在我們即將邁入 2024 年之際，回顧過去幾年發生的事件以及網絡安全行業的發展趨勢將大有裨益。在聽取了行業專家的意見并對今年的驅動力進行分析后，我確定了五大網絡安全趨勢。我們需要考慮每種趨勢可能如何影響我們的組織，并相應地分配我們的預算和資源：

• 人工智能驅動的網絡安全和網絡威脅：人工智能 (AI) 將增強攻擊者和防御者的能力，同時帶來治理問題和學習難題。
• 更高級別的網絡犯罪：網絡攻擊者將采用改進的技能、“左移”攻擊和不斷變化的策略來適應不斷發展的網絡防御。
• 攻擊面激增：隨著 API、云、邊緣和 OT 資源加入到需要防御的資產清單中，網絡防御的復雜性將進一步增加。
• 政府將加大行動力度：預計政府將出臺更多法規，政府將發起更多網絡攻擊，保護 CISO 所需的文件也將增多。
• 去年的安全問題仍在繼續： IT 基礎薄弱、網絡安全意識薄弱以及勒索軟件仍將引發問題并成為頭條新聞。
• 底線：現在就做好準備，以便管理團隊的風險。

人工智能驅動的網絡安全和網絡威脅

不管是好是壞，人工智能(AI)的發展仍在繼續加速。各種形式的人工智能，例如機器學習(ML) 和大型語言模型 (LLM)，已經在整個 2023 年占據了頭條新聞，并在 2024 年繼續呈現出被夸大的可能性和實現的潛力。行業專家認識到，人工智能將需要治理行動，帶來學習的痛苦，并將被用于改善和削弱網絡安全。

人工智能治理

無論對人工智能持積極、消極或中立態度，所有組織都需要制定官方立場、制定政策并始終如一地執行這些政策。如果沒有指導方針，組織將面臨不受約束地使用人工智能的風險、數據泄露的風險，以及組織內部不道德使用人工智能時無法追索的風險。

OvalEdge 首席執行官 Sharad Varshney 將 AI 的使用置于一個熟悉的框架中。“基于生成式 AI 的創新面臨的問題與其他所有事物都一樣：與 IT 相關的所有道路都始于數據，終于數據——這是每個系統中最關鍵的組成部分，”他說。

dope.security 創始人兼首席執行官 Kunal Agarwal 補充道：“組織在使用 Box 或 Dropbox 等 SaaS 應用時面臨著類似的安全可見性和控制挑戰。組織將努力了解員工正在使用哪些應用，評估是否應由公司支付費用（以進行控制）、接受風險或阻止應用……公司可以選擇教育（通過警告頁面）或完全阻止應用。”

Forcepoint 首席執行官 Manny Rivelo 警告稱：“與 AI 相關的創新將創造我們目前甚至沒有考慮到的新可能性。”“展望未來，各種規模的組織都需要制定和擴展企業 AI 政策，以管理員工如何安全地與 AI 互動。而且，AI 安全政策需要擴展到商業 AI 工具之外，還應涵蓋內部開發的 GPT 和 LLM。”

使用人工智能的危險

與任何新興技術一樣，許多組織在團隊學習應用該技術的細節時，應該預料到會出現錯誤和成長的煩惱。然而，這些危險可以通過培訓來抵消，以盡量減少問題。

Sonar 開發倡導者 Phil Nash 警告稱，“使用人工智能工具編寫代碼的成功將導致對結果過度自信，最終將違規行為歸咎于人工智能本身。”

Portal26 首席執行官 Arti Raman 表示：“在公司能夠有效、安全地使用生成式 AI 工具之前，必須對員工進行最佳實踐培訓：編寫可實現預期結果的提示、在輸入數據時牢記數據安全和隱私、識別 AI 的質量和安全性、驗證 AI 輸出等等。”

人工智能增強的安全性

許多供應商多年前就開始營銷人工智能增強型產品，專家認為人工智能的持續發展有利于提高網絡安全。

Aiden Technologies 首席執行官 Josh Aaron 預測，人工智能將“通過利用人工智能進行補丁管理的風險評估和優先級排序，提高安全專業人員對軟件補丁管理的有效性，并且轉向不僅能檢測漏洞，還能通過采用機器學習算法自主確定最佳修復方法的系統。”

