2022年，在日趨實(shí)戰(zhàn)化、高動(dòng)態(tài)、高強(qiáng)度對(duì)抗的網(wǎng)絡(luò)安全環(huán)境中，網(wǎng)絡(luò)安全廠商和企業(yè)用戶都在重新思考和評(píng)估新的安全技術(shù)、安全戰(zhàn)術(shù)和安全策略。

2023年，將是企業(yè)數(shù)字化發(fā)展的關(guān)鍵年，隨著企業(yè)面臨越來(lái)越大的發(fā)展壓力，唯有優(yōu)化網(wǎng)絡(luò)安全建設(shè)與運(yùn)營(yíng)工作，才能更好地適應(yīng)宏觀經(jīng)濟(jì)形勢(shì)挑戰(zhàn)，實(shí)現(xiàn)預(yù)期增長(zhǎng)目標(biāo)。日前，IT領(lǐng)域?qū)I(yè)媒體VentureBeat采訪了多家知名科技公司的CISO，就2023年企業(yè)網(wǎng)絡(luò)安全威脅發(fā)展態(tài)勢(shì)和重點(diǎn)工作進(jìn)行了展望和預(yù)測(cè)。

對(duì)短期的安全態(tài)勢(shì)保持悲觀

—— Phil Venables | 谷歌云 CISO

2023年，如何保護(hù)國(guó)家技術(shù)基礎(chǔ)設(shè)施免受惡意攻擊將受到主管機(jī)構(gòu)的更多關(guān)注，因此我們預(yù)計(jì)，將會(huì)有更多的安全防護(hù)政策頒布實(shí)施。

作為業(yè)務(wù)覆蓋全球的科技巨頭企業(yè)，Google的安全管理部門(mén)將會(huì)和有關(guān)政府機(jī)構(gòu)進(jìn)行更深層次的協(xié)調(diào)與溝通，有效落實(shí)政府部門(mén)對(duì)于大型科技企業(yè)的保護(hù)性安全機(jī)制要求。在此背景下，公共部門(mén)和私營(yíng)組織需要進(jìn)一步加強(qiáng)知識(shí)共享，提高透明度，并增強(qiáng)防護(hù)新型威脅攻擊的能力。

2023年，由于惡意攻擊引發(fā)的威脅形勢(shì)可能會(huì)變得更糟糕，這需要在技術(shù)基礎(chǔ)設(shè)施方面相應(yīng)的增加投入。惡意網(wǎng)絡(luò)攻擊在2023年只會(huì)有增無(wú)減。盡管我們對(duì)長(zhǎng)期的網(wǎng)絡(luò)安全建設(shè)發(fā)展抱以樂(lè)觀，但對(duì)短期的態(tài)勢(shì)卻需要保持悲觀預(yù)期。受到宏觀經(jīng)濟(jì)態(tài)勢(shì)的影響，可能很多企業(yè)組織在明年的安全建設(shè)投入會(huì)更謹(jǐn)慎，這對(duì)遏制越來(lái)越多的網(wǎng)絡(luò)威脅將是一個(gè)難題。

打造積極的安全文化

—— CJ Moses | AWS CISO

AWS在構(gòu)建安全服務(wù)時(shí)一貫會(huì)高度重視客戶的應(yīng)用體驗(yàn)，我們認(rèn)為，安全建設(shè)不只是使用最好的安全工具，更需要打造積極的安全文化。展望2023年，AWS安全團(tuán)隊(duì)將繼續(xù)為組織和用戶提供創(chuàng)新的網(wǎng)絡(luò)安全服務(wù)，以解決業(yè)務(wù)健康發(fā)展問(wèn)題，同時(shí)幫助客戶確立安全第一的數(shù)字化發(fā)展觀念。

為此，我們需要向所有人普及安全意識(shí)，同時(shí)吸引背景各異的一流網(wǎng)絡(luò)人才，通過(guò)導(dǎo)師輔助、實(shí)習(xí)生計(jì)劃和認(rèn)證機(jī)會(huì)來(lái)培養(yǎng)更多的網(wǎng)絡(luò)安全人才，進(jìn)一步提高安全防護(hù)的自動(dòng)化程度，并致力于建設(shè)充滿活力的網(wǎng)絡(luò)安全員工隊(duì)伍。

應(yīng)著眼更長(zhǎng)遠(yuǎn)的未來(lái)

—— Bret Arsenault | 微軟 CISO

網(wǎng)絡(luò)安全建設(shè)是一個(gè)持續(xù)的、系統(tǒng)性的工作，因此作為安全專(zhuān)業(yè)人員，如果僅僅關(guān)注和預(yù)測(cè)2023年的威脅挑戰(zhàn)是不夠的，我們需要展望未來(lái)5年到10年的發(fā)展態(tài)勢(shì)，為新型安全威脅出現(xiàn)做好準(zhǔn)備。如果安全建設(shè)長(zhǎng)期處于被動(dòng)追趕和已發(fā)生的事件處置，那么只會(huì)更容易受到攻擊。

