網絡安全專業人士通常討厭被要求拿出水晶球來預測網絡的未來。事實上，隨著網絡威脅行為者的不斷發展，網絡防御者經常需要改變他們的姿態，這使得網絡安全形勢變得高度不可預測。

然而，我們可以對未來一年網絡安全世界的影響做出一些有根據的猜測。

這是國外一組經驗豐富的網絡安全專家做出一些預測，并強調他們認為未來幾個月網絡中將出現的一些趨勢。以下是我們精選的 2023 年秋季在線峰會期間做出的十大預測。

1. 身份和訪問威脅將推動對強大 MFA 的需求

Corvus Insurance 首席信息安全官 Jason Rebholz 表示，組織 2024 年的首要網絡優先事項將是采用強大的、防網絡釣魚的多因素身份驗證 (MFA)。

CrowdStrike 的 2023 年 8 月威脅追蹤報告顯示，身份盜竊已成為 2023 年威脅行為者的主要初始訪問方法，目前 80% 的違規行為涉及使用受損身份。Rebholz 認為這一新趨勢促進了 MFA 的采用。

“現在我們知道 MFA 對于保護我們的身份和訪問管理 (IAM) 流程非常重要。這是事實，但這種高水平的保護還取決于您擁有的 MFA 類型。當您采用最弱的 MFA 選項之一（例如基于短信的 MFA 或身份驗證器應用程序）時，攻擊者現在已經開發出繞過這些選項的方法，”他解釋道。

Rebholz 表示，在當今存在的眾多防網絡釣魚 MFA 選項中，他特別渴望看到密鑰得到更廣泛的采用。

“組織甚至不應該在 2024 年開始采用這些方法，但從今天開始，”他堅持說。

2. 在關鍵基礎設施目標中更加關注 OT 安全

Elite CI Consulting 首席執行官、科特迪瓦政府前網絡安全主管 Rockya Fofana 擔心的一件事是，公共和私營部門的工業系統和運營技術 (OT) 的攻擊目標不斷增加。

她在信息安全在線峰會上表示：“在非洲，最關鍵的基礎設施由政府運營，因此威脅行為者增加攻擊目標就在我的職權范圍內。”

塔塔咨詢服務公司全球管理合伙人瑪格麗塔·彼得羅維奇對此表示同意。“我們一直在談論即將出現的新威脅，但我們的大多數組織仍在運行非常舊的基礎設施。保持 OT 正常運行，同時不給 IT 環境引入額外風險無疑應該成為未來幾個月的首要任務。攻擊者非常清楚這些 OT 系統的缺陷，”她說。

2023 年 11 月，俄羅斯黑客組織 Sandworm對丹麥關鍵基礎設施發起了前所未有的攻擊。幾周后，美國證實伊朗伊斯蘭革命衛隊是近期針對多個州水廠的一系列襲擊的幕后黑手。

“這些只是你聽到的攻擊。確實，針對 OT 系統的網絡攻擊尚未被頻繁報道，但肯定還有更多的事件從未被報道過。”Petrovic 堅稱。

此外，雷布霍爾茲補充道，我們現在正在研究最好的情況。“這些案例以及 2021 年針對 Colonial Pipeline 的攻擊通常是試圖關閉 IT 系統的策略——想象一下攻擊者何時能夠真正關閉 OT 系統，就像 2010 年的 Stuxnet 一樣。”

“我認為人工智能不會對網絡防御產生重大影響，至少在明年是這樣。”JASON REBHOLZ，CORVUS INSURANCE 首席信息安全官

3. 執法合作加速，但挑戰依然存在

網絡執法人員在 2023 年尤其忙碌，多項國際行動成功逮捕了參與網絡犯罪的個人或摧毀了威脅行為者的 IT 基礎設施。最近的例子之一是“獵鴨行動”，該行動導致 8 月份部分 Qakbot 僵尸網絡基礎設施關閉。

閱讀更多：FBI 的 QakBot 拆除引發疑問：“拆除”還是只是暫時的挫折？

雷布霍爾茨表示，他希望在全球范圍內看到更多此類協調行動。

然而，前聯邦調查局特工、現任西部州長大學網絡教育中心主任邁克·莫里斯解釋說，這些合作努力非常具有挑戰性。

“當聯邦調查局正在調查美國的一個小組并希望將其破解到下一個國家時，他們必須與另一個國家簽署司法協助條約（MLAT）以共享信息。這是一份需要進行外交交流的外交文件——這需要時間。”

這就是為什么這位前聯邦調查局官員堅持認為，政府應該在開始任何調查之前建立這些外交關系。

福法納認為，另一個可以幫助建立這些合作努力的機構是聯合國。該組織目前正在制定一項打擊網絡犯罪的國際條約。然而，鑒于當前的動態沖突和網絡沖突，彼得羅維奇表示，她對 2024 年出現更廣泛的反網絡犯罪聯盟感到悲觀。

4.人工智能對網絡防御的變革性影響有限

我們的網絡安全專家認為，威脅行為者將在 2024 年及以后繼續將人工智能武器化，但人工智能驅動的攻擊可能不會對網絡防御產生變革性影響。

雷布霍爾茨評論道：“我認為人工智能不會對網絡防御產生重大影響，至少在明年是這樣。是的，威脅正在增長，威脅行為者將利用人工智能驅動的工具，但減輕這種風險的方法主要是實施傳統的安全措施。”

