人們可能永遠不會聽到這樣的新年預(yù)測:“IT安全問題解決了!”
當(dāng)然,也許一些供應(yīng)商會在他們的宣傳材料中融入這種信息,但明智的IT專業(yè)人士知道這是不切實際的。網(wǎng)絡(luò)安全威脅和風(fēng)險總是一直存在,除非人類回到農(nóng)耕或狩獵的原始生活,否則將永遠如此。
這是因為IT系統(tǒng)和運行它們的專業(yè)人員總是容易出錯,總是會有惡意的系統(tǒng)和專業(yè)人員試圖利用這一現(xiàn)實。
在2023年,IT安全肯定不是一個新問題或暫時的問題,而是一個動態(tài)問題,因為網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)攻擊者不斷發(fā)生變化,即使一些基本的要素(如跨多個帳戶共享或重用憑據(jù))保持不變。
在這種情況下,IT領(lǐng)導(dǎo)者需要在2023年關(guān)注網(wǎng)絡(luò)安全的以下六個趨勢:
1.供應(yīng)鏈安全仍然是一個焦點,但這項工作才剛剛開始
“趨勢”這一術(shù)語有時意味著“新趨勢”,但在IT安全領(lǐng)域,它更可能表明一種長期的轉(zhuǎn)變,例如軟件供應(yīng)鏈安全。在2022年甚至更早之前,這是一個熱門的安全話題。這將是2023年持續(xù)關(guān)注的一個領(lǐng)域。
如今的軟件供應(yīng)鏈與以往一樣多樣化,軟件通常是由其他軟件構(gòu)建而成的,因此確保這些供應(yīng)鏈的安全性將需要長期的承諾。
2023年可能會有什么新變化?雖然人們一直在談?wù)撥浖?yīng)鏈安全問題,但他們還沒有在預(yù)算方面進行支持。
Red Hat公司技術(shù)布道者Gordon Haff表示,“Red Hat公司最新的全球技術(shù)展望報告表明,軟件供應(yīng)鏈安全在IT決策者中仍然是一個較低的安全融資優(yōu)先事項。這表明,對于許多企業(yè)來說,需要制定處理供應(yīng)鏈安全的一個良好計劃,如果他們還沒有這樣做的話。”
對于許多企業(yè)來說,這可能不需要超出預(yù)算的財務(wù)承諾,這是一個領(lǐng)導(dǎo)層承諾、計劃和流程改進的問題。
Haff說:“這可能不需要大量投資,但它確實需要一個計劃和流程來降低未來的風(fēng)險。”
與此同時,Kubernetes安全作為更廣泛的軟件供應(yīng)鏈實力基礎(chǔ)的重要性也將得到越來越多的關(guān)注。
Corsha公司基礎(chǔ)設(shè)施主管Alex Meijer表示:“Kubernetes的供應(yīng)鏈安全將得到更多的重視。”Meijer希望看到容器圖像簽名和驗證之類的應(yīng)用越來越多。
Meijer的同事、Corsha公司基礎(chǔ)設(shè)施工程師Robert Batson也看到了新興工具的前景——Batson以Sigstore的準(zhǔn)入控制器為例。他說,“將供應(yīng)鏈安全擴展到托管應(yīng)用程序的集群,并加入引導(dǎo)集群的工具列表,以處理傳統(tǒng)意義上的可觀察性和安全性等問題。”
2.2023年對于NIST網(wǎng)絡(luò)安全框架來說是重要的一年
毫無疑問,安全專家很了解美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)網(wǎng)絡(luò)安全框架,這是一套用于管理網(wǎng)絡(luò)安全風(fēng)險和提高企業(yè)安全態(tài)勢的公開標(biāo)準(zhǔn)和實踐。但這并不意味著他們的雇主必須遵守這一框架,特別是如果他們的行業(yè)或企業(yè)不需要這樣做。
Beachhead Solutions公司的副總裁Cam Robertson預(yù)計,2023年將是人們對NIST框架感興趣和使用的重要一年,即使它不是強制性的。
Robertson說:“越來越多的企業(yè)意識到,即使他們不一定受到NIST網(wǎng)絡(luò)安全框架的約束,該框架仍然提供了特別全面的安全指導(dǎo)和最佳實踐,適用于許多其他政府要求的授權(quán)(如CMMC或DFARS)以及其他行業(yè)特定的授權(quán)(HIPAA等法規(guī)),企業(yè)必須確保持續(xù)遵守。”
以前一直糾結(jié)于從何處開始的企業(yè)和團隊(網(wǎng)絡(luò)安全是一個巨大而持續(xù)的挑戰(zhàn),以及如何采取可衡量的行動),將在NIST這樣的框架中找到各種各樣的路線圖。
Robertson說:“NIST框架提供的五個‘核心功能’和100多個子類別深入研究了首席信息官、首席信息安全官和安全專業(yè)人員如何識別和檢測威脅,然后根據(jù)需要做出反應(yīng)并從中恢復(fù)。”
對于其他廣泛使用的標(biāo)準(zhǔn)和工具,例如CIS Kubernetes Benchmark或MITRE ATT&CK框架,也可能如此。
Robertson認(rèn)為,由于其深度和廣度,NIST框架可能在2023年成為一個熱門話題。
他說:“數(shù)據(jù)違規(guī)和合規(guī)漏洞的風(fēng)險太高了,NIST框架將在2023年繼續(xù)崛起,將成為跨行業(yè)的標(biāo)準(zhǔn),這也許會成為事實上的標(biāo)準(zhǔn),企業(yè)可以將其作為安全戰(zhàn)略。我們將看到更多的企業(yè)努力獲得NIST框架的合規(guī)性。”
