2023年五个关键网络安全趋势

 Cyber Q Group预测的2023年五个关键网络安全趋势 

1. 安全运营的进一步外包。这是由几个因素驱动的，包括：攻击的复杂性和复杂性增加；与数据泄露相关的进一步立法和处罚；由于预算限制，内部安全行动已经不堪重负；受过安全培训的专业人员严重缺乏技能。公司将希望将其内部安全技能集中于更关键的业务活动，例如 DevSecOps，同时将 SOC 和其他常规网络安全任务外包给专门的安全服务提供商。

CyberQ Groups 的立场：作为拥有多租户 SOC 的 MSSP，我们完全接受这一趋势。主要优势是规模经济，可提供价格具有竞争力的服务，以及应用最佳实践以确保客户合规，同时利用多种最佳技术。

2. 更加注重韧性。正如许多公司现在发现的那样，虽然预防是安全运营的主要目标，但最好假设攻击“不是如果发生，而是何时发生”。因此，损害限制、业务连续性和恢复被纳入公司安全态势的所有方面。这包括技术，还包括人员、政策和流程。

CyberQ Groups 的立场：我们发现许多客户非常专注于预防技术，但在弹性“3P”的其他方面确实需要帮助。MSSP 需要协助政策定义、培训和网络要素的这些“软”方面。

3. 购买网络安全保险——这会继续成为一种选择吗？防范网络攻击的保险充其量是脆弱的。许多保险公司只会为攻击后的专业服务费用提供保险（例如事件响应、取证、法律费用和可能的罚款）。此外，如果发生索赔，这些服务成本通常会受到限制。越来越多的被保险人要求确保业务连续性——鉴于难以量化风险，保险公司不愿提供这种服务。由于网络保险是一项相对新生的业务，许多保险公司现在正在考虑这项业务是否可行，以及如何为风险定价。多年来，保险公司一直在努力判断一家公司的风险状况是好是坏。

CyberQ Groups 的立场：显然，企业将需要为所有风险要素提供保险的能力，希望保险公司能够识别并提供适当的产品并从中获利。我们确实相信，保险公司很可能会开始要求其客户的第 3 方专业人员审计安全性，以验证风险并帮助减轻索赔。将汽车 MOT 视为汽车保险的条件。

4. 勒索软件攻击增加——但有所不同。不断给予的礼物。正如我们在 2022 年看到的那样，坏人创建“一次构建一次感染多人”勒索软件要容易得多。这个模型的优点在于比有针对性的暴力攻击更有效率。也可以多次“挤奶”受害者：首先，出售解密器（即使它不存在）。其次，勒索受害者以防止泄露/出售推断数据（如果提取）。第三，进一步勒索受害人，以防止公开攻击事件，从而造成负面报道和外部调查。然而，鉴于多个备份的最佳实践，具有数据破坏功能的勒索软件正在流行，因此渲染（或至少威胁）使备份变得无用。

CyberQ Groups 的立场：对于像我们这样的 MSSP，这是正常的业务。预防胜于治疗，对包括备份在内的公司资产保持警惕应该是 MSSP 服务的一部分。协助恢复是保护的全部内容。

5. 模糊网络安全和物理安全。由于网络弹性非常关注人和流程，因此网络安全越来越多地关注人类行为（例如，将多因素身份验证作为攻击媒介）并培训员工以提高安全智能。因此，安全现在扩展到查看进入建筑物的承包商、共享数据（和恶意软件）的供应链以及连接到公司网络的 OT 和 IoT 设备。乌克兰战争证明了这一点，微软公开表示“......超过 40% 的破坏性（网络）攻击针对的是关键基础设施部门的组织，这些组织可能对政府、军队、经济和人民产生负面的二级影响……”。

1. >>>等级保护<<<
2. 开启等级保护之路：GB 17859网络安全等级保护上位标准
3. 网络安全等级保护：等级保护测评过程及各方责任
4. 网络安全等级保护：政务计算机终端核心配置规范思维导图
5. 网络安全等级保护：什么是等级保护？
   
6. 网络安全等级保护：信息技术服务过程一般要求
7. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
8. 闲话等级保护：什么是网络安全等级保护工作的内涵？
9. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
   
10. 闲话等级保护：测评师能力要求思维导图
    
11. 闲话等级保护：应急响应计划规范思维导图
    
12. 闲话等级保护：浅谈应急响应与保障
    
13. 闲话等级保护：如何做好网络总体安全规划
    
14. 闲话等级保护：如何做好网络安全设计与实施
    
15. 闲话等级保护：要做好网络安全运行与维护
    
16. 闲话等级保护：人员离岗管理的参考实践

17. 网络安全等级保护：浅谈物理位置选择测评项

18. 信息安全服务与信息系统生命周期的对应关系
19. >>>工控安全<<<
20. 工业控制系统安全：信息安全防护指南
21. 工业控制系统安全：工控系统信息安全分级规范思维导图
22. 工业控制系统安全：DCS防护要求思维导图
23. 工业控制系统安全：DCS管理要求思维导图
24. 工业控制系统安全：DCS评估指南思维导图
25. 工业控制安全：工业控制系统风险评估实施指南思维导图
26. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
27. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
28. >>>数据安全<<<

29. 数据安全风险评估清单

30. 成功执行数据安全风险评估的3个步骤

31. 美国关键信息基础设施数据泄露的成本

32. VMware 发布9.8分高危漏洞补丁

33. 备份：网络和数据安全的最后一道防线

34. 数据安全：数据安全能力成熟度模型

35. 数据安全知识：什么是数据保护以及数据保护为何重要？

36. 信息安全技术：健康医疗数据安全指南思维导图

37. >>>供应链安全<<<

38. 美国政府为客户发布软件供应链安全指南
    

39. OpenSSF 采用微软内置的供应链安全框架
    

40. 供应链安全指南：了解组织为何应关注供应链网络安全
    

41. 供应链安全指南：确定组织中的关键参与者和评估风险
    

42. 供应链安全指南：了解关心的内容并确定其优先级

43. 供应链安全指南：为方法创建关键组件

44. 供应链安全指南：将方法整合到现有供应商合同中

45. 供应链安全指南：将方法应用于新的供应商关系

46. 供应链安全指南：建立基础，持续改进。

47. 思维导图：ICT供应链安全风险管理指南思维导图
    

48. 英国的供应链网络安全评估

49. >>>其他<<<

50. 网络安全十大安全漏洞

51. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

52. 网络安全等级保护：应急响应计划规范思维导图

53. 安全从组织内部人员开始
54. 网络安全知识：二手设备安全
55. 网络安全知识：物流业的网络安全
56. 毕马威对2023年网络安全的3项预测

原文始发于微信公众号（河南等级保护测评）：2023年五个关键网络安全趋势