专家观点|2023年十大网络安全预测

admin 2023年2月3日00:52:33评论66 views字数 2543阅读8分28秒阅读模式
专家观点|2023年十大网络安全预测

网络安全是一个充满活力、有时令人望而生畏的领域,2023年网络安全领域将如何发展?本文整理了业内专家们做出的十大预测。

Part.

1

物联网攻击

Haris Pylarinos(曾是一名道德黑客,现在是Hack The Box的首席执行官)认为,必须像网络罪犯一样思考,才能确定2023年最大的威胁。他预测2023年将出现物联网(IoT)设备和传感器的入侵。

“业界低估了物联网攻击的危险程度,”Pylarinos说,“硬件技能对于防止灾难性攻击至关重要,这些攻击可能会使整个社会瘫痪。”

Part.

2

塑造安全文化

应对网络安全攻击、新的病毒株和新兴威胁载体的答案通常是开发一套新的工具。但现在网络安全领域的工具太多了,以至于问题变得更难解决了。公司部署了所有最新的系统,却被告知现在他们还需要勒索软件保护、访问服务边缘(SASE)、零信任网络访问(ZTNA)等等。

KnowBe4战略洞察和研究高级副总裁Joanna Huisman认为,2023年的重点将转移到在全球组织中塑造安全文化上。Huisman表示:“对大多数组织来说,安全意识培训的需求现在很清楚,他们开始从单纯的培训演变为对行为和文化的额外强调。在全球范围内建立强大的安全文化已经有了积极的势头,这涉及到高管和整个员工群体的支持。”

Part.

3

零信任趋于成熟

零信任已成为2022年的热门词。但到目前为止,这还只是纸上谈兵。

Syxsense首席执行官Ashley Leonard表示:“零信任技术在企业基础设施中的实际应用一直很有限。”他认为在2023年,将能够看到零信任的概念在企业IT环境中广泛实施。

Part.

4

端点安全

Leonard还强调了端点在IT、计算能力和网络安全领域的角色变化。近年来,端点安全问题越来越突出。而智能手机、PC、服务器、平板电脑和笔记本电脑的安全性是防止入侵的第一线,对于防止攻击的发生意义重大。但除了网络安全之外,未来将有更多的任务被外包给端点。

“近年来,人们一直很关注云计算,它集中了计算机的力量,但在许多情况下,却没有充分利用令人强大处理器和端点。这种情况将在2023年开始改变——如今由云管理的许多任务可以在终端更好地执行。作为其中的一部分,编排和自动化技术将是让IT保持安全和服务的关键。”

Part.

5

Chrome攻击

数据删除公司Incogni分析了Chrome网络商店中1237个下载次数不低于1000次的Chrome扩展的风险情况。研究显示,每两个Chrome扩展中就有一个(48.66%)具有非常高风险的影响,例如可能会暴露个人身份信息(PII)、分发广告软件和恶意软件或记录用户的一切行为,包括他们在网上输入的密码和财务信息。预计在2023年,会有大量针对Chrome和浏览器扩展的攻击。

Surfshark的信息安全官Aleksandras Valentij指出,用户应谨慎对待需要以下权限的浏览器扩展:读取和更改您访问的所有网站上的所有数据、音频捕捉、浏览数据、剪贴板读取、桌面捕捉、文件系统、地理位置、存储以及视频捕捉。

Part.

6

软件定义边界

与之前的许多技术一样,虚拟专用网络(VPN)曾经是一项前沿技术。随着时间的推移,世界的IT和商业环境逐步发展,而VPN基本保持不变。因此,VPN可能无法再阻止黑客,它们有时甚至可能会使黑客的工作更容易。这使得企业可能会在2023年摆脱它们。

DH2i联合创始人兼首席执行官Don Boxley表示,用VPN几乎不可能完成的任务,现在可以通过现代软件定义边界(SDP)来实现。SDP使组织能够通过零信任网络访问隧道,将任何对称网络地址转换(NAT)后的应用程序、服务器、物联网设备和用户连接到任何全锥NAT,而无需重新配置网络或设置复杂且有问题的VPN。

Part.

7

Logj4推动创新

Logj4漏洞是一个警钟,影响了十分之一的公司。Platform.sh的隐私和安全副总裁Joey Stanford认为,通过鼓励企业为开源提供资金支持,雇佣有经验的开发人员进行漏洞检查,购买更好的软件集成,Logj4将在2023年带来更安全的开源创新。

Part.

8

混沌工程提高安全性

Quest的技术策略师和首席工程师Adrian Moir表示,在接下来的一年里,企业将改进他们的数据安全测试流程,部署更多混沌工程来增强企业的弹性。

混沌工程最初是为开发人员测试而构建的,它可以帮助IT团队测试恢复操作、应用程序和数据传输管道。通过定期测试公司数据保护装置的每个部分,团队将能确认从不可变数据存储到可复制性的恢复技术都可以有效地工作。

鉴于勒索软件、自然灾害和其他业务干扰因素,企业高层将弹性和风险降低作为更高的优先级,预计企业将把这混沌工程作为常规数据保护业务的一部分。

Part.

9

BEC驱动MFA的采用

商业电子邮件泄露(BEC)将继续成为网络攻击者的首要攻击方法,也是进入一个组织的最简单途径。随着零日攻击的增加,人们将考虑减少其外部可用的足迹。因此,BEC将推动多因素身份验证(MFA)的采用。

“MFA将无处不在,没有它,任何东西都不能对外使用。”新一代管理服务提供商Thrive的首席信息安全Chip Gibbons表示。

Part.

10

确定风险管理的优先级

在谈到网络风险的治理和监督时,VMware的高级网络安全策略师Karen Worstell认为,由于网络安全的内在风险较高,以及企业声誉普遍脆弱,该系统已经濒临崩溃。

企业应当加倍加强网络风险管理。在确保充分控制和报告网络攻击的过程时,网络风险治理不仅仅是CISO的领域,董事会需要一个更明确的角色和责任。



降低风险的措施

1、对员工进行安全培训,如告知不要点击网络钓鱼链接或从外部邮件下载附件;

2、使用Slack和Microsoft Team等应用程序进行内部沟通;

3、主要使用电子邮件进行外部沟通;

4、迁移到基于云的电子邮件服务而不是使用内部电子邮件服务器;

5、部署移动设备管理(MDM)和移动威胁防御(MTD)软件,以保护移动设备和便携式设备,充分利用其执行安全配置的功能;

6、在线帐户使用强密码和双因素身份验证。

来源:Datamation

专家观点|2023年十大网络安全预测

原文始发于微信公众号(信息安全国家工程研究中心):专家观点|2023年十大网络安全预测

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月3日00:52:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   专家观点|2023年十大网络安全预测https://cn-sec.com/archives/1534391.html

发表评论

匿名网友 填写信息