5. Deepfake 和錯誤信息將成為更緊迫的人工智能相關威脅

根據 Rebholz 的說法，生成式人工智能真正改變游戲規則的地方在于使用深度偽造技術大規模地傳播虛假信息。

他警告說：“想象一下，深度造假比以往任何時候都更容易開發，但仍然很難被發現，它將對圍繞選舉的虛假信息活動產生怎樣的影響。”

2024 年，全球將舉行 40 場全國投票，這將成為歷史上規模最大的選舉年。

“我還認為，這些圍繞政治事件的虛假信息活動將為使用類似工具的網絡犯罪活動敞開大門，”雷布霍爾茨補充道。

點播觀看我們所有的在線峰會會議

6.網絡和人工智能法規將重塑全球安全格局

一系列法規將在 2024 年影響網絡安全行業。僅在歐盟，跨行業的組織必須為將 NIS2 指令轉化為國家法律做好準備。與此同時，金融企業將需要開始探索《數字運營彈性法案》 (DORA) 引入的未來安全要求。

《網絡彈性法案》和《人工智能法案》也已獲得通過，并將很快為制造商和人工智能提供商引入新的安全指令。

在信息安全在線峰會上，彼得羅維奇預測其中一些法規將成為其他司法管轄區類似法規的藍圖。她認為，所有行業的組織都應該保持領先地位并探索這些法律，即使是在尚未受到上述法律影響的國家/地區開展業務。

“組織明年有比準備應對量子威脅更緊迫的問題需要處理。”ROCKYA FOFANA，精英 CI 咨詢公司首席執行官

7. CISO 面臨的壓力增加

在塔塔咨詢服務網站的年終博客文章中，Petrovic 寫道，2024 年 CISO 的壓力將會增加。在我們的在線峰會上，她解釋了她的預測背后的原因：“隨著網絡安全受到越來越多的關注，監管機構越來越多地要求董事會證明他們正在實施適當的安全措施，并且他們正在允許適當的資源來滿足這些要求。他們會向誰求助？首席信息安全官。”

她補充說，盡管 CISO 傳統上來自技術職位，但組織將越來越多地要求他們或一些中間人與董事會進行更多合作，并“討論業務和技術安全問題”。

她表示，這將使“CISO 的生活更加精彩”。

莫里斯補充說，首席信息安全官也可能在最高管理層中獲得越來越多的席位，因為董事會比以往任何時候都更需要其中有技術背景的人。

福法納于 2022 年 10 月辭去科特迪瓦政府網絡安全主管職務，她就是這一趨勢的活生生證明，“因為我在網絡安全方面的背景”，她在 2023 年被邀請加入一個組織的董事會。

雷布霍爾茨評論道：“我希望我們能夠將 Rockya 的案例作為成功案例研究，但我會保持謹慎。是的，擁有網絡安全背景的人加入董事會固然很棒，但這真的足以對董事會產生重大影響嗎？我不知道。”

8. 量子準備不應該成為 2024 年的優先事項

所有四位小組成員都同意，雖然對未來的考慮很重要，但量子準備不應該成為組織 2024 年的首要任務之一。

莫里斯提出：“量子證明密碼學最終會到來嗎？當然。明年會推出嗎？可能不會。如果確實如此，那將是在州一級，在三年內我們不會聽到私營部門的消息。”

觀看我們的網絡研討會：構建量子彈性的 7 個步驟

雷布霍爾茨補充道：“如果這是您明年優先考慮的事情，我會鼓勵您重新評估您的風險狀況。您需要找出您的組織特有且最有可能對其產生影響的風險，而量子風險可能不是您 2024 年的首要考慮因素。”

福法納點點頭：“明年我們還有許多更緊迫的問題需要處理，”她說。

9.保險公司將設定最低網絡要求

雷布霍爾茨表示，網絡保險是“任何擁有計算機的公司的一項要求”。然而，他認為網絡保險公司需要對公司需要滿足的最低要求制定更清晰的定義，以便在成為網絡攻擊受害者之前獲得保險。

10. 需要創新的招聘策略來縮小技能差距

ISC2 2023 年網絡安全勞動力研究顯示，2023 年，全球網絡安全勞動力缺口達到 400 萬人，較 2022 年增長 12.6% 。 彼得羅維奇表示，為了阻止這一差距逐年擴大，組織應該嘗試新的、創新的招聘策略。

“必須對交叉培訓人員進行大量投資，并將這些培訓計劃的重點放在解決問題上，而不是技術上。這將幫助他們提高網絡防御態勢的效率，同時為不同背景的人進入網絡安全領域打開大門。”她說。

福法納補充道：“組織還應該考慮重新培訓員工。隨著 OT 的針對性不斷增強以及 IT-OT 融合以及 IT 系統中人工智能實踐的采用，大多數網絡培訓手冊已經過時。”

西部州長大學網絡教育中心主任莫里斯表示，他的學生平均年齡為 35 歲，他們中的大多數人在結束其他領域的職業生涯后轉向網絡安全。

“無論人們有什么背景，重要的是讓他們盡早面對實際情況。為此，我們成立了一個由 8000 名學生組成的網絡俱樂部，每周進行防御性和進攻性安全演習。現在，我們有大約 23000 名經過培訓、具備可行技能的人員正在尋找網絡安全方面的工作。”他總結道。