同樣，Netskope 的首席信息官兼首席數據官 Mike Anderson 也看到了更多普遍的好處。“在未來的一年里，我認為我們將看到生成式人工智能被用于分析公司的現有政策、監管要求和威脅形勢，以制定量身定制的安全政策。我還認為，我們還將看到生成式人工智能被用于持續監控公司的網絡和系統是否存在違反政策的情況，并自動對問題做出響應。”

人工智能驅動的網絡犯罪

盡管使用人工智能來提高安全性方面取得了進展，但網絡犯罪分子也可以使用人工智能和語言學習模型。預計網絡犯罪分子將利用人工智能的力量來增強其威脅能力。

Tanium 主管兼終端安全研究專家 Melissa Bishoping 強調了個人聯系的重要性，以避免陷入深度偽造騙局。“如果有人聯系你進行個人或專業交易，當你無法通過電話親自驗證此人時，最好尋求額外的驗證，”她說。

“通常，只需掛斷電話并撥打聯系您的‘來電者’的已知、可信聯系號碼即可揭露騙局。在商業領域，建立依賴于更強大的身份驗證形式的工作流程，這些身份驗證形式無法被人工智能欺騙 - FIDO2 安全令牌、多人批準和驗證是一個不錯的起點。”

除了可以進行網絡攻擊外，人工智能還將被用來制造更可信的虛假信息，以攻擊政府和企業。WithSecure 的研究員 Andy Patel 表示，“在 2024 年備受矚目的選舉前夕，人工智能將被用來制造虛假信息并影響行動。這將包括合成的書面、口頭，甚至可能是圖像或視頻內容。

“現在社交網絡已經縮減或完全取消了審核和驗證工作，虛假信息將變得極為有效，”他補充道。“社交媒體將進一步成為人工智能和人類制造的垃圾的糞坑。”

下一代網絡犯罪

盡管網絡犯罪分子一直表現出強大的適應性和機會主義，但專家預計攻擊者將在 2024 年進一步發展其能力和策略。隨著公司加強對舊攻擊的網絡防御，一些攻擊將借助技術，而另一些攻擊將更具戰略性。威脅行為者的策略包括使用暗網、利用開發環境以及利用新舊漏洞。

提高攻擊者的技能

除了使用人工智能之外，我們還應該預計網絡犯罪分子還會利用他們對暗網信息的訪問，使攻擊更加可信和廣泛。

Nozomi Networks 安全研究總監 Alessandro Di Pinto 解釋道：“盡管人工智能在準確回答問題方面仍處于早期階段，但它在生成多種語言文本方面已達到先進水平，超越了現有翻譯人員眾所周知的局限性。人工智能作為編寫令人信服的文本的工具的出現可以避免 [語法錯誤]，大大提高了此類攻擊成功的可能性。”

Deepfakes 也可能會在這種 AI 輔助的反詐騙方法中發揮作用。Lumu 創始人兼首席執行官 Ricardo Villadiego 表示：“在欺詐活動中使用 Deepfakes 技術……將提高網絡釣魚欺詐的復雜性，使用戶越來越難以區分合法服務和詐騙。”

如果人工智能模型能夠訪問暗網數據，它們就更具有說服力。Fortra 數字風險和電子郵件保護解決方案工程總監 Eric George 總結道：“通過使用暗網市場上隨時可用的 PII 數據訓練此類模型，可以大規模創建更加個人化和針對企業的攻擊誘餌。”

“除了更加可信之外，檢測規避策略還能確保攻擊只會出現在目標上，否則就會在檢測過程中“裝死”。可信度和可傳遞性的結合提升提高了攻擊者的投資回報率以及造成的損失。”

檢測基于 AI 的攻擊（尤其是使用規避策略的攻擊）的能力將成為 EDR 等安全服務的關鍵要求。

網絡犯罪向左轉移

隨著開發和運營 (DevOps) 使用自動化過渡到開發、安全和運營 (DevSecOps)，攻擊者發現可以利用的人為錯誤越來越少。最近利用有毒開源庫和其他開發渠道傳播惡意軟件的成功案例將繼續影響深入傳統和新技術開發供應鏈的攻擊。

