又(yòu)是網絡安全動蕩的一(yī)年。複雜(zá)多變的國際局勢加劇了國家間的數字沖突。加密貨币市場崩潰，數十億美元從投資(zī)者手中(zhōng)被盜。黑客入侵科技巨頭，勒索軟件繼續肆虐衆多行業。

信息安全傳媒集團（Information Security Media Group）就2023年值得關注的事件咨詢了一(yī)些行業領先的網絡安全專家，内容涵蓋了影響安全技術、領導力和監管等層面新出現的威脅與不斷發展的趨勢。這是對未來一(yī)年的展望。

網絡犯罪分(fēn)子将加大(dà)對API漏洞的攻擊力度

随着組織越來越依賴開(kāi)源軟件和自定義接口來連接雲系統，API（應用程序接口）經濟正在增長。API攻擊導緻2022年發生(shēng)了幾起引人注目的違規事件，其中(zhōng)包括發生(shēng)在澳大(dà)利亞電信公司Optus的違規事件。專家預計，新的一(yī)年網絡犯罪分(fēn)子會加大(dà)對API漏洞的攻擊力度。

攻擊者将瞄準電網、石油和天然氣供應商(shāng)以及其他關鍵基礎設施

關鍵基礎設施可能成爲攻擊者的主要目标。許多工(gōng)業控制系統已有數十年曆史，易受到攻擊。事實上，此前IBM X-Force觀察到針對TCP端口的對抗性偵察增加了2000%以上，這可能允許黑客控制物(wù)理設備并進行破壞操作。專家警告，準備好應對針對電網、石油和天然氣供應商(shāng)以及其他關鍵基礎設施目标的攻擊。

攻擊者将增加多因素身份驗證（MFA）漏洞利用

多因素身份驗證（MFA）曾被認爲是身份管理的黃金标準，爲密碼提供了重要的後盾。2022年發生(shēng)了一(yī)系列非常成功的攻擊，使用MFA旁路和MFA疲勞策略，結合久經考驗的網絡釣魚和社會工(gōng)程學，這一(yī)切都發生(shēng)了變化。攻擊者将會增加多因素身份驗證漏洞利用。

勒索軟件攻擊将打擊更大(dà)的目标并索取更多的贖金

勒索軟件攻擊在公共和私營機構激增，迫使受害者支付贖金的策略已擴大(dà)到雙倍甚至三倍的勒索。由于許多受害者不願報案，沒有人真正知(zhī)道事情是在好轉還是在惡化。專家預計會有更多類似的情況發生(shēng)，勒索軟件攻擊會擊中(zhōng)更大(dà)的目标并索取更多的贖金。

攻擊者将瞄準大(dà)型的雲企業

數字化轉型正在推動向公有雲的大(dà)規模遷移。這種趨勢始于企業部門，并擴展到大(dà)型政府機構，創造了複雜(zá)的混合和多雲環境的大(dà)雜(zá)燴。應用程序的容器化加劇了惡意軟件的感染，今年我(wǒ)們看到了針對AWS雲的無服務器惡意軟件的引入。随着越來越多的數據轉移到雲上，應高度關注攻擊者是否會瞄準主要的雲超大(dà)規模應用程序。

零信任将得到更廣泛的采用

零信任的原則自2010年就已出現，但僅在過去(qù)幾年中(zhōng)，網絡安全組織和供應商(shāng)社區才接受最小(xiǎo)特權的概念并不斷驗證防禦。此前，美國國防部宣布其零信任戰略，這種方法得到了重大(dà)推動。随着黑客輕松地跨IT部門橫向移動，組織希望實現防禦現代化。專家預計零信任會得到更廣泛的采用。

首席安全官将獲得更好的個人保護談判合同

2022年10月，優步前CSO喬·蘇利文（Joe Sullivan）因掩蓋2016年數據洩露事件被定罪，這在網絡安全領域引發了不小(xiǎo)的沖擊波。刑事責任讓高級安全領導者重新考慮他們在組織中(zhōng)的角色。首席安全官或将被提供更多人身保護的合同。

網絡保險的式微将增加企業的财務風險

第一(yī)份網絡保險政策是在20多年前制定的，但勒索軟件攻擊造成的恢複成本和業務損失呈指數級增長。事實上，大(dà)型醫療機構的損失通常超過1億美元。因此，網絡保險公司正在提高費(fèi)率或完全退出該業務。網絡保險的可用性将繼續枯竭，增加企業的财務風險。

政府機構将對加密貨币公司實施更嚴格的控制

一(yī)系列違規行爲、市場價值的重大(dà)損失和FTX加密貨币交易所醜聞使加密貨币世界在2022年陷入混亂。尋求政府機構對加密貨币公司實施更嚴格的控制，以保護投資(zī)者、打擊洗錢和提高安全性。

組織将調整自身提供教育和認證計劃的方式

多數大(dà)型公司多年來一(yī)直提供網絡安全意識培訓，但似乎并沒有奏效。更糟糕的是，越來越難找到熟練的網絡安全資(zī)源。未來，組織将積極尋找改變自身提供教育和認證計劃的方式，着眼于更積極地學習、職業道路規劃和提高信息安全人員(yuán)的技能。