年关将近,专家们回顾了这个有记录以来网络安全情况最差的年份之一,得出的结论是:网络攻击和违规行为继续上升,看不到尽头;各组织继续以创纪录的速度投资于技术,却仍然处于危险之中。在2022年,超过65%的组织预计安全预算将扩大。Gartner估计今年将花费1720亿美元,高于2021年的1550亿美元。随着支出的增加,攻击继续以指数级的速度进行。根据Check Point的数据,到年中,全球网络攻击增加了42%。从供应链漏洞到勒索软件,各组织仍在努力避免成为最终被攻击的统计数据的一部分。
展望2023年,许多新兴趋势是高管们应该关注的首要安全领域。
▌用户意识
用户意识仍然是组织必须继续投资的首要领域。窃取凭证以获取访问权限仍然是组织的头号威胁。根据Ponemon Institute的数据,超过54%的安全事件是由凭证盗窃引起的。此报告指出,59%的组织未能维护严格的用户帐户生命周期管理,使环境中不再需要的凭证可能会受到损害。攻击者正是利用凭证管理中的这种故障来访问帐户和数据。组织必须改进身份的生命周期管理,以避免此类违规行为。到2023年,这一领域将继续成为各组织面临的挑战。
▌勒索软件
据预测,勒索软件将继续成为攻击者利用其控制受害者和窃取数据并实现黑客组织盈利的主要方式。根据SonicWall网络威胁报告,全球勒索软件数量增长了98%。尽管这一数字低于2021年105%的增长率,但支出频率和金额仍在继续增长。在全球范围内,医疗保健、金融服务、制造业以及州和地方政府的袭击频率继续上升。这些攻击的有趣之处在于,根据Veeam在《2022勒索软件趋势报告》(2022 Ransomware Trends Report)中的数据,参与研究的人中有76%经历过攻击。在那些支付赎金的人中,只有69%能够获得他们的数据。在这场猫鼠游戏中,一个日益增长的趋势是,你可能会支付赎金,但仍然无法摆脱黑客的控制。
▌第三方/供应链风险
从互联网供应商到制造商,这仍然是一个问题。2022年,我们目睹了几起第三方供应链违约事件。年初《福布斯》(Forbes)概述了这一话题如何在董事会会议室中占据黄金时段,并继续困扰着企业。埃森哲还强调了这一值得关注的领域,并指出供应链中断也是风险的一部分。这不仅是第三方造成的脆弱性,而且是与技术中断相关的实际供应中断。这一挑战将在2023年继续,我们预计这一领域的增长将达到两位数。
▌物联网和 DoS
IoT/OT和DoS攻击向量是2022年攻击的关键领域。各组织仍在努力了解网络上的内容以及设备的脆弱性。与此同时,攻击者正在寻找方法,以创纪录的速度利用连接到互联网的设备。随着组织加速采用,安全问题令人遗憾地成为了后顾之忧。攻击者将继续利用这一领域薄弱的安全态势,利用安全漏洞侵入安全网络。
▌移动设备攻击向量
这一领域的问题在2022年刚刚爆发。这些问题从应用程序安全到个人数据隐私无所不含。编写应用程序的组织必须保护代码、密钥和个人数据。很少有人采取必要的预防措施来验证所有这些领域都在全面的层面上得到了覆盖。另一个挑战是应用程序有意共享用户的个人数据。从定位器服务信息到文本消息,用户无法准确了解从移动设备收集的数据,然后在公开市场上共享或出售。这一领域将在2023年爆炸式增长,用户现在开始更加意识到这些风险。
▌网络钓鱼针对性攻击
这个载体仍然是攻击者进入网络的首要方式。网络钓鱼、短信登录和社会工程仍然非常流行,攻击者在获取信息和证书以获取系统和数据的方法、途径和技术上也越来越成熟。F5去年发布消息称,从2020-2021年,钓鱼邮件数量增加了45%。预计2022年发布此报告时,钓鱼邮件的数量会再次增加。攻击者现在正在使用自动化工具来执行这些攻击;使用这些工具,他们只需单击一下即可发送数百万条网络钓鱼消息。2023 年的趋势是,随着用户放弃标准电子邮件并转向文本和短信,短信钓鱼和移动设备攻击正在增长。
▌2023年的其他趋势
根据市场和经济的发展情况,在2023年的趋势中,还有一些其他事项需要考虑。资源将继续很难保留、吸引和发现。随着疫情带来的远程工作的变化以及对少量资源的大量需求,今年很难留住和吸引人才。从业者们希望在工作地点和时间安排上获得更高的薪水和工作灵活性。试图重返办公室的组织发现,他们的一些最佳资源并不支持这一举措。资源限制将在2023年继续存在,安全和云在备受追捧的人才方面处于领先地位。
数据安全将成为2023年的一大关注点。组织已经开始意识到,他们到处都有数据,并且缺乏安全控制来保护、加密和管理数据。这一挑战以及第三方访问和风险的复杂性使董事会和CIO们夜不能寐。2023年将是一些组织开始在内部承认自身弱点的一年,如果要确定数据的位置、如何保护数据、谁有权访问和完整的生命周期管理,就要开始这一过程。
2023年趋势的下一个领域是应用程序安全性。通常,围绕应用程序开发的 CI/CD 流水线和安全性是一个值得关注的领域。这与Dev/Sec/Ops相结合,已经在WE DEVELOPERS WILL TAKE CARE OF SECURITY多年。这是组织内的潘多拉盒子。通常,会发现持续的控制手段是有的,而同时几乎不存在审计和身份生命周期管理。例如,去年从事开发项目的承包商仍然拥有代码和系统的管理权限。
明年的最后一个水晶球项目是FINOPS的上涨。这是一种意识,即安全、开发和云计算都需要花钱,而FINOPS是分析支出、趋势、基线并寻找成本优化、减少、浪费和滥用的下一个大赌注。从云端超支到搁置,企业一直在疯狂花钱,随着经济和预算的紧缩,CIO/CISO们将寻求能够节省或削减预算的每一分钱。
2022年还没有结束,但已经可以开始期待您的2023年战略,以及您的组织如何提高安全性。组织如何为其中一些趋势做好准备至关重要,如果没有更有效的防御策略,可能就会成为网络攻击新闻的下一个标题。
根据当前众多安全机构和专家的意见,在未来,组织只会面临比当前更严峻的考验。控制和抵御风险的最佳实践就是做好主动防御的各项准备,塞讯验证为组织提供真实的APT攻击手法,来提前验证您的防御体系是否能在攻击来临时有效抵御。在安全人才短缺的长期趋势下,塞讯验证也能够大幅提升人效,以更少的人力投入、更高的自动化水平来帮助组织让有限的安全预算得到更合理的分配。
https://www.cybersecurity-insiders.com/2022-security-challenges-and-2023-security-predictions/