回顾过去几年发生的事件以及网络安全行业的发展趋势将大有裨益。在听取了行业专家的意见并对今年的驱动力进行分析后，我确定了五大网络安全趋势。我们需要考虑每种趋势可能如何影响我们的组织，并相应地分配我们的预算和资源：

　　人工智能驱动的网络安全和网络威胁：人工智能 (AI) 将增强攻击者和防御者的能力，同时带来治理问题和学习难题。

　　更高级别的网络犯罪：网络攻击者将采用改进的技能、“左移”攻击和不断变化的策略来适应不断发展的网络防御。

　　攻击面激增：随着 API、云、边缘和 OT 资源加入到需要防御的资产清单中，网络防御的复杂性将进一步增加。

　　政府将加大行动力度：预计政府将出台更多法规，政府将发起更多网络攻击，保护 CISO 所需的文件也将增多。

　　去年的安全问题仍在继续： IT 基础薄弱、网络安全意识薄弱以及勒索软件仍将引发问题并成为头条新闻。

　　底线：现在就做好准备，以便管理团队的风险。

　　人工智能驱动的网络安全和网络威胁

　　不管是好是坏，人工智能(AI)的发展仍在继续加速。各种形式的人工智能，例如机器学习(ML) 和大型语言模型 (LLM)，已经在整个 2023 年占据了头条新闻，并在 2024 年继续呈现出被夸大的可能性和实现的潜力。行业专家认识到，人工智能将需要治理行动，带来学习的痛苦，并将被用于改善和削弱网络安全。

　　人工智能治理

　　无论对人工智能持积极、消极或中立态度，所有组织都需要制定官方立场、制定政策并始终如一地执行这些政策。如果没有指导方针，组织将面临不受约束地使用人工智能的风险、数据泄露的风险，以及组织内部不道德使用人工智能时无法追索的风险。

　　OvalEdge 首席执行官 Sharad Varshney 将 AI 的使用置于一个熟悉的框架中。“基于生成式 AI 的创新面临的问题与其他所有事物都一样：与 IT 相关的所有道路都始于数据，终于数据——这是每个系统中最关键的组成部分，”他说。

　　dope.security 创始人兼首席执行官 Kunal Agarwal 补充道：“组织在使用 Box 或 Dropbox 等 SaaS 应用时面临着类似的安全可见性和控制挑战。组织将努力了解员工正在使用哪些应用，评估是否应由公司支付费用（以进行控制）、接受风险或阻止应用……公司可以选择教育（通过警告页面）或完全阻止应用。”

　　Forcepoint 首席执行官 Manny Rivelo 警告称：“与 AI 相关的创新将创造我们目前甚至没有考虑到的新可能性。”“展望未来，各种规模的组织都需要制定和扩展企业 AI 政策，以管理员工如何安全地与 AI 互动。而且，AI 安全政策需要扩展到商业 AI 工具之外，还应涵盖内部开发的 GPT 和 LLM。”

　　使用人工智能的危险

　　与任何新兴技术一样，许多组织在团队学习应用该技术的细节时，应该预料到会出现错误和成长的烦恼。然而，这些危险可以通过培训来抵消，以尽量减少问题。

　　Sonar 开发倡导者 Phil Nash 警告称，“使用人工智能工具编写代码的成功将导致对结果过度自信，最终将违规行为归咎于人工智能本身。”

　　Portal26 首席执行官 Arti Raman 表示：“在公司能够有效、安全地使用生成式 AI 工具之前，必须对员工进行最 佳实践培训：编写可实现预期结果的提示、在输入数据时牢记数据安全和隐私、识别 AI 的质量和安全性、验证 AI 输出等等。”

　　人工智能增强的安全性

　　许多供应商多年前就开始营销人工智能增强型产品，专家认为人工智能的持续发展有利于提高网络安全。

　　Aiden Technologies 首席执行官 Josh Aaron 预测，人工智能将“通过利用人工智能进行补丁管理的风险评估和优先级排序，提高安全专业人员对软件补丁管理的有效性，并且转向不仅能检测漏洞，还能通过采用机器学习算法自主确定最 佳修复方法的系统。”