3.隨著邊緣計算的增長,對邊緣計算安全性的需求也在增長
隨著新的IT范式變得越來越普遍,例如云計算是過去十年最突出的例子之一,范式的安全性也不可避免地變得至關(guān)重要。
隨著邊緣計算策略在未來一年被許多IT領(lǐng)導(dǎo)者所關(guān)注,邊緣計算安全肯定會引起更多關(guān)注。
就像云計算一樣,邊緣計算從根本上來說并不比集中式模型更不安全,它只是引入了新的或不同的風(fēng)險和挑戰(zhàn)。
正如Asimily公司產(chǎn)品管理高級總監(jiān)Jeremy Linden所說的那樣:“邊緣計算可能帶來更多的復(fù)雜性,這可能會使整個系統(tǒng)的安全變得更加困難。不過,邊緣計算在本質(zhì)上沒有什么不安全的地方。”
與其相反,邊緣安全從根本上需要與任何IT安全領(lǐng)域相同的措施:適當(dāng)?shù)囊?guī)劃和優(yōu)先級。2023年將是奠定基礎(chǔ)的重要一年。
4.對人工智能/機器學(xué)習(xí)工作負載的需求也在增長
從簡單的意義上說,可以用人工智能/機器學(xué)習(xí)代替上面的邊緣計算來說明同樣的原則:隨著越來越多的企業(yè)在生產(chǎn)中運行越來越多的機器學(xué)習(xí)模型和其他形式的人工智能,這些工作負載將成為網(wǎng)絡(luò)攻擊者更加有利可圖的目標(biāo)。人工智能/機器學(xué)習(xí)一直是流行的趨勢;人工智能/機器學(xué)習(xí)安全還沒有改變,但這應(yīng)該會在未來一年發(fā)生變化。
HiddenLayer公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Christopher Tito Sestito特別希望首席信息安全官和其他IT領(lǐng)導(dǎo)者擴展零信任方法,并將其原則和實踐應(yīng)用于人工智能/機器學(xué)習(xí)。
Sestito說:“2022年是政府部門加強對人工智能/機器學(xué)習(xí)安全監(jiān)管的一年,也是通過自動攻擊工具加速機器學(xué)習(xí)攻擊的一年。其結(jié)果將對首席信息安全官提出更多要求,以保護他們的人工智能/機器學(xué)習(xí)。”
Sestito補充說,MITRE人工智能對抗威脅景觀(ATLAS)框架等資源將使首席信息安全官及其團隊能夠快速評估和實施所需的安全控制,并立即與現(xiàn)有的零信任框架集成。
5.仍然知道安全供應(yīng)商在哪里嗎?
人們關(guān)注的是IT技術(shù)和IT領(lǐng)導(dǎo)力,而不是股市預(yù)測或宏觀經(jīng)濟分析。但如果查看財經(jīng)新聞網(wǎng)站或訂閱信息,就會發(fā)現(xiàn)網(wǎng)絡(luò)安全總會成為頭條新聞。人們普遍認(rèn)為2023年可能會帶來科技行業(yè)的整合和變革。
Haff說:“許多市場觀察人士認(rèn)為,在2023年,那些沒有強大價值主張和收入流的科技供應(yīng)商的行業(yè)地位將會改變。IT決策者應(yīng)該評估他們的供應(yīng)商是否擁有強大的市場地位。”
這是一個普遍的事實,但在IT安全領(lǐng)域尤其重要,供應(yīng)商市場在最近幾年得到了極大的擴展,特別是在云計算/云原生領(lǐng)域。
Haff說:“這當(dāng)然包括安全領(lǐng)域,在這個領(lǐng)域,初創(chuàng)公司以經(jīng)常重疊和相對無差別的方式實現(xiàn)云原生安全的爆炸式增長。”
供應(yīng)商管理是任何IT領(lǐng)導(dǎo)者角色的一部分,在2023年,可能值得更密切地關(guān)注投資組合,尤其是在安全工具方面。
6.表現(xiàn)最好的安全機構(gòu)會建立自己的人才管道
在圍繞招募和留住技術(shù)人才的挑戰(zhàn)展開的廣泛討論中,IT安全技能短缺通常是一個主要的話題。
最近出現(xiàn)的一個趨勢是,戰(zhàn)略IT領(lǐng)導(dǎo)者和企業(yè)不只是等待他人來解決這個特定的問題。他們正在投資于自己的安全人才管道,并確保能夠接觸到最廣泛的受眾。
Sestito表示:“我們預(yù)測,通過針對代表性不足群體的項目,表現(xiàn)優(yōu)秀的企業(yè)將繼續(xù)關(guān)注網(wǎng)絡(luò)勞動力的多元化。這些企業(yè)意識到,他們能否在市場競爭中獲勝、克服復(fù)雜挑戰(zhàn)、吸引和留住客戶的能力取決于在全球擁有一支敬業(yè)和多元化的員工隊伍,并將進行相應(yīng)的投資。”
Sestito指出,這也不是一個固定的趨勢。實際上,擴大網(wǎng)絡(luò)安全人才庫是一項長期戰(zhàn)略,不是短期就能解決的問題。
Sestito說,“這不是每年制定的人力資源戰(zhàn)略,與其相反,這是企業(yè)范圍內(nèi)的文化的一個轉(zhuǎn)變,需要多年的關(guān)注和投入。”
關(guān)于企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。