面對(duì)不斷變化的網(wǎng)絡(luò)安全威脅格局�,企業(yè)需要在2025年優(yōu)化其網(wǎng)絡(luò)安全預(yù)算以有效應(yīng)對(duì)挑戰(zhàn)。
盡管在2021年至2022年間,網(wǎng)絡(luò)安全預(yù)算有所增長(zhǎng)��,但近幾年的增長(zhǎng)勢(shì)頭已明顯放緩�。這意味著��,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者在采購決策時(shí)���,必須更加審慎地考慮如何改善當(dāng)前的安全和合規(guī)狀況�,以確保每一分投入都能帶來實(shí)實(shí)在在的效益���。
那么���,如何在2025年優(yōu)化企業(yè)的網(wǎng)絡(luò)安全預(yù)算,以有效應(yīng)對(duì)不斷演變的威脅呢?領(lǐng)導(dǎo)層需要深入了解當(dāng)前的網(wǎng)絡(luò)安全格局��,并明確哪些舉措能夠幫助他們恰當(dāng)?shù)鼐徑怙L(fēng)險(xiǎn)���。
AI:憑證安全的“隱形殺手”
雖然現(xiàn)在的AI模型不會(huì)像科幻電影中的終結(jié)者那樣���,用深沉且?guī)Э谝舻穆曇粽f出“我會(huì)回來的”�,但它們正以更加隱蔽的方式威脅著我們的網(wǎng)絡(luò)安全���。不法分子越來越頻繁地利用ChatGPT等AI模型創(chuàng)建深度偽造內(nèi)容,以改進(jìn)他們的社會(huì)工程攻擊�。
過去,零信任的口號(hào)是“信任但驗(yàn)證”�,而如今,這一格言已演變?yōu)椤安恍湃稳魏问挛锖腿魏稳恕?。隨著惡意行為者利用AI和大型語言模型(LLM),社會(huì)工程攻擊變得愈發(fā)逼真���,攻擊者能夠輕松模仿現(xiàn)實(shí)世界中人們的物理和數(shù)字存在��。例如�,網(wǎng)絡(luò)犯罪分子只需將CEO社交媒體個(gè)人資料中的內(nèi)容輸入AI���,然后使用“以該個(gè)人的風(fēng)格撰寫”的提示��,就能生成看似合法的釣魚郵件�。這使得人們難以區(qū)分真假信息,從而增加了憑證被盜用的風(fēng)險(xiǎn)��。
為了應(yīng)對(duì)這一挑戰(zhàn)��,企業(yè)需要制定全面的身份策略���,以識(shí)別所有用戶并了解他們的正常行為�。如果沒有這些能力���,幾乎無法識(shí)別因憑證被盜用而產(chǎn)生的異?;顒?dòng)�。
初始訪問方法的“商品化”擴(kuò)大了攻擊面
惡意行為者繼續(xù)將漏洞利用作為獲取初始訪問權(quán)限的主要方法。一旦他們識(shí)別出可利用的漏洞���,就會(huì)使用略有不同的攻擊路徑來入侵系統(tǒng)�。當(dāng)我們將視角放大�,審視整個(gè)網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)時(shí),初始訪問問題就顯得更加有意義了�。
在暗網(wǎng)上,網(wǎng)絡(luò)犯罪分子越來越專注于自己的細(xì)分專業(yè)領(lǐng)域���。例如���,初始訪問中介(IAB)專注于獲取目標(biāo)系統(tǒng)的訪問權(quán)限�,然后在暗網(wǎng)或Telegram頻道上出售這些訪問權(quán)限�。無論他們出售的是與漏洞相關(guān)的訪問權(quán)限還是被盜的憑證,這一生態(tài)系統(tǒng)都使得不那么老練的網(wǎng)絡(luò)犯罪分子能夠部署更復(fù)雜的攻擊�。
對(duì)于中型和大型企業(yè)而言,由于它們更可能成為攻擊者的目標(biāo)���,因此風(fēng)險(xiǎn)緩解策略可能包括更頻繁、更廣泛地輪換密碼��,以降低憑證被盜用的風(fēng)險(xiǎn)���。
身份管理:安全的核心與挑戰(zhàn)
身份一直是安全的核心���,并且這一地位將不會(huì)改變。雖然企業(yè)可能對(duì)其人類用戶和身份有深入的了解和管理��,但在管理非人類身份(如服務(wù)賬戶)方面卻越來越吃力���。
隨著機(jī)器與機(jī)器之間的通信以及跨應(yīng)用程序使用的身份數(shù)量爆炸式增長(zhǎng)�,惡意行為者越來越多地將機(jī)器對(duì)機(jī)器和應(yīng)用程序?qū)C(jī)器的身份作為攻擊向量���。技術(shù)債務(wù)�、混亂和不明確的訪問路線為攻擊者創(chuàng)造了額外的機(jī)會(huì)。特別是在多云和混合基礎(chǔ)設(shè)施中��,惡意行為者可以利用多條訪問路線來入侵系統(tǒng)�。