　　同样，Netskope 的首席信息官兼首席数据官 Mike Anderson 也看到了更多普遍的好处。“在未来的一年里，我认为我们将看到生成式人工智能被用于分析公司的现有政策、监管要求和威胁形势，以制定量身定制的安全政策。我还认为，我们还将看到生成式人工智能被用于持续监控公司的网络和系统是否存在违反政策的情况，并自动对问题做出响应。”

　　人工智能驱动的网络犯罪

　　尽管使用人工智能来提高安全性方面取得了进展，但网络犯罪分子也可以使用人工智能和语言学习模型。预计网络犯罪分子将利用人工智能的力量来增强其威胁能力。

　　Tanium 主管兼终端安全研究专家 Melissa Bishoping 强调了个人联系的重要性，以避免陷入深度伪造骗局。“如果有人联系你进行个人或专业交易，当你无法通过电话亲自验证此人时，最好寻求额外的验证，”她说。

　　“通常，只需挂断电话并拨打联系您的‘来电者’的已知、可信联系号码即可揭露骗局。在商业领域，建立依赖于更强大的身份验证形式的工作流程，这些身份验证形式无法被人工智能欺骗 - FIDO2 安全令牌、多人批准和验证是一个不错的起点。”

　　除了可以进行网络攻击外，人工智能还将被用来制造更可信的虚假信息，以攻击政府和企业。WithSecure 的研究员 Andy Patel 表示，“在 2024 年备受瞩目的选举前夕，人工智能将被用来制造虚假信息并影响行动。这将包括合成的书面、口头，甚至可能是图像或视频内容。

　　“现在社交网络已经缩减或完全取消了审核和验证工作，虚假信息将变得极为有效，”他补充道。“社交媒体将进一步成为人工智能和人类制造的垃圾的粪坑。”

　　下一代网络犯罪

　　尽管网络犯罪分子一直表现出强大的适应性和机会主义，但专家预计攻击者将在 2024 年进一步发展其能力和策略。随着公司加强对旧攻击的网络防御，一些攻击将借助技术，而另一些攻击将更具战略性。威胁行为者的策略包括使用暗网、利用开发环境以及利用新旧漏洞。

　　提高攻击者的技能

　　除了使用人工智能之外，我们还应该预计网络犯罪分子还会利用他们对暗网信息的访问，使攻击更加可信和广泛。

　　Nozomi Networks 安全研究总监 Alessandro Di Pinto 解释道：“尽管人工智能在准确回答问题方面仍处于早期阶段，但它在生成多种语言文本方面已达到先进水平，超越了现有翻译人员众所周知的局限性。人工智能作为编写令人信服的文本的工具的出现可以避免 [语法错误]，大大提高了此类攻击成功的可能性。”

　　Deepfakes 也可能会在这种 AI 辅助的反诈骗方法中发挥作用。Lumu 创始人兼首席执行官 Ricardo Villadiego 表示：“在欺诈活动中使用 Deepfakes 技术……将提高网络钓鱼欺诈的复杂性，使用户越来越难以区分合法服务和诈骗。”

　　如果人工智能模型能够访问暗网数据，它们就更具有说服力。Fortra 数字风险和电子邮件保护解决方案工程总监 Eric George 总结道：“通过使用暗网市场上随时可用的 PII 数据训练此类模型，可以大规模创建更加个人化和针对企业的攻击诱饵。”

　　“除了更加可信之外，检测规避策略还能确保攻击只会出现在目标上，否则就会在检测过程中“装死”。可信度和可传递性的结合提升提高了攻击者的投资回报率以及造成的损失。”

　　检测基于 AI 的攻击（尤其是使用规避策略的攻击）的能力将成为 EDR 等安全服务的关键要求。

　　网络犯罪向左转移

　　随着开发和运营 (DevOps) 使用自动化过渡到开发、安全和运营 (DevSecOps)，攻击者发现可以利用的人为错误越来越少。最近利用有毒开源库和其他开发渠道传播恶意软件的成功案例将继续影响深入传统和新技术开发供应链的攻击。