在微軟之前的發(fā)展預(yù)測(cè)中，我們認(rèn)為云時(shí)代會(huì)很快到來(lái)，傳統(tǒng)密碼技術(shù)將面臨挑戰(zhàn)，因此我們提前做好了計(jì)劃和準(zhǔn)備。現(xiàn)在，我們認(rèn)為目前廣泛應(yīng)用的MFA可能變得不再安全，企業(yè)組織需要盡快做好應(yīng)對(duì)計(jì)劃和準(zhǔn)備，企業(yè)的安全管理者需要站在攻擊者的角度去思考。

攻擊面管理將更加復(fù)雜

—— Koos Lodewijkx | IBM CISO

2023年將至，我們的團(tuán)隊(duì)正在積極致力于適應(yīng)不斷變化的威脅環(huán)境，我們看到勒索軟件攻擊和針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的破壞性攻擊正在成倍增長(zhǎng)，這種趨勢(shì)在短期內(nèi)不會(huì)改變。同時(shí)，隨著企業(yè)組織的網(wǎng)絡(luò)攻擊面變得更復(fù)雜、更分散，做好攻擊面管理工作變得更重要。關(guān)注并加強(qiáng)攻擊面管理以發(fā)現(xiàn)和修復(fù)高優(yōu)先級(jí)漏洞，并及時(shí)進(jìn)行企業(yè)環(huán)境中的威脅檢測(cè)和響應(yīng)，這樣可以搶在攻擊者得逞之前迅速發(fā)現(xiàn)和阻止對(duì)方。

展望2023年，我們會(huì)迎來(lái)更多非常新穎的人工智能技術(shù)創(chuàng)新應(yīng)用，這些創(chuàng)新在網(wǎng)絡(luò)防御領(lǐng)域有很大潛力。我們正在與IBM研究部門(mén)、IBM安全產(chǎn)品部門(mén)的同事密切合作，探索網(wǎng)絡(luò)安全領(lǐng)域中全新的人工智能應(yīng)用場(chǎng)景。

繼續(xù)做好安全的基本面

—— Kevin Cross | Dell CISO

展望2023年，我和戴爾公司安全團(tuán)隊(duì)的首要任務(wù)并不是關(guān)注當(dāng)下的最新安全技術(shù)應(yīng)用趨勢(shì)，而是會(huì)繼續(xù)做好公司內(nèi)部的網(wǎng)絡(luò)安全基本功。我們必須做好安全防護(hù)的基本面，因?yàn)橥{分子善于利用并不復(fù)雜的安全弱點(diǎn)發(fā)起攻擊。

如果基本面沒(méi)做到位，安全防護(hù)也將無(wú)從談起。我們會(huì)首先確?；A(chǔ)性的攔截和應(yīng)對(duì)機(jī)制能夠充分發(fā)揮功效，以便在應(yīng)對(duì)層出不窮的威脅時(shí)保持從容狀態(tài)。

網(wǎng)絡(luò)安全人才匱乏阻礙了許多公司做好安全基本面。如今，沒(méi)有多少員工擁有防護(hù)、檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)威脅的專(zhuān)業(yè)安全技能。因此，我們將注重提升安全團(tuán)隊(duì)的專(zhuān)業(yè)能力培養(yǎng)，提供持續(xù)培訓(xùn)和教育，同時(shí)支持他們的職業(yè)道路和興趣愛(ài)好。

倡導(dǎo)開(kāi)放式的安全建設(shè)

—— Mandy Andress | Elastic CISO

網(wǎng)絡(luò)安全并不只是技術(shù)性的工作。2023年，網(wǎng)絡(luò)安全團(tuán)隊(duì)的一種重要工作就是要更好地了解組織在技術(shù)層面和人員層面協(xié)同配合方面的薄弱環(huán)節(jié)。因?yàn)?，?dāng)前的惡意攻擊者越來(lái)越多的利用這些弱點(diǎn)來(lái)開(kāi)展攻擊。事實(shí)再三證明，人是安全鏈條中最薄弱的一環(huán)，企業(yè)應(yīng)重視對(duì)IT專(zhuān)業(yè)人員進(jìn)行適當(dāng)?shù)呐嘤?xùn)，同時(shí)為他們配備合適的系統(tǒng)以實(shí)現(xiàn)流程自動(dòng)化。

為了克服那些在技術(shù)層面難以解決的問(wèn)題，企業(yè)組織需要進(jìn)一步倡導(dǎo)開(kāi)放式的安全建設(shè)，讓安全從業(yè)人員能夠查看應(yīng)用系統(tǒng)的底層代碼，并了解其在實(shí)際工作環(huán)境中的工作狀態(tài)。這將幫助安全團(tuán)隊(duì)識(shí)別潛在盲點(diǎn)，并堵住安全技術(shù)架構(gòu)的缺口，同時(shí)更好的剖析安全威脅風(fēng)險(xiǎn)。

