又是網絡安全動蕩的一年。複雜多(duō)變的國際局勢加劇(jù)了國家(jiā)間(jiān)的數(shù)字沖突。加密貨币市場(chǎng)崩潰，數(shù)十億美元從投資者手中被盜。黑(hēi)客入侵科技(jì)巨頭，勒索軟件繼續肆虐衆多(duō)行(xíng)業。

信息安全傳媒集團（Information Security Media Group）就2023年值得(de)關注的事件咨詢了一些(xiē)行(xíng)業領先的網絡安全專家(jiā)，內(nèi)容涵蓋了影(yǐng)響安全技(jì)術(shù)、領導力和(hé)監管等層面新出現的威脅與不斷發展的趨勢。這是對未來(lái)一年的展望。

網絡犯罪分子将加大(dà)對API漏洞的攻擊力度

随着組織越來(lái)越依賴開(kāi)源軟件和(hé)自定義接口來(lái)連接雲系統，API（應用程序接口）經濟正在增長。API攻擊導緻2022年發生(shēng)了幾起引人(rén)注目的違規事件，其中包括發生(shēng)在澳大(dà)利亞電(diàn)信公司Optus的違規事件。專家(jiā)預計(jì)，新的一年網絡犯罪分子會(huì)加大(dà)對API漏洞的攻擊力度。

攻擊者将瞄準電(diàn)網、石油和(hé)天然氣供應商以及其他關鍵基礎設施

關鍵基礎設施可(kě)能成為(wèi)攻擊者的主要目标。許多(duō)工業控制(zhì)系統已有(yǒu)數(shù)十年曆史，易受到攻擊。事實上(shàng)，此前IBM X-Force觀察到針對TCP端口的對抗性偵察增加了2000%以上(shàng)，這可(kě)能允許黑(hēi)客控制(zhì)物理(lǐ)設備并進行(xíng)破壞操作(zuò)。專家(jiā)警告，準備好應對針對電(diàn)網、石油和(hé)天然氣供應商以及其他關鍵基礎設施目标的攻擊。

攻擊者将增加多(duō)因素身份驗證（MFA）漏洞利用

多(duō)因素身份驗證（MFA）曾被認為(wèi)是身份管理(lǐ)的黃金标準，為(wèi)密碼提供了重要的後盾。2022年發生(shēng)了一系列非常成功的攻擊，使用MFA旁路和(hé)MFA疲勞策略，結合久經考驗的網絡釣魚和(hé)社會(huì)工程學，這一切都發生(shēng)了變化。攻擊者将會(huì)增加多(duō)因素身份驗證漏洞利用。

勒索軟件攻擊将打擊更大(dà)的目标并索取更多(duō)的贖金

勒索軟件攻擊在公共和(hé)私營機構激增，迫使受害者支付贖金的策略已擴大(dà)到雙倍甚至三倍的勒索。由于許多(duō)受害者不願報案，沒有(yǒu)人(rén)真正知道(dào)事情是在好轉還(hái)是在惡化。專家(jiā)預計(jì)會(huì)有(yǒu)更多(duō)類似的情況發生(shēng)，勒索軟件攻擊會(huì)擊中更大(dà)的目标并索取更多(duō)的贖金。

攻擊者将瞄準大(dà)型的雲企業

數(shù)字化轉型正在推動向公有(yǒu)雲的大(dà)規模遷移。這種趨勢始于企業部門(mén)，并擴展到大(dà)型政府機構，創造了複雜的混合和(hé)多(duō)雲環境的大(dà)雜燴。應用程序的容器(qì)化加劇(jù)了惡意軟件的感染，今年我們看到了針對AWS雲的無服務器(qì)惡意軟件的引入。随着越來(lái)越多(duō)的數(shù)據轉移到雲上(shàng)，應高(gāo)度關注攻擊者是否會(huì)瞄準主要的雲超大(dà)規模應用程序。

零信任将得(de)到更廣泛的采用

零信任的原則自2010年就已出現，但(dàn)僅在過去幾年中，網絡安全組織和(hé)供應商社區(qū)才接受最小(xiǎo)特權的概念并不斷驗證防禦。此前，美國國防部宣布其零信任戰略，這種方法得(de)到了重大(dà)推動。随着黑(hēi)客輕松地跨IT部門(mén)橫向移動，組織希望實現防禦現代化。專家(jiā)預計(jì)零信任會(huì)得(de)到更廣泛的采用。

首席安全官将獲得(de)更好的個(gè)人(rén)保護談判合同

2022年10月，優步前CSO喬·蘇利文（Joe Sullivan）因掩蓋2016年數(shù)據洩露事件被定罪，這在網絡安全領域引發了不小(xiǎo)的沖擊波。刑事責任讓高(gāo)級安全領導者重新考慮他們在組織中的角色。首席安全官或将被提供更多(duō)人(rén)身保護的合同。

網絡保險的式微将增加企業的财務風險

第一份網絡保險政策是在20多(duō)年前制(zhì)定的，但(dàn)勒索軟件攻擊造成的恢複成本和(hé)業務損失呈指數(shù)級增長。事實上(shàng)，大(dà)型醫(yī)療機構的損失通(tōng)常超過1億美元。因此，網絡保險公司正在提高(gāo)費率或完全退出該業務。網絡保險的可(kě)用性将繼續枯竭，增加企業的财務風險。

政府機構将對加密貨币公司實施更嚴格的控制(zhì)

一系列違規行(xíng)為(wèi)、市場(chǎng)價值的重大(dà)損失和(hé)FTX加密貨币交易所醜聞使加密貨币世界在2022年陷入混亂。尋求政府機構對加密貨币公司實施更嚴格的控制(zhì)，以保護投資者、打擊洗錢(qián)和(hé)提高(gāo)安全性。

組織将調整自身提供教育和(hé)認證計(jì)劃的方式

多(duō)數(shù)大(dà)型公司多(duō)年來(lái)一直提供網絡安全意識培訓，但(dàn)似乎并沒有(yǒu)奏效。更糟糕的是，越來(lái)越難找到熟練的網絡安全資源。未來(lái)，組織将積極尋找改變自身提供教育和(hé)認證計(jì)劃的方式，着眼于更積極地學習、職業道(dào)路規劃和(hé)提高(gāo)信息安全人(rén)員的技(jì)能。