Datamation網站通常會對下(xià)一(yī)年的發展做五大(dà)預測。由于網絡安全是一(yī)個如此充滿活力、有時甚至令人望而生(shēng)畏的領域，五大(dà)預測不足以涵蓋這個領域。因此，Datamation網站對2023年做了以下(xià)十大(dà)預測。

1. 物(wù)聯網遭到攻擊

Hack The Box公司的首席執行官Haris Pylarinos曾是一(yī)名道德黑客，他表示，自己不得不像網絡犯罪分(fēn)子一(yī)樣思考，以确定2023年的幾大(dà)威脅。

他預測2023年将出現物(wù)聯網設備和傳感器大(dà)舉入侵的一(yī)幕。

Pylarinos表示，業界低估了物(wù)聯網攻擊的危險性。掌握硬件技能對于防止災難性網絡攻擊至關重要，而這類攻擊可能會摧毀整個社會。

2. 安全文化浮出水面

應對網絡安全攻擊、新型病毒家族和新興威脅途徑的方法通常是開(kāi)發一(yī)套新的網絡安全工(gōng)具。

但是如今網絡安全領域的工(gōng)具太多了，這種方法變得很笨拙。公司企業部署了所有最新的系統，卻被告知(zhī)還需要勒索軟件防護、安全訪問服務邊緣（SASE）或零信任網絡訪問（ZTNA）等工(gōng)具。這種情況似乎永遠沒個盡頭。

KnowBe4公司的戰略洞察和研究高級副總裁Joanna Huisman認爲，2023年全球企業組織的重心會發生(shēng)轉移，轉移到創建安全文化上。

Huisman表示，如今大(dà)多數企業組織顯然需要安全意識培訓，它們正開(kāi)始從單純的培訓轉向更加注重行爲和文化。全球範圍内出現了一(yī)股積極的發展勢頭，緻力于打造強大(dà)的安全文化，這勢必需要高管和整個員(yuán)工(gōng)群體(tǐ)的支持。

3. 零信任趨于成熟

零信任已經成爲2022年的熱門術語，但到目前爲止，空談多過實踐。

Syxsense公司的首席執行官Ashley Leonard表示，零信任技術在企業基礎設施中(zhōng)的實際應用很有限。2023年，我(wǒ)(wǒ)們最終将看到零信任概念在企業IT環境中(zhōng)得到廣泛落實。

4. 自主端點

Syxsense公司的Leonard還強調了端點在IT、計算能力和網絡安全領域的角色發生(shēng)了變化。

端點安全近年來越來越突出，這個趨勢會持續下(xià)去(qù)。有必要強調智能手機、PC、服務器、平闆電(diàn)腦和筆記本電(diàn)腦的安全性，因爲它們是防止網絡入侵的第一(yī)道防線，以便當場阻止攻擊。但除了網絡安全外(wài)，更多的任務将會分(fēn)包給端點。

Leonard表示，近年來，雲計算備受關注，雲計算集中(zhōng)了計算能力，但在很多情況下(xià)，功能強大(dà)的處理器和端點都沒有得到充分(fēn)利用。

如今由雲計算管理的許多任務可以在端點得到更好地執行，這種情況将在2023年開(kāi)始改變。作爲其中(zhōng)的一(yī)部分(fēn)，編排和自動化技術将是支持IT團隊維護安全和服務的關鍵。

5. Chrome攻擊

數據删除公司Incogni分(fēn)析了Chrome網絡商(shāng)店(diàn)中(zhōng)1237個下(xià)載量不低于1000人次的Chrome擴展插件的風險情況。

研究表明，兩個Chrome擴展插件中(zhōng)就有一(yī)個（48.66%）具有高到非常高的風險，比如請求許可，可能因而暴露個人身份信息（PII）、分(fēn)發廣告軟件和惡意軟件，或者記錄用戶的一(yī)切行爲，包括他們在網上輸入的密碼和财務信息。

預計2023年會有大(dà)量針對Chrome和浏覽器擴展插件的攻擊。

Surfshark公司的信息安全官Aleksandras Valentij表示，用戶應謹慎對待需要以下(xià)權限的浏覽器擴展插件：讀取和更改用戶訪問的所有網站上的所有數據、音頻(pín)捕獲、浏覽數據、剪貼闆讀取、桌面捕獲、文件系統、地理位置、存儲以及視頻(pín)捕獲。

在授予浏覽器擴展插件權限時記得運用常識，比如廣告攔截程序爲什麽需要訪問音頻(pín)捕獲功能或訪問文件系統。

6. VPN失去(qù)份額

與之前的許多技術一(yī)樣，虛拟專用網絡（VPN）曾經是一(yī)項前沿技術。

随着時間的推移，全球的IT和商(shāng)業環境已經發生(shēng)了變化，而VPN基本上保持不變。因此，VPN現在可能無法阻止黑客入侵，它們有時可能會使黑客更容易得逞。企業可能會在2023年擺脫對VPN的依賴。

