2023年的4大网络风险以及如何应对

现在，2023年是一张白纸。虽然过去几年表明，永远无法针对所有情况进行规划，但了解当前的网络安全挑战可以为明年做好准备。

当知道地平线上可能发生什么时，就可以准备迎接未来的挑战。可以制定预算，将资金分配给关键领域，并雇用具备应对预期威胁技能的员工。也许最重要的是，还可以开始培训员工以防止常见攻击。

许多安全专业人士已经注意到组织在 2023 年可能面临的一些最大威胁。以下是 2023 年需要注意的四大网络安全威胁，最重要的是，如何应对这些威胁。

1. 默默无闻的安全

大型全球企业和关键基础设施组织知道他们是网络安全罪犯的有吸引力的目标，并花费大量时间和金钱来降低这些风险。其他人很容易认为他们太小而不能成为目标。虽然这可能曾经是真的，但现在已经不是这样了。事实上，大多数遭受网络攻击的企业都是中小型公司。勒索软件攻击现在关注的是企业将支付多少费用，而不是组织的规模。

认为自己不会被破坏的企业更有可能发现自己处于那种情况。当您认为自己没有风险时，就不会投入资源、资金和培训来保护业务。每个组织都应该假设成为网络攻击的受害者是“何时，而不是如果”的情况——然后做出业务决策以保持受到保护，无论规模或对网络安全犯罪分子的感知价值如何。

2. 供应链攻击

所有企业都依赖其他公司提供产品和服务。不幸的是，还继承了供应链的每一个网络安全风险和漏洞。虽然可以控制自己的基础架构中发生的事情，但无法控制甚至无法了解供应商发生的事情。根据IBM 2022 年违规成本报告，所有违规行为中有 19% 是供应链攻击。供应链妥协的平均成本为 446 万美元，略高于违规的平均成本。

尽管存在这些挑战，仍然可以采取措施保护自己。从对所有供应商进行网络安全审计开始，以充分了解每个供应商的风险。在决定与供应商开展业务时，请考虑组织愿意接受的风险程度。接下来，可以使用零信任方法来限制供应链攻击的损害。通过仅向供应商提供商业目的所需的访问权限，可以限制可能的损害程度。例如，当使用微分段时，供应商及其产品只能访问网络的绝对最小部分。如果在软件更新中提供恶意代码，损害将仅限于基础设施的那一小部分。

3.威胁行为者之间的协作

网络罪犯不是单独针对组织的个别团体，而是联合起来。这意味着犯罪分子共享专业知识、资源和内幕知识。例如，勒索软件即服务现已上市。一些团体正在出售他们的勒索软件以获取利润，让更多的犯罪分子能够使用世界上最好的黑客工具。

人多力量大，网络罪犯现在正在利用这一事实。这不是一个容易克服的挑战。因此，组织需要将网络安全作为首要业务优先事项。由于威胁行为者一起工作，逮捕和解散不会阻止团体重组或将他们的知识传递给其他人。随着这些合作的继续，威胁只会在数量和复杂性上增加。

4. 反应式网络防御

过去，网络安全侧重于保护边界，然后对攻击做出反应。这种策略不再有效。通过混合和远程工作，不再有固定的边界需要防御。此外，攻击的数量和复杂性不断增加，几乎不可能阻止所有威胁。仍处于被动模式的组织正在打一场必败仗。

改变几十年的思维方式和基础架构并不容易，但是从被动方法转变为主动方法有很多好处。有了这种心态，组织甚至可以在第一时间阻止许多攻击的发生。使用零信任方法，可以减少无凭据或被盗凭据的用户或设备访问网络。如果有人漏掉，可以显着减少他们造成的损害。根据2022 年 IBM 数据泄露成本报告，没有采用零信任方法的组织的平均数据泄露成本为 540 万美元——比全球平均水平高出 100 万美元以上。

期待2023

毫无疑问，2023 年将有自己的惊喜。将会出现我们可能看不到的新威胁、新技术和新业务挑战。但是，当为大多数风险做好准备时，在意外发生时进行所需的更改会更容易。如果积极主动地计划一切可能的事情，只会对意外情况做出反应。

一年的最后几周很忙——真的很忙。但是，通过花时间审查当前的2023 年计划并考虑弱点和风险，可以确保组织为2023年带来的一切做好准备。

原文链接：https://securityintelligence.com/news/cyber-risks-2023-how-to-prepare/

1. >>>等级保护<<<
2. 开启等级保护之路：GB 17859网络安全等级保护上位标准
3. 网络安全等级保护：等级保护测评过程及各方责任
4. 网络安全等级保护：政务计算机终端核心配置规范思维导图
5. 网络安全等级保护：什么是等级保护？
   
6. 网络安全等级保护：信息技术服务过程一般要求
7. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
8. 闲话等级保护：什么是网络安全等级保护工作的内涵？
9. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
   
10. 闲话等级保护：测评师能力要求思维导图
    
11. 闲话等级保护：应急响应计划规范思维导图
    
12. 闲话等级保护：浅谈应急响应与保障
    
13. 闲话等级保护：如何做好网络总体安全规划
    
14. 闲话等级保护：如何做好网络安全设计与实施
    
15. 闲话等级保护：要做好网络安全运行与维护
    
16. 闲话等级保护：人员离岗管理的参考实践

17. 网络安全等级保护：浅谈物理位置选择测评项

18. 信息安全服务与信息系统生命周期的对应关系
19. >>>工控安全<<<
20. 工业控制系统安全：信息安全防护指南
21. 工业控制系统安全：工控系统信息安全分级规范思维导图
22. 工业控制系统安全：DCS防护要求思维导图
23. 工业控制系统安全：DCS管理要求思维导图
24. 工业控制系统安全：DCS评估指南思维导图
25. 工业控制安全：工业控制系统风险评估实施指南思维导图
26. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
27. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
28. >>>数据安全<<<

29. 数据安全风险评估清单

30. 成功执行数据安全风险评估的3个步骤

31. 美国关键信息基础设施数据泄露的成本

32. VMware 发布9.8分高危漏洞补丁

33. 备份：网络和数据安全的最后一道防线

34. 数据安全：数据安全能力成熟度模型

35. 数据安全知识：什么是数据保护以及数据保护为何重要？

36. 信息安全技术：健康医疗数据安全指南思维导图

37. >>>供应链安全<<<

38. 美国政府为客户发布软件供应链安全指南
    

39. OpenSSF 采用微软内置的供应链安全框架
    

40. 供应链安全指南：了解组织为何应关注供应链网络安全
    

41. 供应链安全指南：确定组织中的关键参与者和评估风险
    

42. 供应链安全指南：了解关心的内容并确定其优先级

43. 供应链安全指南：为方法创建关键组件

44. 供应链安全指南：将方法整合到现有供应商合同中

45. 供应链安全指南：将方法应用于新的供应商关系

46. 供应链安全指南：建立基础，持续改进。

47. 思维导图：ICT供应链安全风险管理指南思维导图
    

48. 英国的供应链网络安全评估

49. >>>其他<<<

50. 网络安全十大安全漏洞

51. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

52. 网络安全等级保护：应急响应计划规范思维导图

53. 安全从组织内部人员开始
54. 网络安全知识：二手设备安全
55. 网络安全知识：物流业的网络安全
56. 毕马威对2023年网络安全的3项预测

原文始发于微信公众号（祺印说信安）：2023年的4大网络风险以及如何应对