Snowflake 安全副總裁 Mario Duarte 發現，“攻擊者現在正在尋找進入開發者環境的方法，因為在那里仍然可以發現和利用人為錯誤，不幸的是，隨著可疑行為者在來年變得越來越成熟，我們會看到這種情況進一步升級。

“由于威脅源自代碼，因此根除起來更加困難。“安全團隊更難防御此類攻擊，為可接受的開發活動創建基準比為自動化、管理良好的生產環境創建基準更具挑戰性，”Duarte 說道。

Lineaje 首席執行官兼聯合創始人 Javed Hasan 直言不諱地警告說：“破壞人工智能的最佳時機是在構建人工智能時。”他聲稱人工智能在開發階段最容易受到攻擊。

“與當今的軟件一樣，人工智能主要使用開源組件構建，”哈桑說。“確定誰創建了最初的人工智能模型、其中存在哪些偏見以及哪些開發人員參與其中并懷有何種意圖，對于彌補組織安全態勢的漏洞至關重要。”最小特權訪問在這里至關重要——只有少數人應該負責模型開發，他們應該仔細記錄自己的工作并受到密切監督。

Cayosoft 首席產品官 Dmitry Sotnikov 強調了攻擊對軟件供應鏈的影響。“在 2024 年上半年，我們目睹了軟件和服務供應商的停機對依賴其正常運行時間的企業和生活造成的巨大影響，”他說。

“最明顯的例子是 Synnovis，這家病理學服務公司 6 月份的宕機事件暴露了 400GB 的患者信息，并推遲了數千名倫敦的門診預約和癌癥治療。經銷商管理系統提供商 CDK 的入侵實際上使美國 15,000 家汽車經銷商的業務陷入癱瘓。”

索特尼科夫還強調了安全身份系統在保護供應鏈方面的重要性。身份系統是攻擊者最大的目標之一，因為它們提供了大量有用的數據來導航和訪問公司資源。

“如果你被迫做一件事來提高你的彈性，最有效的方法就是實施一個現代化的恢復系統，并每天進行測試，以創建和測試 Active Directory 的安全隔離備用副本，”Sotnikov 在談到保護身份系統免受攻擊時說。“這將允許你在遭受成功攻擊時立即切換回 Active Directory 的備用、不受影響的版本。”

應對安全形勢變化的戰略轉變

隨著網絡安全團隊消除漏洞并增加安全措施以阻止當前攻擊，網絡犯罪分子將調整策略以攻擊更容易攻擊的目標或改變策略。這包括利用較舊的漏洞以及利用較新的策略。最近，安全研究人員發現了近二十年前的漏洞，威脅行為者如果愿意，仍然可以利用這些漏洞；他們可能會瞄準這個唾手可得的果實，并攻擊較新的系統。

Lumu 創始人兼首席執行官 Ricardo Villadiego 預計，隨著各組織努力打擊網絡釣魚活動，無密碼架構的采用將會增加。“然而，這種與傳統模式的顛覆性變化將促使網絡釣魚活動的重點發生變化，以繞過這些新架構，”Villadiego 說。

“作為回應，對手將越來越多地瞄準從設備環境中獲取復雜變量，并利用這些變量來繞過新的身份驗證方法。”

Code42 總裁兼首席執行官喬·佩恩 (Joe Payne) 認為，生物識別技術將引發內部威脅的轉變。“隨著組織迅速采用 Okta Fastpass 等技術，該技術使用生物識別技術代替密碼進行身份驗證……我們預計兩個領域的威脅將增加：由社會工程學引起的入侵（已呈上升趨勢）和由內部人員引起的入侵（已占所有入侵的 40% 以上）。

“有權訪問源代碼、銷售預測和聯系人以及人力資源數據的內部人員在跳槽到競爭對手或創辦自己的公司時，仍會繼續竊取組織的數據，”Payne 說道。“隨著我們降低黑客使用弱密碼訪問我們數據的能力，解決內部人員問題的重點將變得更加突出。”