DH2i公司的聯合創始人兼首席執行官Don Boxley表示，現在可以用現代軟件定義邊界（SDP）完成用VPN幾乎不可能完成的任務。

Boxley表示，SDP使企業組織能夠使用零信任網絡訪問隧道将任何對稱網絡地址轉換（NAT）背後的應用程序、服務器、物(wù)聯網設備和用戶連接到任何完全圓錐形NAT（full cone NAT），無需重新配置網絡或設置複雜(zá)且易出問題的VPN。

完全圓錐形NAT指這種NAT：來自同一(yī)個内部IP地址和端口的所有請求被映射到同一(yī)個外(wài)部IP地址和端口。此外(wài)，任何外(wài)部主機可以将數據包發送到内部主機，隻需将數據包發送到被映射的外(wài)部地址。

7. Logj4将推動創新

Logj4漏洞敲響了一(yī)記警鍾，影響了全球十分(fēn)之一(yī)的公司。

Platform.sh公司的隐私和安全副總裁Joey Stanford認爲，通過鼓勵企業雇傭經驗豐富的開(kāi)發人員(yuán)來執行漏洞檢查和加強軟件集成，爲開(kāi)源提供資(zī)金支持，Logj4漏洞将在2023年促進更安全的開(kāi)源創新。

Stanford表示，政府層面也會有所行動，比如要求建立軟件材料清單（SBOM），以确保未來的軟件項目更安全，這将惠及使用和緻力于開(kāi)源的企業，并确認其在未來互聯網開(kāi)發中(zhōng)的應有地位。

8. 混沌工(gōng)程将提高安全性

Quest公司的技術策略師和首席工(gōng)程師Adrian Moir表示，在來年，企業将改進其數據安全測試流程，日益部署混沌工(gōng)程來夯實企業彈性。

混沌工(gōng)程最初是爲開(kāi)發人員(yuán)測試而構建，它可以幫助IT團隊測試恢複操作以及應用程序和數據傳輸管道。通過定期測試企業數據保護設備的每個環節，團隊将能夠确認從不可變數據存儲到可複制性的諸多恢複技術有效地工(gōng)作。

Moir表示，鑒于勒索軟件、自然災害及其他業務幹擾因素，企業高層将彈性和風險降低作爲更高的優先級，預計企業會把這項工(gōng)作視作常規數據保護操作的一(yī)部分(fēn)。

9. BEC驅動MFA的采用

商(shāng)業電(diàn)子郵件入侵（BEC）将繼續成爲網絡攻擊者的首要攻擊方法，也是進入企業組織的最簡單途徑。

随着零日攻擊不斷增加，人們會考慮減小(xiǎo)外(wài)部攻擊面。因此，BEC将推動多因素身份驗證（MFA）的采用。

下(xià)一(yī)代托管服務提供商(shāng)Thrive公司的首席信息安全官Chip Gibbons表示，MFA将無處不在；沒有MFA的保護，任何東西都不應該從外(wài)部獲得。

10. 确定風險管理的優先級

談到網絡風險的治理和監管，VMware公司的高級網絡安全策略師Karen Worstell認爲，由于網絡風險本身涉及更大(dà)的利害關系以及企業聲譽通常不堪一(yī)擊，整個體(tǐ)系已崩潰。

Worstell表示，因此，企業将加大(dà)網絡風險管理方面的投入力度。

董事會在确保充分(fēn)控制和報告網絡攻擊的流程方面需要極其明确的角色和責任。網絡風險治理不僅僅是首席信息安全官的責任。現在，它顯然是企業主管需要操心的問題。說到網絡安全，推诿注定是行不通的。

緩解風險

Codeproof公司的首席執行官Satish Shetty給出了一(yī)些建議，這将幫助企業降低風險，避免成爲媒體(tǐ)的頭條新聞：

•對員(yuán)工(gōng)進行安全培訓，告知(zhī)不要點擊網絡釣魚鏈接或從外(wài)部郵件下(xià)載附件。

•使用Slack和Microsoft Teams之類的應用程序進行内部溝通。

•主要使用電(diàn)子郵件進行外(wài)部溝通。

•遷移到基于雲的電(diàn)子郵件服務，比如Microsoft 365或Google Workspace，而不是使用内部電(diàn)子郵件服務器。

•部署移動設備管理（MDM）和移動威脅防禦（MTD）軟件，以保護移動設備和便攜式設備，充分(fēn)利用其執行安全配置的功能。

•在線帳戶使用強密碼和雙因素身份驗證。

參考及來源：https://www.datamation.com/security/cybersecurity-predictions/