　　Snowflake 安全副总裁 Mario Duarte 发现，“攻击者现在正在寻找进入开发者环境的方法，因为在那里仍然可以发现和利用人为错误，不幸的是，随着可疑行为者在来年变得越来越成熟，我们会看到这种情况进一步升级。

　　“由于威胁源自代码，因此根除起来更加困难。“安全团队更难防御此类攻击，为可接受的开发活动创建基准比为自动化、管理良好的生产环境创建基准更具挑战性，”Duarte 说道。

　　Lineaje 首席执行官兼联合创始人 Javed Hasan 直言不讳地警告说：“破坏人工智能的最 佳时机是在构建人工智能时。”他声称人工智能在开发阶段最容易受到攻击。

　　“与当今的软件一样，人工智能主要使用开源组件构建，”哈桑说。“确定谁创建了最初的人工智能模型、其中存在哪些偏见以及哪些开发人员参与其中并怀有何种意图，对于弥补组织安全态势的漏洞至关重要。”最小特权访问在这里至关重要——只有少数人应该负责模型开发，他们应该仔细记录自己的工作并受到密切监督。

　　Cayosoft 首席产品官 Dmitry Sotnikov 强调了攻击对软件供应链的影响。“在 2024 年上半年，我们目睹了软件和服务供应商的停机对依赖其正常运行时间的企业和生活造成的巨大影响，”他说。

　　“最明显的例子是 Synnovis，这家病理学服务公司 6 月份的宕机事件暴露了 400GB 的患者信息，并推迟了数千名伦敦的门诊预约和癌症治疗。经销商管理系统提供商 CDK 的入侵实际上使美国 15,000 家汽车经销商的业务陷入瘫痪。”

　　索特尼科夫还强调了安全身份系统在保护供应链方面的重要性。身份系统是攻击者最大的目标之一，因为它们提供了大量有用的数据来导航和访问公司资源。

　　“如果你被迫做一件事来提高你的弹性，最有效的方法就是实施一个现代化的恢复系统，并每天进行测试，以创建和测试 Active Directory 的安全隔离备用副本，”Sotnikov 在谈到保护身份系统免受攻击时说。“这将允许你在遭受成功攻击时立即切换回 Active Directory 的备用、不受影响的版本。”

　　应对安全形势变化的战略转变

　　随着网络安全团队消除漏洞并增加安全措施以阻止当前攻击，网络犯罪分子将调整策略以攻击更容易攻击的目标或改变策略。这包括利用较旧的漏洞以及利用较新的策略。最近，安全研究人员发现了近二十年前的漏洞，威胁行为者如果愿意，仍然可以利用这些漏洞；他们可能会瞄准这个唾手可得的果实，并攻击较新的系统。

　　Lumu 创始人兼首席执行官 Ricardo Villadiego 预计，随着各组织努力打击网络钓鱼活动，无密码架构的采用将会增加。“然而，这种与传统模式的颠覆性变化将促使网络钓鱼活动的重点发生变化，以绕过这些新架构，”Villadiego 说。

　　“作为回应，对手将越来越多地瞄准从设备环境中获取复杂变量，并利用这些变量来绕过新的身份验证方法。”

　　Code42 总裁兼首席执行官乔·佩恩 (Joe Payne) 认为，生物识别技术将引发内部威胁的转变。“随着组织迅速采用 Okta Fastpass 等技术，该技术使用生物识别技术代替密码进行身份验证……我们预计两个领域的威胁将增加：由社会工程学引起的入侵（已呈上升趋势）和由内部人员引起的入侵（已占所有入侵的 40% 以上）。

　　“有权访问源代码、销售预测和联系人以及人力资源数据的内部人员在跳槽到竞争对手或创办自己的公司时，仍会继续窃取组织的数据，”Payne 说道。“随着我们降低黑客使用弱密码访问我们数据的能力，解决内部人员问题的重点将变得更加突出。”

