AWS公司安全負(fù)責(zé)人對2023年網(wǎng)絡(luò)安全發(fā)展趨勢進(jìn)行的預(yù)測

2022年是網(wǎng)絡(luò)安全行業(yè)發(fā)展前所未有的一年，無論是好的方面還是壞的方面。從積極的方面來看，人們看到無密碼和多因素身份驗(yàn)證（MFA）和零信任方法的使用有所增加;從消極的方面來看，數(shù)據(jù)泄露造成的損失達(dá)到歷史最高水平，例如商業(yè)化網(wǎng)絡(luò)犯罪（勒索軟件即服務(wù)）興起以及Twitter、WhatsApp、Rockstar和Uber等公司的大規(guī)模數(shù)據(jù)泄露。

人們在2023年會(huì)在網(wǎng)絡(luò)安全方面看到什么樣的發(fā)展趨勢?AWS公司有關(guān)網(wǎng)絡(luò)安全方面的一些負(fù)責(zé)人對2023年網(wǎng)絡(luò)安全的發(fā)展趨勢進(jìn)行了預(yù)測。

多因素身份驗(yàn)證將變得更加普遍

AWS公司首席信息安全官CJ Moses表示，多因素身份驗(yàn)證在商業(yè)和個(gè)人用途上的采用將繼續(xù)增長，包括越來越多地使用生物特征形式的身份驗(yàn)證，以提高安全性和便利性（使用指紋或面部識(shí)別解鎖設(shè)備）。

通過向這個(gè)方向發(fā)展，多因素身份驗(yàn)證在未來將把強(qiáng)大的安全性與可用性結(jié)合起來，確保用戶在改善安全狀況的同時(shí)擁有無摩擦的體驗(yàn)。作為最簡單和最重要的保護(hù)措施之一，多因素身份驗(yàn)證被FIDO聯(lián)盟、美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）和美國政府鼓勵(lì)作為在線保護(hù)的基準(zhǔn)，美國政府最近發(fā)表聲明，敦促所有公司采用多因素身份驗(yàn)證。

在過去幾年里，各國政府和企業(yè)越來越重視網(wǎng)絡(luò)安全問題，這意味著多因素身份驗(yàn)證將需要更多地用于滿足日益嚴(yán)格的安全要求和期望。

企業(yè)應(yīng)該監(jiān)控多因素身份驗(yàn)證在未來幾年的進(jìn)展，看看他們?nèi)绾胃倪M(jìn)現(xiàn)有能力或?qū)⑿碌亩嘁蛩厣矸蒡?yàn)證能力構(gòu)建到企業(yè)的文化和流程中。

對勞動(dòng)力的背景的日益包容將解決人才缺口問題

亞馬遜公司安全總監(jiān)Jenny Brinkley表示，解決持續(xù)的安全人才勞動(dòng)力短缺問題將是許多企業(yè)的首要任務(wù)。在2023年，越來越多的企業(yè)將會(huì)越來越意識(shí)到，吸引來自不同背景的最優(yōu)秀人才不僅有助于填補(bǔ)關(guān)鍵的空缺職位，還將幫助企業(yè)改善其整體安全態(tài)勢。

企業(yè)以不同的方式構(gòu)建、創(chuàng)造、思考和交付，這是解決不斷變化的安全問題的主要好處。有了更加多樣化的思維方式，不同的觀點(diǎn)開始發(fā)揮作用，使安全團(tuán)隊(duì)對他們必須保持安全的數(shù)字環(huán)境和物理環(huán)境都有新的和獨(dú)特的看法。

新的思維方式對網(wǎng)絡(luò)安全團(tuán)隊(duì)來說是極其重要的，因?yàn)樗鼫p少了多年的偏見和群體思維，并有助于解除信念的限制。不同的背景和團(tuán)隊(duì)也有助于確定如何支持關(guān)鍵的業(yè)務(wù)計(jì)劃和目標(biāo)。安全團(tuán)隊(duì)對于其他團(tuán)隊(duì)來說不再是監(jiān)督部門，而是可以提供幫助的伙伴，在一個(gè)多元化的團(tuán)隊(duì)結(jié)構(gòu)中，這種組織思維模式是可行和有效的。

合作將改善準(zhǔn)備和事件響應(yīng)

AWS公司的首席信息安全官辦公室主任Mark Ryland表示，安全行業(yè)及其所支持的數(shù)字環(huán)境已經(jīng)從2022年的合作中受益，這一趨勢將持續(xù)下去?！案玫暮献鳌钡哪Ｊ綄⒃?023年及以后獲得動(dòng)力。