攻擊面激增

即使人工智能增強了攻擊和防御能力，網絡犯罪分子也不斷擴展其能力，安全團隊需要防御的攻擊面仍將快速增長——遠遠超出標準網絡安全的范圍。新興技術和以前被忽視的技術和連接將成為專門的網絡犯罪分子的目標，他們尋求防御薄弱的 API、云、邊緣和 OT 資源。

API攻擊

應用程序編程接口(API) 在應用程序和資源之間提供自動化和定期信任的連接。Graylog 首席執行官 Andy Grolnick 警告各團隊，針對他們的攻擊日益增多。

“2023 年，勒索軟件仍然是安全團隊心目中的主要威脅，”他說。“然而，2024 年將是 API 安全防范和威脅勢頭增強的一年。安全 API 是一個挑戰，因為它們：

• 易于導航且易于攻擊
• 與網絡上的運動不同，黑暗、隱蔽且難以追蹤
• 內部職責并不總是很明確，而且 CISO 基本上沒有制定策略和所有權。”

云風險

云計算采用率的持續增長也將擴大攻擊面，并增加網絡犯罪分子攻擊云資源的興趣。組織將需要考慮專門的云安全工具并實施云安全最佳實踐。

WithSecure 高級安全研究員 Neeraj Singh 發現，“引入尚未得到徹底保護的新技術和流程的活動有所增加。云服務及其新的接口、API 和通信渠道為攻擊者提供了更多目標，從而擴大了潛在的攻擊面。”

Immuta 首席信息安全官 Mike Scott 表示：“隨著各種規模的組織繼續向云端轉型，第三方風險將在未來一年成為與數據安全相關的一大挑戰。”

“很明顯，團隊無法使用內部部署解決方案完成與云中相同規模的工作，但隨著這種轉變，迫切需要了解與第三方[云提供商]集成的風險并[持續]監控該第三方。

多年來，云安全一直是一個熱門話題，但隨著越來越多的工作負載轉移到云端，威脅行為者的機會也隨之增加。在將數據和應用程序遷移到第三方提供商之前，團隊需要確保其業務在移動數據之前采取了任何必要的保護措施。這包括詢問有關云提供商的安全流程的問題。

Skyhawk Security 首席執行官 Chen Burshan 預計“沒有邊界和多個攻擊媒介的云原生安全事件將會增加。這將改變市場的看法，因為企業將意識到，無論他們如何徹底保護邊界，威脅行為者都會進入，”Burshan 說。

“云安全態勢管理和云原生應用程序保護無法防止違規行為，也無法實時檢測威脅。這將提高當前安全實踐的成熟度，并加速采用云調查和響應自動化以及云原生威脅檢測和響應等解決方案。”

邊緣曝光

就在攻擊者追求 API 和云攻擊的同時，越來越多的組織將計算推向不受任何網絡控制的邊緣資源。雖然許多人設想對智能汽車和監控攝像頭進行攻擊，但暴露在非軍事區 (DMZ) 的服務器（例如MoveIT 服務器）也提供了誘人的邊緣目標。

WithSecure 高級威脅情報分析師 Stephen Robinson 指出，“勒索軟件組織 Cl0p 最近對 MoveIT 的攻擊將開始激發更多針對邊緣數據傳輸服務器的大規模攻擊活動。MoveIT 通常用于在組織之間可靠地傳輸大量重要文件。

“Cl0p 利用 MoveIT 服務器獲取并竊取這些重要且有價值的文件，”羅賓遜說。“對于勒索軟件組織來說，獲取大量有價值的數據是最終目標；他們無需深入網絡，只需深入暴露且易受攻擊的 MoveIT 服務器即可。我預計會看到更多效仿攻擊，其價值在于被利用的服務器本身，而不是它為網絡其余部分提供的訪問權限。”

加班暴露

運營技術 (OT) 過去是未聯網的，被網絡安全團隊忽略。然而，聯網工業電機、傳感器和工業控制系統(ICS) 的興起，現在為網絡安全團隊提供了一個誘人的目標，但安全性卻不那么成熟。

