随着2023年的结束,我们已经步入2024年。与过去几年中常见的关于网络安全趋势的评论不同——之前的文章更多地从网络钓鱼、勒索软件攻击、供应链攻击、意识培训、深度伪造风险等角度出发。而在本文中,我将对一些更新和更广泛的话题作出简短的评论,并对2024年全球将面临的一些复杂的网络安全挑战进行预测。
闲话少叙,让我们从2024年及以后的“已知的未知”(Known Unknowns)和可能出现的“未知的未知”(Unknown Unknowns)开始,我在Midjourney v6的帮助下生成了一些人工智能图形为本文增加些趣味。
1)全球地缘政治不稳定和网络空间战争:地缘政治紧张局势的升级越来越多地映射到网络空间,一些国家支持的网络活动导致破坏全球关键基础设施的稳定性。这一趋势超越了传统的网络攻击,更加针对能源、医疗健康、基础设施和金融系统。
预测:预计新形式的网络经济战(Cyber-Economic-Warfare)将更加突出,以最小的行动造成最大的影响,而且往往损害核心供应链。
2)人工智能、通用人工智能和网络安全风险(包括“黑暗AI”):人工智能和通用人工智能(AGI)的出现预示着网络威胁的新时代,它能进行复杂、自适应和难以检测的攻击。随着时间的推移,先进的“黑暗AI”可以熟练地处理大量不同的数据集,将来自各种相互排斥的数据泄露的信息联系起来。这种能力将能够对个人、行为和公司进行更复杂的分析。因此,它将为网络攻击铺平道路,网络攻击不仅更有针对性,而且具有高度个性化,有效载荷具有战略定时,专门适应其预定目标的特点。
预测:双重勒索的勒索软件案件的激增,以及前所未见的以某种方式由人工智能驱动的新一波复杂攻击方法将成为头条新闻。它会成为人工智能驱动的恶意软件的新形式吗?
3)CISO职业倦怠和信息安全领导者离职:网络安全部门面临职业倦怠和高流动率的危机,尤其是CISO。Gartner公司的数据预测,50%的网络安全领导者希望在2025年之前换工作,由于持续的精神压力和紧张,至少25%的人希望在2025年之前完全离开这个领域。
预测:事实上,更多的全球CISO希望退出网络安全运营领域,特别是如果他们觉得董事会/最高管理层的支持不足。如果没有一定程度的保障、董事及高级职员(D&O)保险和保护,如果他们的风险回报平衡不理想,那么经验丰富的安全管理层将离职,这将给企业填补岗位缺口带来更大的负担。
4)零日漏洞利用的兴起:零日漏洞利用的显著增加带来了巨大的补丁管理挑战,尤其是在具有遗留系统的企业中,出于不同的目的,企业总有一些正当的商业理由来维护这些遗留系统。
预测:打补丁说起来容易做起来难。大大小小的供应商发现很难跟上发现漏洞的速度,导致了从发现、报告的实际漏洞到供应商修补再到消费者修补这段时间的长期摩擦,给攻击者更大的利用机会。我预测从2023年起,零日的数量将显著增加,公司将越来越难以跟上修补的步伐。做好准备,2024年您将多次通过电脑操作系统和Android/iPhone更新您的浏览器、移动应用程序App……
5)量子计算、AGI和密码学:量子计算和AI的交叉为密码学带来了重大的挑战和机遇。量子计算的快速发展,带来了破解当前加密算法的潜力,使现有的加密变得脆弱。同样,AGI以与前面提到的不同方式呈现了网络安全态势的另一个维度。利用AGI解决不同类型数学问题的全部潜能成为现在的一大热门话题。由于大语言模型(LLM)的运作方式,AGI天生难以破解复杂的数学问题,2024年可能是许多人没有预测到的黑天鹅时刻吗?这是否为未来新的旁路密码防御方法奠定基础?如果(有一天)AGI有办法在不需要量子计算的情况下找到破解当今密码学的捷径呢?
