安企神电脑监控软件 在线试用
扫码咨询客服
安企神电脑监控软件、局域网监控软件
首页
功能介绍
产品简介
下载中心
帮助中心
客户列表
关于安企神

2023年需要关注的网络安全趋势

更新时间:2022-10-27 16:06:55


本文简介:了解网络安全领域的主要趋势可以帮助人们更好地应对新出现的危险,并提升他们的角色。以下探究一下这些趋势。有一些因素将在2023年影响企业高管加强数字防御的方式,网络安全仍是重中之重。勒索软件攻击数量正在增长,零信任模式变得越来越流行,由于俄乌冲突正在持续,获得国家层面支持的网络攻击比以往任何时候都多。越来越多的企业正在使用网络技术实现运营自动化,并在互联网上产生了大量的数据。然而也带来了一系列互联网

2023年需要关注的网络安全趋势

了解网络安全领域的主要趋势可以帮助人们更好地应对新出现的危险,并提升他们的角色。以下探究一下这些趋势。

2023年需要关注的网络安全趋势(图1)

有一些因素将在2023年影响企业高管加强数字防御的方式,网络安全仍是重中之重。勒索软件攻击数量正在增长,零信任模式变得越来越流行,由于俄乌冲突正在持续,获得国家层面支持的网络攻击比以往任何时候都多。

越来越多的企业正在使用网络技术实现运营自动化,并在互联网上产生了大量的数据。然而也带来了一系列互联网安全风险,其中包括数据泄露和失窃,这对企业和个人来说都是常见的事件。在2022年第一季度发生的数据泄露事件的90%是由网络攻击造成的。

负责安全和风险管理的网络安全人士正处于一个转折点,因为企业的数字足迹不断增长,集中式的网络安全控制措施变得毫无用处。混合工作趋势和云计算中的数字业务运营带来了新的威胁。与此同时,复杂的勒索软件、对数字供应链的网络攻击以及根深蒂固的弱点暴露出技术差距和缺乏应对挑战的熟练工人等问题。

了解网络安全领域的主要趋势可以帮助人们更好地应对新出现的危险,并提升他们的角色。以下探究一下这些趋势。

持续不断的网络钓鱼

IT行业面临的最常见的安全风险是网络钓鱼,如今仍然有许多人中了网络钓鱼邮件的圈套。黑客利用越来越复杂的技术来生成商务电子邮件泄露攻击和恶意网址。网络黑客通过调查提高了他们的复杂度。

与此同时,网络攻击者的方法也变得更加复杂。他们已经开始调查潜在的受害者以收集信息,以提高网络钓鱼攻击成功率,他们努力使攻击更有针对性和有效性。诱饵攻击是网络攻击者用来测试电子邮件地址并查看谁会做出反应的一种方法。

根据最近发布的一份调查报告,在接受调查的10500家企业中,约35%的企业在2021年9月至少遭到一次诱饵攻击,每家公司平均有三个不同的邮箱收到这样的信息。此外,在2020年8月至2021年7月期间,针对基础设施、交通、金融服务和其他行业组织的网络钓鱼攻击占所有勒索软件攻击的57%,在2020年的调查中,这一比例仅为18%。

幸运的是,网络过滤技术有了显著的改进。电子邮件通常来自可靠的来源,例如Gmail帐户。这就是教育员工清楚地识别网络攻击并不进行回复是至关重要的原因。基于人工智能的防御要有效得多。为了能够防御这种网络攻击,它利用从各种来源收集的信息,包括通信图、信誉系统和网络级分析。

数字化供应链的问题

当供应商向客户提供的产品、服务或技术遭到黑客攻击并对客户群构成威胁时,就是遭到了供应链攻击。这可能是供应商的电子邮件帐户被欺诈性地用于社交工程目的或提高恶意软件感染的可能性。更复杂的网络攻击可以利用供应商网络的特权访问来入侵目标网络。

其中一个例子来自软件供应商SolarWinds公司,该公司的一个软件系统的供应链在去年12月底遭到攻击。网络攻击者用恶意软件修改了该公司软件的签名版本,然后利用该软件感染了1.8万家私营企业和政府机构。一旦它被安装到目标的运营环境中,病毒就会传播到更大的攻击向量中。

根据Gartner公司发布的数据,到2025年,软件供应链可能面临攻击的企业数量将是2021年的三倍。为了优先考虑数字供应链风险,并向供应商施加压力,要求他们展示安全最佳实践,安全和风险管理专业人员必须与其他部门在安全方面开展合作。

网络安全网格与分布式方法

无论企业的业务资产是在内部部署设施、数据中心还是云平台中,企业可以使用网络安全网格方法部署和集成安全:这是安全架构的一种当代概念方法。通过实现网络安全网格架构,企业可以在未来几年将单一安全事件的损失平均降低90%。

