人们可能永远不会听到这样的新年预测:“IT安全问题解决了!”
当然,也许一些供应商会在他们的宣传材料中融入这种信息,但明智的IT专业人士知道这是不切实际的。网络安全威胁和风险总是一直存在,除非人类回到农耕或狩猎的原始生活,否则将永远如此。
这是因为IT系统和运行它们的专业人员总是容易出错,总是会有恶意的系统和专业人员试图利用这一现实。
在2023年,IT安全肯定不是一个新问题或暂时的问题,而是一个动态问题,因为网络风险和网络攻击者不断发生变化,即使一些基本的要素(如跨多个帐户共享或重用凭据)保持不变。
在这种情况下,IT领导者需要在2023年关注网络安全的以下六个趋势:
1.供应链安全仍然是一个焦点,但这项工作才刚刚开始
“趋势”这一术语有时意味着“新趋势”,但在IT安全领域,它更可能表明一种长期的转变,例如软件供应链安全。在2022年甚至更早之前,这是一个热门的安全话题。这将是2023年持续关注的一个领域。
如今的软件供应链与以往一样多样化,软件通常是由其他软件构建而成的,因此确保这些供应链的安全性将需要长期的承诺。
2023年可能会有什么新变化?虽然人们一直在谈论软件供应链安全问题,但他们还没有在预算方面进行支持。
Red Hat公司技术布道者Gordon Haff表示,“Red Hat公司最新的全球技术展望报告表明,软件供应链安全在IT决策者中仍然是一个较低的安全融资优先事项。这表明,对于许多企业来说,需要制定处理供应链安全的一个良好计划,如果他们还没有这样做的话。”
对于许多企业来说,这可能不需要超出预算的财务承诺,这是一个领导层承诺、计划和流程改进的问题。
Haff说:“这可能不需要大量投资,但它确实需要一个计划和流程来降低未来的风险。”
与此同时,Kubernetes安全作为更广泛的软件供应链实力基础的重要性也将得到越来越多的关注。
Corsha公司基础设施主管Alex Meijer表示:“Kubernetes的供应链安全将得到更多的重视。”Meijer希望看到容器图像签名和验证之类的应用越来越多。
Meijer的同事、Corsha公司基础设施工程师Robert Batson也看到了新兴工具的前景——Batson以Sigstore的准入控制器为例。他说,“将供应链安全扩展到托管应用程序的集群,并加入引导集群的工具列表,以处理传统意义上的可观察性和安全性等问题。”
2.2023年对于NIST网络安全框架来说是重要的一年
毫无疑问,安全专家很了解美国国家标准与技术研究院(NIST)网络安全框架,这是一套用于管理网络安全风险和提高企业安全态势的公开标准和实践。但这并不意味着他们的雇主必须遵守这一框架,特别是如果他们的行业或企业不需要这样做。
Beachhead Solutions公司的副总裁Cam Robertson预计,2023年将是人们对NIST框架感兴趣和使用的重要一年,即使它不是强制性的。
Robertson说:“越来越多的企业意识到,即使他们不一定受到NIST网络安全框架的约束,该框架仍然提供了特别全面的安全指导和最佳实践,适用于许多其他政府要求的授权(如CMMC或DFARS)以及其他行业特定的授权(HIPAA等法规),企业必须确保持续遵守。”
以前一直纠结于从何处开始的企业和团队(网络安全是一个巨大而持续的挑战,以及如何采取可衡量的行动),将在NIST这样的框架中找到各种各样的路线图。
Robertson说:“NIST框架提供的五个‘核心功能’和100多个子类别深入研究了首席信息官、首席信息安全官和安全专业人员如何识别和检测威胁,然后根据需要做出反应并从中恢复。”
对于其他广泛使用的标准和工具,例如CIS Kubernetes Benchmark或MITRE ATT&CK框架,也可能如此。
Robertson认为,由于其深度和广度,NIST框架可能在2023年成为一个热门话题。