　　攻击面激增

　　即使人工智能增强了攻击和防御能力，网络犯罪分子也不断扩展其能力，安全团队需要防御的攻击面仍将快速增长——远远超出标准网络安全的范围。新兴技术和以前被忽视的技术和连接将成为专门的网络犯罪分子的目标，他们寻求防御薄弱的 API、云、边缘和 OT 资源。

　　API攻击

　　应用程序编程接口(API) 在应用程序和资源之间提供自动化和定期信任的连接。Graylog 首席执行官 Andy Grolnick 警告各团队，针对他们的攻击日益增多。

　　“2023 年，勒索软件仍然是安全团队心目中的主要威胁，”他说。“然而，2024 年将是 API 安全防范和威胁势头增强的一年。安全 API 是一个挑战，因为它们：

　　易于导航且易于攻击

　　与网络上的运动不同，黑暗、隐蔽且难以追踪

　　内部职责并不总是很明确，而且 CISO 基本上没有制定策略和所有权。”

　　云风险

　　云计算采用率的持续增长也将扩大攻击面，并增加网络犯罪分子攻击云资源的兴趣。组织将需要考虑专门的云安全工具并实施云安全最 佳实践。

　　WithSecure 高级安全研究员 Neeraj Singh 发现，“引入尚未得到彻底保护的新技术和流程的活动有所增加。云服务及其新的接口、API 和通信渠道为攻击者提供了更多目标，从而扩大了潜在的攻击面。”

　　Immuta 首席信息安全官 Mike Scott 表示：“随着各种规模的组织继续向云端转型，第三方风险将在未来一年成为与数据安全相关的一大挑战。”

　　“很明显，团队无法使用内部部署解决方案完成与云中相同规模的工作，但随着这种转变，迫切需要了解与第三方[云提供商]集成的风险并[持续]监控该第三方。

　　多年来，云安全一直是一个热门话题，但随着越来越多的工作负载转移到云端，威胁行为者的机会也随之增加。在将数据和应用程序迁移到第三方提供商之前，团队需要确保其业务在移动数据之前采取了任何必要的保护措施。这包括询问有关云提供商的安全流程的问题。

　　Skyhawk Security 首席执行官 Chen Burshan 预计“没有边界和多个攻击媒介的云原生安全事件将会增加。这将改变市场的看法，因为企业将意识到，无论他们如何彻底保护边界，威胁行为者都会进入，”Burshan 说。

　　“云安全态势管理和云原生应用程序保护无法防止违规行为，也无法实时检测威胁。这将提高当前安全实践的成熟度，并加速采用云调查和响应自动化以及云原生威胁检测和响应等解决方案。”

　　边缘曝光

　　就在攻击者追求 API 和云攻击的同时，越来越多的组织将计算推向不受任何网络控制的边缘资源。虽然许多人设想对智能汽车和监控摄像头进行攻击，但暴露在非军事区 (DMZ) 的服务器（例如MoveIT 服务器）也提供了诱人的边缘目标。

　　WithSecure 高级威胁情报分析师 Stephen Robinson 指出，“勒索软件组织 Cl0p 最近对 MoveIT 的攻击将开始激发更多针对边缘数据传输服务器的大规模攻击活动。MoveIT 通常用于在组织之间可靠地传输大量重要文件。

　　“Cl0p 利用 MoveIT 服务器获取并窃取这些重要且有价值的文件，”罗宾逊说。“对于勒索软件组织来说，获取大量有价值的数据是最终目标；他们无需深入网络，只需深入暴露且易受攻击的 MoveIT 服务器即可。我预计会看到更多效仿攻击，其价值在于被利用的服务器本身，而不是它为网络其余部分提供的访问权限。”

　　加班暴露

　　运营技术 (OT) 过去是未联网的，被网络安全团队忽略。然而，联网工业电机、传感器和工业控制系统(ICS) 的兴起，现在为网络安全团队提供了一个诱人的目标，但安全性却不那么成熟。