随着越来越多的企业将其活动转移到云计算基础设施和多云环境,这一概念将变得更加重要。网络安全网格在结构上由多个安全控制层组成,这些安全控制层保护企业避免各种攻击,其中包括恶意软件、病毒、网络钓鱼攻击等。在理论上,网格级别越高,就可以提供更好的IT安全性和网络威胁防护。

在通常情况下,网络安全网是通过组合几种不同的技术来构建的,包括内部防火墙、基于云的安全服务和外部管理的安全服务提供商。这些解决方案可以相互结合使用,以覆盖企业的各个方面。与传统的点解决方案相比,其目标是实现跨整个网络的流量的连续可见性,从而提供卓越的保护。

为了支持数字公司的目标,随着首席信息安全官(CISO)这一职位的工作量日益增加,行业领先的企业已经开始创建CISO办公室,以支持分散的网络决策。虽然网络安全主管被安置在不同的部门,但首席信息安全官和企业的中央职能部门仍可能负责制定政策。

必须记住的是,大多数的数据泄露事件仍然涉及人为错误,这证明传统的安全意识培训方法仍然不够。有了正确的方法和充足的预算,现代企业必须摒弃传统的基于合规性意识的努力,转而支持鼓励更加安全的工作实践的全面行为和文化变革举措。


立即下载试用

2023年需要担心的网络安全新问题

“安全必须在谈判桌上占有一席之地,这非常非常关键。但你需要从战略上考虑如何降低这些风险,因为这些设备很重要,”Rozumalski 说 - 她相信正在取得进展,随着董事会越来越意识到网络安全问题。然而,还有很多工作要做。

一年对于网络安全来说是一段很长的时间。 

当然,有一些常数。 多年来,勒索软件一直是一个主要的网络安全问题,但随着网络犯罪分子的攻击不断发展,勒索软件并没有消失的迹象。大量的企业网络仍然容易受到攻击,这通常是由于 长期可用更新的安全漏洞造成的。

特殊功能

了解未来 12 个月内世界将趋向的领先技术趋势,以及它们将如何影响您的生活和工作。

但是,即使认为自己掌握了网络中的所有软件漏洞,新的安全漏洞总是会出现——其中一些可能会产生重大影响。

以 Log4j 缺陷为例:一年前它是完全未知的,潜伏在代码中。但在 12 月曝光后,CISA 负责人将其描述为最严重的缺陷之一。到 2022 年末,它仍然是隐藏在许多组织代码中的一个经常未经处理的安全漏洞——这种情况很可能会持续到很远的未来。

安全技能短缺

无论研究人员发现了最新的黑客伎俩或安全漏洞,无论是好是坏,人——而不是技术——始终是 网络安全的核心。

该重点从基本层面开始,即员工能够识别网络钓鱼链接或商业电子邮件泄露诈骗,以及雇用合适的信息安全团队的老板,这有助于制定和监控企业防御。 

但是网络安全技能的需求量很大,以至于根本没有足够的员工可以四处走动。

博思艾伦高级副总裁兼国家网络防御负责人 Kelly Rozumalski 说汉密尔顿:“随着网络威胁变得更加复杂,我们需要拥有应对它们的资源和合适的技能。因为没有专业人才,组织确实处于危险之中。”

“我们需要鼓励来自各种不同背景的人——从计算机工程和编码到心理学——探索网络安全,因为要真正赢得人才战争,我们不仅需要致力于招聘,还需要致力于建立、留住和投资在我们的天赋中,”她说。

组织拥有适当的人员和流程来预防或检测网络攻击至关重要。不仅存在来自网络犯罪团伙的网络钓鱼、恶意软件攻击或勒索软件活动的持续日常风险,还有来自黑客和敌对国家的威胁。 

新的和更大的供应链威胁

虽然一段时间 以来网络空间一直是国际间谍活动和其他活动的舞台,但当前的全球地缘政治环境正在制造更多威胁。

“我们将回到以大国竞争为特征的地缘政治范式,这是我们几十年来从未有过的地方,”普华永道网络和隐私创新研究所负责人、联邦调查局网络部门前助理主任马特·戈勒姆 (Matt Gorham) 说。分配。 

“当没有真正的共识、红线或规范以及网络空间时,我们正在这样做,”他补充道。 

例如,运行关键基础设施的技术一直是俄罗斯入侵乌克兰的目标。 

在入侵开始前的几个小时内,卫星通信提供商 Viasat 受到中断的影响,中断了乌克兰和欧洲其他国家的宽带连接——西方情报机构将此事件归咎于俄罗斯。 埃隆马斯克还表示,俄罗斯试图入侵 Starlink 的系统,Starlink是由他的SpaceX 火箭公司运营的卫星通信网络,为乌克兰提供互联网接入。