由于新冠疫情和遠(yuǎn)程工作環(huán)境等因素影響，企業(yè)員工需要使用新技術(shù)來(lái)實(shí)現(xiàn)數(shù)字化的辦公方式，但他們的安全意識(shí)卻可能滯后，這就需要進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全意識(shí)培養(yǎng)，并在公司中構(gòu)建網(wǎng)絡(luò)安全文化。

提前做好網(wǎng)絡(luò)安全預(yù)防措施

—— John McClurg | BlackBerry CISO

根據(jù)美國(guó)政府頒布的14028號(hào)行政令，為政府部門(mén)提供軟件的公司首先要考慮的是編制軟件材料清單(SBOM)，因?yàn)獒槍?duì)軟件供應(yīng)鏈的攻擊通常是從訪問(wèn)最薄弱的環(huán)節(jié)開(kāi)始的。在2023年，新的安全軟件開(kāi)發(fā)實(shí)踐將會(huì)不斷涌現(xiàn)，如何確保各種類(lèi)型的企業(yè)組織遵循這些實(shí)踐很重要。

2023年，我們還將致力于克服網(wǎng)絡(luò)安全建設(shè)中普遍存在的專(zhuān)業(yè)技能短缺問(wèn)題。面對(duì)人才儲(chǔ)備告急的形勢(shì)，提前采取網(wǎng)絡(luò)安全預(yù)防措施將成為企業(yè)防范惡意攻擊的有效手段之一，這樣在面對(duì)突發(fā)性的安全事件時(shí)，不會(huì)因?yàn)橐痪€安全員工數(shù)量不足導(dǎo)致慌亂和失誤。

簡(jiǎn)化安全運(yùn)營(yíng)流程和人工操作

—— Jason Clark | Netskope CISO

隨著網(wǎng)絡(luò)威脅的發(fā)展以及企業(yè)數(shù)字化轉(zhuǎn)型的深入，現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全運(yùn)營(yíng)工作正變得無(wú)比復(fù)雜，超過(guò)了很多企業(yè)安全團(tuán)隊(duì)的實(shí)際承受能力。在2023年，通過(guò)應(yīng)用自動(dòng)化技術(shù)，簡(jiǎn)化安全運(yùn)營(yíng)中的人工操作將幾乎是所有CISO及其團(tuán)隊(duì)的工作重心。在此過(guò)程中，我們會(huì)優(yōu)先評(píng)估以下方面因素：

安全建設(shè)的頭號(hào)敵人是復(fù)雜性，因此在策略設(shè)計(jì)時(shí)就要關(guān)注并考慮運(yùn)營(yíng)流程的簡(jiǎn)化性;

組織在實(shí)施安全控制措施的時(shí)候，應(yīng)該同時(shí)考慮其給帶來(lái)安全運(yùn)營(yíng)帶來(lái)的阻力;

重新梳理安全流程，擯棄那些并不必要的安全控制措施。

保障安全控制措施的覆蓋面和有效性

—— Brian Spanswick | Cohesity CISO

2023年，我們的工作重心將側(cè)重于提升主要安全控制措施的覆蓋面和有效性。最近幾起影響重大的安全事件表明，攻擊者只需要利用安全環(huán)境中的基本漏洞，就可以訪問(wèn)關(guān)鍵系統(tǒng)和敏感數(shù)據(jù)。我們同時(shí)將繼續(xù)致力于為所有員工提供安全意識(shí)培訓(xùn)和社會(huì)工程攻擊方面的教育，通過(guò)加強(qiáng)安全意識(shí)來(lái)形成和保持減小威脅暴露面所需的“肌肉記憶”。

我們另一個(gè)重心是繼續(xù)關(guān)注憑據(jù)管理，這包括加強(qiáng)基于角色的訪問(wèn)控制、最低權(quán)限訪問(wèn)和適當(dāng)?shù)拿艽a管理。這個(gè)方面需要不斷加強(qiáng)管理，才能確保環(huán)境變化后，憑據(jù)管理依然保持在預(yù)期的應(yīng)用水平。

加強(qiáng)軟件供應(yīng)鏈安全建設(shè)

—— Niall Browne | Palo Alto Networks CISO

在過(guò)去幾年中，企業(yè)組織的數(shù)字化轉(zhuǎn)型快速發(fā)展，數(shù)字化程度大大提高，這讓軟件供應(yīng)鏈安全防護(hù)受到廣泛的關(guān)注。Log4j漏洞攻擊已經(jīng)表明了這類(lèi)攻擊的危害性，一個(gè)脆弱的代碼庫(kù)就能影響成數(shù)千家公司。而這類(lèi)攻擊不會(huì)銷(xiāo)聲匿跡，并會(huì)在今后幾年急劇增多。

2023年，我們不僅要確保自身的軟件應(yīng)用系統(tǒng)安全可靠，還要確保合作伙伴的軟件供應(yīng)鏈也很安全。企業(yè)CISO的當(dāng)務(wù)之急是，為組織使用的所有代碼庫(kù)、應(yīng)用程序和第三方應(yīng)用提供安全防護(hù)。

文章來(lái)源：安全牛