预测:AGI不太可能很快解决高级密码/加密问题,但在2024年,我们也许会惊讶于AGI可能会解决一些我们没有预测到的初等数学问题。2024年AGI x密码学的发展将吓跑反对者。
6)欧盟NIS 1/2指令:虽然我相信欧盟的许多人可能听说过这一点,但欧盟以外的人可能并不了解。那些服务于跨国企业关键服务提供商的人,或者在欧盟有关键提供商的人,应该期待在2024年初从您的安全/合规/法律团队那里很快听到更多关于这方面的信息。作为一个快速的背景介绍,《网络和信息系统指令》(the Network and Information Systems,以下简称NIS)及其后续版本NIS2是欧盟加强网络安全的立法。NIS1的目标是能源和银行等关键行业,而NIS2的截止日期为2024年10月17日,将范围扩大到更多行业,包括关键的数字服务。欧盟委员会强调,面对不断演变的数字威胁,这些指令对维护整个欧盟的网络安全非常重要。
预测:与GDPR一样,最大的误解是,一些依赖关键数字服务提供商的企业,以及欧盟以外(但向欧盟提供服务)的关键服务提供商可能认为指令并不适用于他们,并且还不清楚责任、最后期限和影响,因此将在2024-2025年匆忙地临时抱佛脚。这些企业最好能尽早开始并进行风险评估。
7)空间——网络安全的新领域:空间技术,特别是卫星的网络安全风险日益受到关注。随着卫星成为全球通信不可或缺的一部分,它们面临着信号干扰和控制劫持等威胁。卫星和地面基础设施之间的互联互通加剧了这些脆弱性,突出表明需要为天基技术和地面系统的网络安全措施制定新的和不断发展的标准和框架。
预测:2024年使用商业卫星支持分布式产品/服务/物联网/云产品的增长将使许多企业面临新的风险。利用空间技术的企业需要确保他们进行全面的风险评估,以充分了解他们所面临的网络安全风险,因为这对许多人来说是未知领域。
8)孩子——意想不到的特洛伊木马进入你的家(和工作):从游戏到谷歌搜索,孩子们无意中把自己变成了网络威胁的代理。令人震惊的是,三分之二的流行文化搜索词都感染了恶意软件。例如,根据CyberGuy的数据,搜索“宝贝老板”(Boss Baby)有58%的几率会感染病毒,而搜索“宝可梦”(Pokemon)则有明显的风险,47%的结果会导致潜在的有害网站。这些看似友好的网站和下载通常包含伪装的恶意软件,不仅对个人设备造成风险,而且对共享的家庭和工作设备也构成风险。卡巴斯基的研究表明,犯罪分子伪装成年轻用户,通过网络钓鱼和社会工程手段利用缺乏经验的用户,主要目标是《Minecraft(我的世界)》与《Roblox(罗布乐思)》等热门游戏。
预测:新兴的Web3和Metaverse态势(以及学校和家庭中人工智能工具的使用增加)将对您的家庭构成重大威胁,并将在2024年变得更糟。安全意识和教育将对学校和家长至关重要。现在是时候像在公司环境中一样对待您的家庭互联网和设备了,不要使用默认的路由器密码,不要为移动应用程序App使用儿童友好的简单弱密码;应该定期轮换密码,安装病毒扫描工具,家长控制,将儿童的帐户/设备与成人隔离,及时更新补丁等措施。
9)《欧盟网络弹性法案》(EU Cyber Resilience Act, 以下简称“CRA”):将于2024年7月1日生效,CRA引入了一个法律框架,适用于在欧盟市场上销售的所有具有数字元素的产品。它要求这些产品从设计到整个生命周期都是安全的。这种方法确保包括软件在内的数字产品不仅在购买时是安全的,而且随着技术和威胁的发展,对网络威胁保持弹性。该法案强调制造商有责任持续管理网络安全风险,并提供定期更新以解决漏洞,从而加强消费者对网络威胁和事件的保护。
当将CRA与之前提到的NIS1和NIS2指令进行比较,关键区别在于它们的范围和重点。NIS指令主要关注基本服务运营商和关键数字服务提供商(为整个欧盟的网络和信息系统安全制定标准),但CRA则将其覆盖范围扩展到更广泛的具有数字元素的产品。它将重点转移到确保这些产品在设计和维护时考虑到网络安全(即在整个软件开发生命周期和发布后)。CRA通过解决可在关键基础设施中使用的产品的安全性来补充NIS指令的目标,从而填补欧盟网络安全框架的空白。
预测:这种复杂性和时间性可能导致公司简单地选择规避风险,并在短期内主动停止在欧盟的某些服务。我们已经开始看到这一点,由于这些严格的网络安全要求,保时捷将终止内燃机(ICE)版本的Macan,我预计在2024年会有更多公司这样做。
10)未知的未知。以上这些已经够可怕的了,但随着技术进步导致一些新形式的风险,不可预测和不可预见的威胁将不可避免地出现——特别是随着人工智能的快速实施、物联网的扩展、量子计算和Web 3的出现,预计会出现新的漏洞,甚至挑战最复杂的安全措施。