　　Nozomi Networks 首席执行官 Edgard Capdevielle 宣称：“我们面临下一次殖民管道的风险。针对关键基础设施的网络攻击太容易了——我们仍然很脆弱，没有受到保护。如果这个问题没有得到更广泛的讨论或优先考虑，国内关键运营技术系统将再次遭受攻击，目标是石油、能源、医院或机场等行业。”

　　针对 Colonial Pipeline 的勒索软件攻击暴露了被忽视的 OT 安全性以及单一故障可能对美国基础设施造成的破坏。此事件随后导致2021 年颁布了有关勒索软件的行政命令和指导。

　　政府加大行动力度

　　随着技术的快速发展和网络犯罪不断扩大，各国政府将试图对网络领域进行监管、影响和控制。

　　加强监管

　　数十年来对计算机系统的使用和滥用导致了早期监管的出台，例如 2016 年通过的欧洲通用数据保护条例(GDPR) 和2018 年通过的加州消费者隐私法案(CCPA)。今年，欧盟首次实施两项新法律：《网络弹性法案》（CRA）和《网络和信息系统指令》（NIS2）。

　　虽然欧盟在监管方面处于领先地位，但美国也将发挥监管影响力。Entrust 首席信息安全官 Jordan Avnaim 警告称：“我们预计，明年监管将激增，首席信息安全官必须做好准备，这可能包括持续的人工智能监管、新的后量子指导，以及 2024 年底围绕了解你的客户 (KYC) 指南的新立法。”

　　“企业应该将上述每一项视为行动号召，不仅要改进自己的网络安全策略，还要考虑人工智能等新技术对其组织和客户的影响……首席信息安全官和领导者需要值得信赖的顾问、可靠的支持和安全的解决方案，才能成功、安全地向前迈进。”

　　Guidepost Solutions 董事总经理 Matthew Corwin 补充道：“安全团队必须适应美国证券交易委员会 (SEC) 针对重大网络安全事件的四个工作日规则、州 PII 泄露通知法律和其他监管要求所塑造的新的泄露报告环境。

　　“这些规定强调了向快速、透明的事件披露的转变，强调了对先进检测、简化报告流程和全面的事件响应策略的必要性。”

　　国家支持的网络攻击

　　即使政府出台旨在影响企业行为的法规，其他政府也会支持网络攻击以扩大其影响力。Nisos 产品营销总监 Stephen Helm 警告各团队，国家支持的攻击将会是什么样子。

　　他说：“随着地缘政治局势愈发动荡，美国大选季即将到来，俄罗斯和伊朗将加倍努力，在全球范围内制造混乱和不和，以进一步实现扩大影响力的目标。”“由于人工智能和其他工具的出现，使用傀儡、垃圾评论和机器人来放大叙事的做法将继续演变，越来越难以被发现。”

　　过去两年，各国的攻击利用了漏洞，给各种规模的公共和私人组织带来了巨大挑战。研究过去的攻击可以提供有关策略的提示，以及国家支持的攻击发生的速度。

　　监管文件需求增加

　　除了法规和政府直接行动外，专家还预计美国证券交易委员会（SEC）和其他机构将对最近通过的立法或规则采取更多执法行动。网络安全团队需要改进文档以保护自己和团队。

　　Axio 首席产品官 Nicole Sundin 预测，“首席信息安全官将需要一个记录系统来保护自己免受违规行为的影响。SEC 现在要求首席信息安全官对组织承担的风险负责，这已经不是什么秘密了。目前，首席信息安全官……做出艰难的选择，并采取他们认为必要的行动——但这些选择可能会或可能不会被记录下来。”

　　Opswat 高级产品经理 Matt Wiseman 将警告扩展到记录第三方和软件物料清单 (SBOM)。Wiseman 表示：“对 SBOM 的更多需求以及对更深入地了解工具的需求将导致监管机构或政府机构的要求增加。”

　　“鉴于对来自供应商、第三方或民族国家的威胁的担忧日益增加，所有软件在部署到关键领域之前都将经过更彻底的审查。”

