣泛地描述了游戲化，其成功基于行為科學和商業(yè)的既定原則，并將成為未來一年保護各種規(guī)模組織的關鍵?！?nbsp;

9. 不良行為者的職業(yè)化，Tigera總裁兼首席執(zhí)行官 Ratan Tipirneni：

“勒索軟件即服務的可用性越來越高，這種模型為不良行為者提供復雜的漏洞分布，同時將他們與交易風險隔離開來，這將導致毫無準備的企業(yè)安全狀況惡化。隨時可用的威脅和不安全的部署的綜合影響肯定會導致引人注目的違規(guī)行為。在理想情況下，這些漏洞最終將使企業(yè)超越基準法規(guī)，使安全成為基礎工作?！?/p>

10. The Cyber Basics – Cyber Hygiene and Awareness，作者：Delinea首席安全科學家兼咨詢 CISO Joseph Carson：

“成為網(wǎng)絡安全社會的必要性將增加正確掌握基礎知識的必要性。這意味著網(wǎng)絡衛(wèi)生和意識將成為 2023 年的重中之重。隨著越來越多的組織希望獲得網(wǎng)絡保險作為財務安全網(wǎng)，以保護其業(yè)務免受數(shù)據(jù)泄露和勒索軟件攻擊導致的嚴重財務風險，需要獲得可靠的保障到位的網(wǎng)絡戰(zhàn)略將被強制要求獲得保險?！氨阋擞秩菀住钡臅r代已經(jīng)結束。

這意味著要在 2023 年回歸基礎，提升網(wǎng)絡安全基線。持續(xù)的遠程工作和云轉型意味著需要通過多因素身份驗證、密碼管理和持續(xù)驗證來支持強大的訪問管理策略，以降低風險。 

除了實施更好的訪問安全控制外，雇主還需要賦予員工更好的網(wǎng)絡安全意識。這意味著持續(xù)的培訓和教育，以確保隨著威脅的演變，員工了解情況并準備好成為網(wǎng)絡戰(zhàn)略的有力捍衛(wèi)者?！?/p>

11. 移動工作場所趨勢將為企業(yè)創(chuàng)造新的盲點，作者：SlashNext首席執(zhí)行官 Patrick Harr：

“個人通信渠道（游戲、LinkedIn、WhatsApp、Signal、Snapchat 等）將在不良行為者設計的針對企業(yè)的攻擊路徑中發(fā)揮更大的作用。一旦單個用戶受到威脅，壞人就可以橫向移動以獲取業(yè)務。而且由于電子郵件現(xiàn)在至少有一些保護措施，網(wǎng)絡犯罪分子將更多注意力轉向這些其他通信渠道，并且成功率更高。  

安全態(tài)勢的最大漏洞來自新混合勞動力中員工的個人數(shù)據(jù)。隨著組織采用新的個人消息傳遞、通信和協(xié)作渠道，這些盲點變得越來越明顯。攻擊者通過 WhatsApp、Signal、Gmail 和 Facebook Messenger 等受保護較少的個人通信渠道以員工為目標，以實施攻擊。然后它就變成了從外部立足點橫向滲透到組織中的問題。 

此外，現(xiàn)在越來越多的人在同一設備上同時處理業(yè)務任務和個人生活，這是一個很大的盲點。我只看到這種趨勢在來年會加速。這一切都回到了：我如何驗證你真的是我正在與之交流的人？或者這是我假設的可信文件或公司網(wǎng)站鏈接？  

對任何公司來說，最大的單一威脅不再是機器安全——它確實是人的安全因素。這就是為什么這些對人類的攻擊會繼續(xù)增加，因為人類容易犯錯，他們會分心，而且許多威脅不容易被識別為惡意的。”

12. 聯(lián)網(wǎng)設備將需要更強大的安全性，作者：Keeper Security首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Darren Guccione：

 “連接的物聯(lián)網(wǎng)設備數(shù)量多年來一直在增長，而且沒有放緩的跡象。在過去三年中，由于 COVID-19 的加速數(shù)字化轉型和基于云的計算的激增，物聯(lián)網(wǎng)設備的數(shù)量呈指數(shù)級增長。2022年物聯(lián)網(wǎng)市場預計增長18%到 144 億活躍連接。隨著越來越多的消費者和企業(yè)依賴聯(lián)網(wǎng)設備，這些聯(lián)網(wǎng)解決方案變得更容易受到網(wǎng)絡攻擊。因此，原始設備制造商 (OEM) 出貨的數(shù)十億臺設備將需要更高的開箱即用安全性，以降低惡意軟件入侵的風險及其對分布式拒絕服務 (DDoS) 攻擊的貢獻。為了防止和減輕破壞性攻擊，OEM 的制造商和供應商必須在設備內(nèi)設計安全性，將其嵌入連接設備的每一層?！?/p>

13. 數(shù)據(jù)可見性和合規(guī)性，作者：Dig Security首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Dan Benjamin ：

“到 2023 年，CISO 將優(yōu)先采用能夠讓他們了解組織所持有的數(shù)據(jù)、數(shù)據(jù)所在的位置以及數(shù)據(jù)帶來的風險的解決方案。這種可見性對于安全領導者至關重要，因為他們制定計劃以滿足高度監(jiān)管的世界中的合規(guī)性要求，并在日益具有挑戰(zhàn)性的威脅環(huán)境中保護數(shù)據(jù)?！?/p>