Nozomi Networks 首席執行官 Edgard Capdevielle 宣稱：“我們面臨下一次殖民管道的風險。針對關鍵基礎設施的網絡攻擊太容易了——我們仍然很脆弱，沒有受到保護。如果這個問題沒有得到更廣泛的討論或優先考慮，國內關鍵運營技術系統將再次遭受攻擊，目標是石油、能源、醫院或機場等行業。”

針對 Colonial Pipeline 的勒索軟件攻擊暴露了被忽視的 OT 安全性以及單一故障可能對美國基礎設施造成的破壞。此事件隨后導致2021 年頒布了有關勒索軟件的行政命令和指導。

政府加大行動力度

隨著技術的快速發展和網絡犯罪不斷擴大，各國政府將試圖對網絡領域進行監管、影響和控制。

加強監管

數十年來對計算機系統的使用和濫用導致了早期監管的出臺，例如 2016 年通過的歐洲通用數據保護條例(GDPR) 和2018 年通過的加州消費者隱私法案(CCPA)。今年，歐盟首次實施兩項新法律：《網絡彈性法案》（CRA）和《網絡和信息系統指令》（NIS2）。

雖然歐盟在監管方面處于領先地位，但美國也將發揮監管影響力。Entrust 首席信息安全官 Jordan Avnaim 警告稱：“我們預計，明年監管將激增，首席信息安全官必須做好準備，這可能包括持續的人工智能監管、新的后量子指導，以及 2024 年底圍繞了解你的客戶 (KYC) 指南的新立法。”

“企業應該將上述每一項視為行動號召，不僅要改進自己的網絡安全策略，還要考慮人工智能等新技術對其組織和客戶的影響……首席信息安全官和領導者需要值得信賴的顧問、可靠的支持和安全的解決方案，才能成功、安全地向前邁進。”

Guidepost Solutions 董事總經理 Matthew Corwin 補充道：“安全團隊必須適應美國證券交易委員會 (SEC) 針對重大網絡安全事件的四個工作日規則、州 PII 泄露通知法律和其他監管要求所塑造的新的泄露報告環境。

“這些規定強調了向快速、透明的事件披露的轉變，強調了對先進檢測、簡化報告流程和全面的事件響應策略的必要性。”

國家支持的網絡攻擊

即使政府出臺旨在影響企業行為的法規，其他政府也會支持網絡攻擊以擴大其影響力。Nisos 產品營銷總監 Stephen Helm 警告各團隊，國家支持的攻擊將會是什么樣子。

他說：“隨著地緣政治局勢愈發動蕩，美國大選季即將到來，俄羅斯和伊朗將加倍努力，在全球范圍內制造混亂和不和，以進一步實現擴大影響力的目標。”“由于人工智能和其他工具的出現，使用傀儡、垃圾評論和機器人來放大敘事的做法將繼續演變，越來越難以被發現。”

過去兩年，各國的攻擊利用了漏洞，給各種規模的公共和私人組織帶來了巨大挑戰。研究過去的攻擊可以提供有關策略的提示，以及國家支持的攻擊發生的速度。

監管文件需求增加

除了法規和政府直接行動外，專家還預計美國證券交易委員會（SEC）和其他機構將對最近通過的立法或規則采取更多執法行動。網絡安全團隊需要改進文檔以保護自己和團隊。

Axio 首席產品官 Nicole Sundin 預測，“首席信息安全官將需要一個記錄系統來保護自己免受違規行為的影響。SEC 現在要求首席信息安全官對組織承擔的風險負責，這已經不是什么秘密了。目前，首席信息安全官……做出艱難的選擇，并采取他們認為必要的行動——但這些選擇可能會或可能不會被記錄下來。”

Opswat 高級產品經理 Matt Wiseman 將警告擴展到記錄第三方和軟件物料清單 (SBOM)。Wiseman 表示：“對 SBOM 的更多需求以及對更深入地了解工具的需求將導致監管機構或政府機構的要求增加。”

“鑒于對來自供應商、第三方或民族國家的威脅的擔憂日益增加，所有軟件在部署到關鍵領域之前都將經過更徹底的審查。”

去年的網絡安全問題仍在繼續

一些 2024 年預測只是承認了早在今年之前就已開始的持續趨勢。安全基礎薄弱、網絡安全意識薄弱以及持續不斷的勒索軟件攻擊等趨勢仍是主要關注點，直到這些趨勢得到緩解。