例如，隨著最近建立的開放網(wǎng)絡(luò)安全模式框架獲得新成員，集體防御將得到改善，使安全團(tuán)隊(duì)能夠更容易地關(guān)聯(lián)更多數(shù)據(jù)源，以更少的時(shí)間完成他們的工作，并使用增強(qiáng)的數(shù)據(jù)主動(dòng)改善安全狀況。

更多的企業(yè)將會(huì)看到為工程工作和項(xiàng)目、工具、培訓(xùn)和指南做出貢獻(xiàn)的價(jià)值，以幫助標(biāo)準(zhǔn)化整個(gè)行業(yè)的安全工具和數(shù)據(jù)格式，包括來自開源安全基金會(huì)（OpenSSF）成員的重要貢獻(xiàn)。

網(wǎng)絡(luò)安全培訓(xùn)將促進(jìn)有效行動(dòng)并提高安全性

亞馬遜公司安全部門全球安全培訓(xùn)主管Jyllian Clarke表示，培訓(xùn)和教育是實(shí)施良好安全措施的關(guān)鍵。即使使用最強(qiáng)大和現(xiàn)代的工具，只有當(dāng)人們知道該做什么以及如何做時(shí)，安全性才有效。任何接觸數(shù)據(jù)或構(gòu)建存儲(chǔ)數(shù)據(jù)的工具和系統(tǒng)的人員都必須被賦予保護(hù)這些數(shù)據(jù)的權(quán)利。

大多數(shù)員工并不從事網(wǎng)絡(luò)安全保護(hù)工作，他們的職位中也沒有“安全”這一術(shù)語，這可能會(huì)導(dǎo)致他們認(rèn)為安全是別人需要解決的問題。任何形式和規(guī)模的企業(yè)都必須激勵(lì)員工關(guān)心安全，并授權(quán)他們采取有意義的行動(dòng)來確保網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全培訓(xùn)需要包括一個(gè)全面的心態(tài)，幫助每個(gè)人在企業(yè)的各個(gè)層面都將網(wǎng)絡(luò)安全問題作為一個(gè)業(yè)務(wù)問題來對待。

隨著企業(yè)不斷尋找吸引員工并改善安全結(jié)果的方法，新的最佳實(shí)踐包括開發(fā)個(gè)性化的多模式學(xué)習(xí)計(jì)劃，該計(jì)劃包含多種演示、討論和動(dòng)手實(shí)驗(yàn)創(chuàng)造性地吸引所有學(xué)習(xí)風(fēng)格。幫助員工清楚地理解安全最佳實(shí)踐背后的原因是必要的。這可以通過分享現(xiàn)實(shí)世界的例子、經(jīng)驗(yàn)教訓(xùn)和案例研究來實(shí)現(xiàn)，這些例子說明了為什么他們所做的一切都必須把安全放在第一位。

對于技術(shù)人員和非技術(shù)人員來說，需要了解個(gè)人行為如何影響網(wǎng)絡(luò)安全，無論是積極的還是消極的，都能建立共同的責(zé)任感，從而改善網(wǎng)絡(luò)安全狀況，并將網(wǎng)絡(luò)安全作為一項(xiàng)功能優(yōu)先考慮，而不是事后考慮的事項(xiàng)。多式聯(lián)運(yùn)安全培訓(xùn)輔以持續(xù)的意識(shí)模式，在日常工作中培養(yǎng)網(wǎng)絡(luò)安全文化，讓員工了解并參與其中，同時(shí)為他們完成工作提供幫助。

嵌入式安全通過基礎(chǔ)設(shè)施即代碼將變得更加切實(shí)

AWS公司首席信息安全官辦公室負(fù)責(zé)人Merritt Baer表示,網(wǎng)絡(luò)安全仍然是最重要的，越來越多的企業(yè)將業(yè)務(wù)轉(zhuǎn)移到云平臺(tái)，因?yàn)樗麄兿Ｍ诋a(chǎn)品開發(fā)生命周期的早期“左移”網(wǎng)絡(luò)安全，以獲得更好、更可擴(kuò)展的軟件開發(fā)方法?，F(xiàn)在，云計(jì)算提供商已經(jīng)消除了構(gòu)建和維護(hù)數(shù)據(jù)中心的繁重工作，并投資于開發(fā)安全硬件，云計(jì)算的強(qiáng)大功能和靈活性使企業(yè)能夠在不可變和短暫的環(huán)境中運(yùn)營。