　　去年的网络安全问题仍在继续

　　一些 2024 年预测只是承认了早在今年之前就已开始的持续趋势。安全基础薄弱、网络安全意识薄弱以及持续不断的勒索软件攻击等趋势仍是主要关注点，直到这些趋势得到缓解。

　　安全基础薄弱

　　尽管供应商和技术都在竞相应对明年的威胁，但许多组织在资产管理、身份、访问管理、纵深防御以及网络安全意识和培训等基本网络安全基础上仍然落后。

　　NetSPI 首席产品官 Vinay Anand 表示：“保护组织安全的一些基本要求将继续对信息安全领导者提出挑战 - 主要是建立对所有资产的全面可视性，并严格控制谁可以访问这些资产以及使用什么级别的权限。”

　　Silverfort 联合创始人兼首席技术官 Yaron Kassner 补充道：“泄露的身份信息仍将是网络犯罪分子青睐的武器。无数组织在遗留的限制和错综复杂的身份提供商网络中努力实现访问系统的现代化。”几十年来，不同的团队一直使用不同的策略，因此简化访问安全是一项挑战。

　　Xage Security 联合创始人兼产品高级副总裁 Roman Arutyunov 表示：“我们开始看到网络安全投资策略的转变，更好地反映了当前的威胁形势。”

　　“公司意识到，威胁搜寻和应对无休止的检测和误报会耗费太多宝贵的安全资源，他们已经厌倦了大海捞针。他们现在将注意力转向通过主动保护资产来减少攻击面。”

　　网络安全意识薄弱

　　正如性骚扰和反偏见培训继续成为人力资源的重点一样，基本的网络安全培训也必须成为专业领域的常规内容。

　　Skillable 首席产品和技术官 Frank Gartland 提醒安全团队，“八成的网络攻击是由于人为错误造成的，因此为人们提供定期的网络安全培训可以显著提高网络弹性。”

　　雷神公司网络事件响应经理尼克·卡罗尔 (Nick Carroll) 指出，安全文化的需求更为广泛。他解释说：“如果没有坚实的安全文化作为基础，昂贵的防火墙或端点检测和响应 (EDR) 等安全工具最终将变得无效。”

　　“如果组织还没有这样做，他们必须开始在员工和第三方合作伙伴中建立网络安全意识，同时确定如何将安全性融入组织文化和运营的最 佳途径。”

　　持续的勒索软件攻击

　　勒索软件在疫情期间开始占据头条新闻，并且一直是一个问题。绝望的组织不顾执法部门的建议，继续向网络犯罪分子支付赎金并激起他们的兴趣。

　　Judy Security 首席执行官兼创始人 Raffaele Mautone 预计，即使是中小型企业也会遇到麻烦。“勒索软件攻击将继续多样化其目标，从大型企业扩展到中小型企业、市政当局和医疗机构。这一趋势将导致针对中小企业的攻击激增，由于网络安全资源有限，中小企业可能更容易受到攻击。”

　　Immersive Labs 网络威胁研究主管 Kev Breen 建议做好最坏的打算。“我们应该看到勒索软件组织利用新技术来逃避终端检测和响应 (EDR)，迅速利用零日漏洞以及新修补的漏洞，从而轻松绕过常见的防御策略。

　　“因此，安全团队不能依赖旧的安全策略。公司不应该担心如何检测所有情况，而应该假设在某个时候情况会变糟，并制定最 佳应对计划。”

　　勒索软件需要访问终端才能发起攻击。虽然高级攻击者会寻求新的规避策略，但我们不能通过部署松散的网络防御让他们的工作变得轻松。考虑实施强大的终端保护（防病毒、EDR或XDR ）作为抵御勒索软件和其他攻击的多层防御之一。

　　底线：根据风险立即做好准备

　　专家的预测只有付诸行动才会产生价值。虽然 2024 年的这些主要趋势都无法保证，但它们都有可能实现，而这些持续不断的麻烦已经困扰着当今许多组织。

　　每个组织都必须分析每种趋势对组织及其最宝贵资产的具体风险。完成的分析自然会确定最有可能引发问题的趋势以及最需要解决的趋势。