安全基礎薄弱

盡管供應商和技術都在競相應對明年的威脅，但許多組織在資產管理、身份、訪問管理、縱深防御以及網絡安全意識和培訓等基本網絡安全基礎上仍然落后。

NetSPI 首席產品官 Vinay Anand 表示：“保護組織安全的一些基本要求將繼續對信息安全領導者提出挑戰 - 主要是建立對所有資產的全面可視性，并嚴格控制誰可以訪問這些資產以及使用什么級別的權限。”

Silverfort 聯合創始人兼首席技術官 Yaron Kassner 補充道：“泄露的身份信息仍將是網絡犯罪分子青睞的武器。無數組織在遺留的限制和錯綜復雜的身份提供商網絡中努力實現訪問系統的現代化。”幾十年來，不同的團隊一直使用不同的策略，因此簡化訪問安全是一項挑戰。 

Xage Security 聯合創始人兼產品高級副總裁 Roman Arutyunov 表示：“我們開始看到網絡安全投資策略的轉變，更好地反映了當前的威脅形勢。” 

“公司意識到，威脅搜尋和應對無休止的檢測和誤報會耗費太多寶貴的安全資源，他們已經厭倦了大海撈針。他們現在將注意力轉向通過主動保護資產來減少攻擊面。”

網絡安全意識薄弱

正如性騷擾和反偏見培訓繼續成為人力資源的重點一樣，基本的網絡安全培訓也必須成為專業領域的常規內容。

Skillable 首席產品和技術官 Frank Gartland 提醒安全團隊，“八成的網絡攻擊是由于人為錯誤造成的，因此為人們提供定期的網絡安全培訓可以顯著提高網絡彈性。”

雷神公司網絡事件響應經理尼克·卡羅爾 (Nick Carroll) 指出，安全文化的需求更為廣泛。他解釋說：“如果沒有堅實的安全文化作為基礎，昂貴的防火墻或端點檢測和響應 (EDR) 等安全工具最終將變得無效。”

“如果組織還沒有這樣做，他們必須開始在員工和第三方合作伙伴中建立網絡安全意識，同時確定如何將安全性融入組織文化和運營的最佳途徑。”

持續的勒索軟件攻擊

勒索軟件在疫情期間開始占據頭條新聞，并且一直是一個問題。絕望的組織不顧執法部門的建議，繼續向網絡犯罪分子支付贖金并激起他們的興趣。

Judy Security 首席執行官兼創始人 Raffaele Mautone 預計，即使是中小型企業也會遇到麻煩。“勒索軟件攻擊將繼續多樣化其目標，從大型企業擴展到中小型企業、市政當局和醫療機構。這一趨勢將導致針對中小企業的攻擊激增，由于網絡安全資源有限，中小企業可能更容易受到攻擊。”

Immersive Labs 網絡威脅研究主管 Kev Breen 建議做好最壞的打算。“我們應該看到勒索軟件組織利用新技術來逃避終端檢測和響應 (EDR)，迅速利用零日漏洞以及新修補的漏洞，從而輕松繞過常見的防御策略。

“因此，安全團隊不能依賴舊的安全策略。公司不應該擔心如何檢測所有情況，而應該假設在某個時候情況會變糟，并制定最佳應對計劃。”

勒索軟件需要訪問終端才能發起攻擊。雖然高級攻擊者會尋求新的規避策略，但我們不能通過部署松散的網絡防御讓他們的工作變得輕松。考慮實施強大的終端保護（防病毒、EDR或XDR ）作為抵御勒索軟件和其他攻擊的多層防御之一。

底線：根據風險立即做好準備

專家的預測只有付諸行動才會產生價值。雖然 2024 年的這些主要趨勢都無法保證，但它們都有可能實現，而這些持續不斷的麻煩已經困擾著當今許多組織。

每個組織都必須分析每種趨勢對組織及其最寶貴資產的具體風險。完成的分析自然會確定最有可能引發問題的趨勢以及最需要解決的趨勢。

編譯：何威風

原文：https://www.esecurityplanet.com/trends/cybersecurity-trends/