但这不仅仅是在敌对国家试图通过网络攻击造成破坏的战区:组织,特别是那些参与关键供应链的组织,也发现自己成为了国家支持的黑客的目标。 

看看俄罗斯黑客如何使用恶意软件入侵一家大型软件提供商,该软件将恶意更新推出,为 美国多个政府机构的网络提供了后门。 

“担忧总是由现实世界的事件驱动。因此,在过去的几年里,我们看到了民族国家的供应链攻击,这些攻击导致每个人都考虑与之相关的供应链风险,”Gorham 说,他敦促组织不仅要考虑如何防止网络攻击,还要考虑如何 检测对网络的恶意入侵并进行适当的处理。 

“如果一个州决心进入你的系统,他们有资源和能力这样做——所以它是关于检测它们并驱逐它们,”他补充道。

通常,允许攻击者进入网络的不是高级技术,而是常见的漏洞,例如 弱密码、未应用安全更新或缺乏双因素身份验证(2FA)。有时,尤其是在关键基础设施和工业网络的情况下,运行这些系统的软件可能已有多年历史。 

Web3 和物联网:新问题还是回归基础?

但是,仅仅因为某些东西是新的,这并不意味着它是自动安全的——随着 Web3和物联网(IoT) 等技术在 2023 年继续取得进展,它们将成为网络攻击和黑客的更大目标. 

关于 Web3 的潜力仍然有很多炒作——这是一种通过使用区块链、加密货币和基于代币的经济学将控制权从大公司手中夺走并在用户之间分散权力的网络愿景。

但就像任何新技术一样,尤其是伴随着大量兴奋和炒作的新技术,随着软件开发急于发布产品和服务,安全性经常被遗忘——正如针对加密货币交易所的各种黑客攻击所证明的那样,攻击者窃取了数百万加密货币。 

“人们对新技术感到非常兴奋。然后他们忘记考虑安全漏洞,因为他们急于实施它。在 Web3 中,我们看到了这种情况,人们被炒作开始 -但安全却被抛在了后面,”曼彻斯特城市大学网络安全讲师、HackerOne 的漏洞赏金猎人Katie Paxton-Fear 说。 

由于这种情况, 漏洞赏金猎人在 Web3 应用程序和服务中发现了许多漏洞。它们通常是主要漏洞,如果恶意黑客首先发现它们,可能会非常有利可图——而且对用户来说可能代价高昂。 

但是,虽然其中一些漏洞是新颖而复杂的,但许多影响加密货币交易所和其他 Web3 服务的安全漏洞都归结为错误配置的服务或网络钓鱼攻击,犯罪分子在这些攻击中掌握了密码。 

因此,虽然实验性和不寻常的漏洞是一个问题,但建立网络安全基础可以帮助阻止 Web3 违规行为,特别是随着该技术变得越来越流行,并且成为网络犯罪分子更有吸引力的目标。 

“这几乎就像我们正在研究这些非常酷的新漏洞并被它们大肆宣传——但我们忘记了访问控制之类的东西,”Paxton-Fear 说。 

虽然区块链和 Web3 目前可能仍被视为小众技术,但物联网并非如此,全球各地的家庭和工作场所安装了数十亿台设备,其中包括一些有助于为关键基础设施和医疗保健提供动力的设备。 

但是与其他新技术一样,如果这些连接的设备没有得到适当的保护,那么它们可能会被破坏,甚至使整个网络易受攻击。这是一个需要考虑的差距,因为连接设备在我们的生活中变得越来越普遍。

Booz Allen Hamilton 的 Rozumalski 说:“我们正处于一个非常艰难的困境。但我们必须注意它。” “现在,不良行为者可以通过医疗设备进入,并以此为中心摧毁整个医院网络——这显然会对患者护理产生影响。”

她认为,关键在于医院和任何其他组织的关键基础设施提供商都必须认识到,网络安全在 2023 年的规划和决策过程中发挥着关键作用,以帮助确保网络尽可能安全地抵御威胁。 

2023 年网络安全展望

“安全必须在谈判桌上占有一席之地,这非常非常关键。但你需要从战略上考虑如何降低这些风险,因为这些设备很重要,”Rozumalski 说 - 她相信正在取得进展,随着董事会越来越意识到网络安全问题。然而,还有很多工作要做。 

“我认为我们在过去一年中采取了很多措施,这些措施将开始让我们变得越来越好,并能够在未来真正应对其中的一些威胁”。 

而且她并不是唯一一个认为网络安全和网络安全预算仍需要更多关注的人,但总体而言,事情正在朝着正确的方向发展。 

普华永道的 Gorham 说:“人们越来越意识到这是一个重大而广泛的威胁,并且存在重大风险——这让我有些乐观,”尽管他意识到网络安全不会突然变得完美。随着世界进入 2023 年,仍有许多挑战需要应对。威胁不会消失——它很重要,而且随着我们继续进行数字化转型,它只会变得更加重要。但我认为我们今天正在接受它这一事实对未来来说是一个好兆头。”


本文为 网络安全问题近几年趋势 收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/16155.html