服務(wù)賬戶可能帶來的風(fēng)險(xiǎn)包括開發(fā)人員創(chuàng)建的安全變通方法、第三方供應(yīng)商的系統(tǒng)以及密碼策略未更新的舊設(shè)備��、賬戶和權(quán)限等�。因此,識(shí)別和管理服務(wù)賬戶將是關(guān)鍵的安全風(fēng)險(xiǎn)緩解策略��。企業(yè)需要明確定義這些賬戶可以做什么和不可以做什么�,并像對(duì)人類管理員賬戶一樣嚴(yán)格執(zhí)行這些策略。
合規(guī):不可或缺的一環(huán)
本杰明·富蘭克林曾斷言:“世界上除了死亡和稅收之外��,沒有什么是確定的�。”如果他今天還在世���,他可能會(huì)加上“還有數(shù)據(jù)保護(hù)法規(guī)”�。盡管全球范圍內(nèi)出現(xiàn)了一些放松管制的舉措�,但網(wǎng)絡(luò)安全卻是個(gè)例外。立法和監(jiān)管機(jī)構(gòu)將繼續(xù)加倍努力�,確保公司保護(hù)消費(fèi)者和員工的信息��。
企業(yè)應(yīng)投資于能夠生成強(qiáng)大合規(guī)文檔的解決方案�,并能夠跨多個(gè)法律�、法規(guī)和框架進(jìn)行映射。這將有助于企業(yè)滿足不斷變化的合規(guī)要求�,并證明其已采取了適當(dāng)?shù)陌踩胧?
網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn):更嚴(yán)格的審查與監(jiān)控
在商業(yè)世界中,網(wǎng)絡(luò)保險(xiǎn)被視為一種轉(zhuǎn)移安全事件成本的方式��。然而�,近年來網(wǎng)絡(luò)保險(xiǎn)提供商對(duì)于應(yīng)該賠付公司哪些費(fèi)用變得越來越謹(jǐn)慎,并更新了他們的保險(xiǎn)范圍和除外條款以變得更加嚴(yán)格�。甚至最初獲得保險(xiǎn)的要求也變得顯著更加苛刻。
為了獲得網(wǎng)絡(luò)責(zé)任保險(xiǎn)的批準(zhǔn)��,企業(yè)需要回答保險(xiǎn)承保人提出的越來越具體的問題��,并提供持續(xù)的控制監(jiān)測(cè)來支持這些回答���。這意味著企業(yè)需要更有效地實(shí)施、維護(hù)和監(jiān)控安全控制�,以滿足保險(xiǎn)公司的要求。
減少用戶摩擦:提高安全采用率的關(guān)鍵
企業(yè)需要部署更多的安全產(chǎn)品�、制定更深入的安全策略,并以更嚴(yán)格的方式監(jiān)控其環(huán)境���。然而��,每次添加新的控制措施時(shí)�,都會(huì)給最終用戶帶來額外的摩擦。例如���,企業(yè)在允許用戶登錄公司設(shè)備���、網(wǎng)絡(luò)和應(yīng)用程序之前,會(huì)添加新的身份驗(yàn)證因素���。這增加了登錄步驟和時(shí)間�,對(duì)于用戶來說是一種負(fù)擔(dān)��。
為了減輕這種負(fù)擔(dān)并提高安全的采用率���,企業(yè)需要尋找減少摩擦的解決方案�。隨著消費(fèi)者和客戶要求企業(yè)對(duì)他們的敏感信息負(fù)責(zé)��,公司需要實(shí)施能夠幫助他們?cè)诎踩院涂捎眯灾g找到微妙平衡的解決方案���。
展望未來:以身份為基礎(chǔ)的水晶球
雖然無人能真正預(yù)測(cè)未來�,但過去幾年基于身份的攻擊在統(tǒng)計(jì)上的增加表明,威脅行為者將繼續(xù)部署這些方法�。因此,當(dāng)企業(yè)在2025年選擇其網(wǎng)絡(luò)安全投資時(shí)��,他們應(yīng)該重點(diǎn)考慮如何實(shí)施身份衛(wèi)生��、在復(fù)雜環(huán)境中(包括由相互連接的應(yīng)用程序和大量難以管理的用戶如服務(wù)賬戶組成的環(huán)境)實(shí)施���、維護(hù)和監(jiān)控用戶訪問的流程���。
通過加強(qiáng)身份管理、提高合規(guī)性�、優(yōu)化網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)策略以及減少用戶摩擦,企業(yè)可以更好地應(yīng)對(duì)不斷演變的網(wǎng)絡(luò)安全威脅��,并保護(hù)其敏感信息和資產(chǎn)免受攻擊�。