他说:“数据违规和合规漏洞的风险太高了,NIST框架将在2023年继续崛起,将成为跨行业的标准,这也许会成为事实上的标准,企业可以将其作为安全战略。我们将看到更多的企业努力获得NIST框架的合规性。”
3.随着边缘计算的增长,对边缘计算安全性的需求也在增长
随着新的IT范式变得越来越普遍,例如云计算是过去十年最突出的例子之一,范式的安全性也不可避免地变得至关重要。
随着边缘计算策略在未来一年被许多IT领导者所关注,边缘计算安全肯定会引起更多关注。
就像云计算一样,边缘计算从根本上来说并不比集中式模型更不安全,它只是引入了新的或不同的风险和挑战。
正如Asimily公司产品管理高级总监Jeremy Linden所说的那样:“边缘计算可能带来更多的复杂性,这可能会使整个系统的安全变得更加困难。不过,边缘计算在本质上没有什么不安全的地方。”
与其相反,边缘安全从根本上需要与任何IT安全领域相同的措施:适当的规划和优先级。2023年将是奠定基础的重要一年。
4.对人工智能/机器学习工作负载的需求也在增长
从简单的意义上说,可以用人工智能/机器学习代替上面的边缘计算来说明同样的原则:随着越来越多的企业在生产中运行越来越多的机器学习模型和其他形式的人工智能,这些工作负载将成为网络攻击者更加有利可图的目标。人工智能/机器学习一直是流行的趋势;人工智能/机器学习安全还没有改变,但这应该会在未来一年发生变化。
HiddenLayer公司联合创始人兼首席执行官Christopher Tito Sestito特别希望首席信息安全官和其他IT领导者扩展零信任方法,并将其原则和实践应用于人工智能/机器学习。
Sestito说:“2022年是政府部门加强对人工智能/机器学习安全监管的一年,也是通过自动攻击工具加速机器学习攻击的一年。其结果将对首席信息安全官提出更多要求,以保护他们的人工智能/机器学习。”
Sestito补充说,MITRE人工智能对抗威胁景观(ATLAS)框架等资源将使首席信息安全官及其团队能够快速评估和实施所需的安全控制,并立即与现有的零信任框架集成。
5.仍然知道安全供应商在哪里吗?
人们关注的是IT技术和IT领导力,而不是股市预测或宏观经济分析。但如果查看财经新闻网站或订阅信息,就会发现网络安全总会成为头条新闻。人们普遍认为2023年可能会带来科技行业的整合和变革。
Haff说:“许多市场观察人士认为,在2023年,那些没有强大价值主张和收入流的科技供应商的行业地位将会改变。IT决策者应该评估他们的供应商是否拥有强大的市场地位。”
这是一个普遍的事实,但在IT安全领域尤其重要,供应商市场在最近几年得到了极大的扩展,特别是在云计算/云原生领域。
Haff说:“这当然包括安全领域,在这个领域,初创公司以经常重叠和相对无差别的方式实现云原生安全的爆炸式增长。”
供应商管理是任何IT领导者角色的一部分,在2023年,可能值得更密切地关注投资组合,尤其是在安全工具方面。
6.表现最好的安全机构会建立自己的人才管道
在围绕招募和留住技术人才的挑战展开的广泛讨论中,IT安全技能短缺通常是一个主要的话题。
最近出现的一个趋势是,战略IT领导者和企业不只是等待他人来解决这个特定的问题。他们正在投资于自己的安全人才管道,并确保能够接触到最广泛的受众。
Sestito表示:“我们预测,通过针对代表性不足群体的项目,表现优秀的企业将继续关注网络劳动力的多元化。这些企业意识到,他们能否在市场竞争中获胜、克服复杂挑战、吸引和留住客户的能力取决于在全球拥有一支敬业和多元化的员工队伍,并将进行相应的投资。”
Sestito指出,这也不是一个固定的趋势。实际上,扩大网络安全人才库是一项长期战略,不是短期就能解决的问题。
Sestito说,“这不是每年制定的人力资源战略,与其相反,这是企业范围内的文化的一个转变,需要多年的关注和投入。”
关于企业网D1net(www.d1net.com):
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号