2022 年是網絡安全領域動蕩的一年，黑客組織襲擊了微軟、思科、推特和優步等科技巨頭，勒索軟件繼續“蹂躪”醫療保健、金融、基礎設施等領域。再加上俄烏沖突期間網絡戰帶來的影響，2022 的網絡安全領域“極不平凡”！

Information Security Media Group 咨詢了一些業界知名安全專家 2023 年需要關注那些安全趨勢。以下是專家對未來一年網絡安全領域的展望。

網絡犯罪分子將加大對 API 漏洞的攻擊力度

隨著企業對開源軟件和定制接口來連接云和傳統系統的依賴程度加深，”API 經濟“正在高速增長。2022 年，API 層面發生了幾起備受矚目的違規事件，其中包括澳大利亞最大的電信公司 Optus 的違規事件。專家們預計，網絡犯罪分子在新的一年，會加強對 API 漏洞的攻擊。

Traceable 的 CSO 理查德-伯德（Richard Bird）表示，Gartner 多年來一直在警告 API 漏洞的風險，并預計其將成為一個主要的攻擊面。后續，業內將會聽到更多關于這方面的消息，到 2023 年，美國將出現大規模 API 漏洞。

Contrast Security 的 CSO Tom Kellermann 則表示，大多數公司在保護 API 方面做得并不好，相比開發人員的投入來說，安全團隊規模較小，投入資源匱乏。

攻擊者將盯上電網、石油和天然氣供應商以及其它關鍵基礎設施

從以往發生的往案例來看，關鍵基礎設施一直是民族主義攻擊者的首選目標。許多工廠依靠 IT 和 OT 系統來保持順利運行，但部分工業控制系統已經運轉幾十年，容易受到網絡攻擊。事實上，去年 IBM X-Force 觀察到針對 TCP 502 端口的對抗性“偵察”增加了 2000%以上，這可能使的黑客輕松控制物理設備，擾亂企業運營。

網絡安全專家警告，應當隨時準備好應對針對電網、石油和天然氣供應商以及其它關鍵基礎設施的網絡攻擊。

Cybereason 的 CSO Sam Curry 指出，盡管 CISA 肩負著巨大責任，但每個關鍵基礎設施部門都有很多工作要做，對于北半球大部分地區來說，能源生產等領域在冬季中期都非常非常脆弱，需要格外防范網絡安全威脅。

攻擊者將增加對多因素身份認證漏洞的利用

多因素身份認證曾被認為是身份管理的“黃金標準”，為密碼安全提供了一個重要保障。今年，隨著一系列使用 MFA 繞過技術，成功實施網絡攻擊的案例出現，再加上網絡釣魚和社會工程，這一切可能都改變了。接下來，攻擊者肯定會增加對多因素認證漏洞的利用。

此外，黑客成功進行網絡攻擊的新聞也會吸引了下一波想利用最新方法發動攻擊的“失敗者”和其他潛在攻擊者。

勒索軟件將會針對更大的目標、索要更多的贖金

近幾年，勒索軟件攻擊激增，受害者支付贖金也增長了兩倍甚至三倍。由于許多受害者不愿意報案，沒有人真正知道事勒索軟件目前發展的具體趨勢。網絡安全專家聲稱，往后幾年，勒索軟件的攻擊目標會更大，索要的贖金也會更多。

全球隱私和網絡安全實踐合伙人兼主席 Lisa Sotto 強調，毫無疑問，勒索軟件將會繼續有增無減，環境比以往任何時候都更加惡劣，雖然每年都這么說，但后續似乎比以往任何時候都更加惡劣。

攻擊者將”瞄準“超大型云計算企業

數字化轉型促使企業大規模將業務遷移到公共云上，這一趨勢從企業開始，并逐步擴展到大型政府機構，創造了一個復雜混合和多云環境的“大雜燴”。隨著越來越多數據轉移到云端，攻擊者會把主要目標鎖定在超大規模的云端企業。

零信任將被更廣泛地采用

直到過去幾年，網絡安全組織和供應商社區才接受了最低特權和持續驗證防御的概念（零信任理念）。上個月，美國國防部宣布其零信任戰略時，零信任得到了重大推動。隨著組織尋求現代化防御，零信任將得到更廣泛的采用。

值得一提的是，ON2IT 集團網絡安全戰略高級副總裁 John Kindervag 和 Ericom 軟件公司 CSO Chase Cunningham 稱，他們對采用零信任的聯邦機構數量感到樂觀。

網絡安全保險的可用性將繼續”枯竭“

20 多年前，出現了第一份網絡安全保險單，但勒索軟件攻擊造成的商業損失已經成倍增長，因此，網絡保險公司正在提高其費率或完全退出該業務。2023年，網絡保險供應將繼續枯竭，企業承擔財務風險也會增加。

很多人都應該聽說過，在過去 24 個月里發生的大規模違規事件賠付率在零到 30% 之間，這是在保費和回報方面達成的共識，原因是不僅是整個網絡保險行業正在重新評估他們所做的事情，他們現在開始根據所發現的情況計算其風險。

政府機構將對加密貨幣公司進行更嚴格的管控

一系列違規事件、市場價值的重大損失以及 FTX 加密貨幣交易所的丑聞，使加密貨幣世界在 2022 年陷入了困境。網絡安全專家認為政府機構將對加密貨幣公司進行更嚴格的控制，以保護投資者，打擊洗錢和提高安全性。

企業將改變內部安全培訓模式

多年來，許多大型企業一直提供網絡安全意識培訓，但似乎并未奏效。接下來幾年，各企業將改變提供網絡安全培訓的方式，著眼于更多的參與性學習、職業道路和提高 CISO 的技能。

參考文章：https://www.inforisktoday.com/look-ahead-cybersecurity-trends-to-watch-in-2023-a-20749