14. 供應鏈安全，Coalfire 副總裁 Caitlin Johanson：

“2022 年，美國尤其面臨來自國外創(chuàng)建、開發(fā)和運行的 B2B 和 B2C 技術的風險和漏洞——中國云軟件 TikTok 就是一個完美的例子。它開始引發(fā)許多問題，圍繞著代碼和應用程序的來源、將哪些數(shù)據(jù)放入這些應用程序以及這些數(shù)據(jù)的主權是什么。到 2023 年，我們將開始看到更多關于開發(fā)人員所在位置和代碼來源的審查，更多組織將關注軟件組成分析和安全代碼開發(fā)（應用程序安全）。基本上，質(zhì)疑我們國家供應鏈的每個組成部分。Covid 對我們供應鏈的總體位置提出了質(zhì)疑，今年，

15. ICS/OT 技能差距將因前所未有的需求而擴大，作者 ：Hexagon Asset Lifecycle Intelligence 網(wǎng)絡生態(tài)系統(tǒng)全球總監(jiān) Edward Liebig

“研究表明，絕大多數(shù)電力、石油和天然氣以及制造企業(yè)在過去一年半左右的時間里都經(jīng)歷過網(wǎng)絡攻擊。研究還表明，由于對熟練專業(yè)人員的高需求，網(wǎng)絡安全勞動力缺口正在擴大。除了多年來普遍存在的針對關鍵基礎設施系統(tǒng)的強烈威脅，拜登政府新的 100天 跨部門沖刺和更多法規(guī)的發(fā)布，還需要更多專業(yè)人士跟上。此外，許多組織目前缺乏能夠在 IT 和 OT 部門成功整合安全實踐和嚴格要求的員工，隨著 2023 年工業(yè) 4.0 的興起，這一點變得越來越重要?！?/p>

16. 虛擬世界可能是下一件大事，但讓我們面對現(xiàn)實吧，作者：VMware首席網(wǎng)絡安全策略師Rick McElroy

“考慮到元宇宙的采用仍處于起步階段，元宇宙的未來相對未知，但企業(yè)仍在將其推向市場的速度超過了安全社區(qū)所接受的速度。我們已經(jīng)在當前版本的數(shù)字世界中看到身份盜用和深度偽造攻擊的實例，其中不良行為者掠奪高管以在公司外部電匯數(shù)十萬美元。這不是說元宇宙虛擬現(xiàn)實中的類似騙局不會增加嗎？當我們開始展望 2023 年時，企業(yè)在交付這項新興技術時需要謹慎和考慮。將密碼拖入虛擬世界是導致泄露的一個秘訣。”

17. 網(wǎng)絡風險管理將成為企業(yè)領導者的首要任務，作者：VMware高級網(wǎng)絡安全策略師Karen Worstell

“在網(wǎng)絡風險的治理和監(jiān)督方面，我們的系統(tǒng)已經(jīng)崩潰。它不再像十五年前那樣 - 我們正在處理更高的風險和脆弱的企業(yè)聲譽。因此，到 2023 年，我們將看到公司在網(wǎng)絡風險管理方面加倍努力。在確保充分控制和報告網(wǎng)絡攻擊的過程中，董事會需要有更明確的角色和責任。網(wǎng)絡風險治理不僅僅是 CISO 的領域，現(xiàn)在顯然是董事和官員級別的關注點。談到網(wǎng)絡，似是而非的否認已經(jīng)死了?！?nbsp;

18. 到2023年，復雜的固件攻擊將變得更加普遍，網(wǎng)絡犯罪分子將繼續(xù)投資于利用對端點設備的物理訪問的攻擊，作者：惠普公司系統(tǒng)安全研究與創(chuàng)新首席技術專家 Boris Balacheff。

“到 2023 年，組織應該控制固件安全。曾經(jīng)，固件攻擊僅被復雜的 APT（高級持續(xù)威脅）組織和國家使用。但在過去的一年里，我們看到了網(wǎng)絡犯罪社區(qū)能力開發(fā)和交易增加的跡象——從破解 BIOS 密碼的工具，到針對設備 BIOS（基本輸入/輸出系統(tǒng)）和 UEFI（統(tǒng)一可擴展固件）的 Rootkit 和特洛伊木馬界面）。現(xiàn)在，我們在網(wǎng)絡犯罪市場上看到標價幾千美元的固件 Rootkit。

隨著需求的增長，復雜攻擊功能的可負擔價格也隨之而來。我們應該期待看到更多此類商品在地下網(wǎng)絡犯罪中出售，進而引發(fā)更多固件攻擊。  

對固件級別的訪問使攻擊者能夠獲得持久的控制權并隱藏在設備操作系統(tǒng)之下，使他們很難被發(fā)現(xiàn)——更不用說刪除和收回控制權了。組織應確保他們了解設備硬件和固件安全方面的行業(yè)最佳實踐和標準。他們還應該了解和評估可用于保護、檢測和從此類攻擊中恢復的最先進技術?！?/p>