這是一個(gè)明顯的業(yè)務(wù)推動(dòng)者：它使開發(fā)人員能夠快速移動(dòng)并構(gòu)建安全性。這意味著只要敲擊鍵盤或移動(dòng)鼠標(biāo)，財(cái)富100強(qiáng)企業(yè)和小型創(chuàng)業(yè)公司現(xiàn)在都有能力采用基礎(chǔ)設(shè)施即代碼（IaC），利用模板（包括安全控制、許可和保護(hù)）。換句話說，現(xiàn)在他們也可以將安全視為代碼。

這些具有嵌入式安全考慮的環(huán)境是安全團(tuán)隊(duì)幫助定義和改進(jìn)“鋪就的道路”，使開發(fā)人員能夠快速運(yùn)行運(yùn)營環(huán)境。其結(jié)果是更加自動(dòng)化，更少的人工審查一次性環(huán)境，更好的構(gòu)建者體驗(yàn)和大規(guī)模的安全性。隨著云計(jì)算應(yīng)用的增加，“云計(jì)算”和“安全”將更好地交織在一起，因?yàn)樵朴?jì)算使構(gòu)建者能夠?qū)踩紤]因素納入他們的代碼和架構(gòu)決策中。

期待這能成為將安全放在首位的所有團(tuán)隊(duì)的一個(gè)例子：讓安全的事情成為容易的事情。

企業(yè)將增加投資并關(guān)注業(yè)務(wù)彈性

AWS公司企業(yè)戰(zhàn)略總監(jiān)Clarke Rodgers表示,隨著數(shù)字化轉(zhuǎn)型和云計(jì)算應(yīng)用項(xiàng)目在各行業(yè)領(lǐng)域的普及，安全和運(yùn)營彈性將受到利益相關(guān)者、股東、董事會(huì)、保險(xiǎn)公司和其他人越來越多的審查。由IT部門每年一兩次測試業(yè)務(wù)連續(xù)性計(jì)劃和程序?qū)⒉辉僮銐颉?/p>

必須開發(fā)具有彈性的、高可用性的技術(shù)架構(gòu)和支持業(yè)務(wù)流程，并檢查在最糟糕的情況下可能出現(xiàn)的問題。預(yù)算將包括“持續(xù)維護(hù)和改進(jìn)”項(xiàng)目，以確保系統(tǒng)在退役前不僅具有高性能，而且具有安全性和彈性。隨著自動(dòng)化的力量和云計(jì)算技術(shù)的規(guī)模，在沒有人為干預(yù)的情況下重建安全、有彈性的環(huán)境將不再只是一個(gè)夢想。

企業(yè)領(lǐng)導(dǎo)者將變得更加精通數(shù)字化，并增加投資，真正改變他們的經(jīng)營方式（創(chuàng)新、組織結(jié)構(gòu)、業(yè)務(wù)流程、提升/再培訓(xùn)），他們將為挑戰(zhàn)組織彈性的事件做準(zhǔn)備。企業(yè)高管和董事會(huì)將定期參加桌面/比賽日演習(xí)，回答“如果……會(huì)怎么樣?”的問題。

例如，如果遇到網(wǎng)絡(luò)安全事件（對企業(yè)或供應(yīng)商/合作伙伴），關(guān)鍵業(yè)務(wù)系統(tǒng)是否可用?遇到經(jīng)濟(jì)衰退、與天氣有關(guān)的不利影響、戰(zhàn)爭的負(fù)面影響以及其他事件將如何應(yīng)對?

通過繼續(xù)學(xué)習(xí)和轉(zhuǎn)型（數(shù)字化轉(zhuǎn)型沒有終點(diǎn)），企業(yè)將在2023年變得更安全、更有彈性。

有了專門的工具，能見度將會(huì)提高

亞馬遜公司安全數(shù)據(jù)湖總經(jīng)理Rod Wallace表示，加速的數(shù)字化轉(zhuǎn)型、遠(yuǎn)程工作、更多的物聯(lián)網(wǎng)設(shè)備、新技術(shù)以及對移動(dòng)性和訪問的需求，為安全團(tuán)隊(duì)創(chuàng)造了不斷增長的需要保護(hù)的環(huán)境。來自企業(yè)的越來越多的安全信號(hào)將產(chǎn)生越來越多的不同日志和事件數(shù)據(jù)，必須快速收集、調(diào)查和響應(yīng)這些數(shù)據(jù)，以有效地解決潛在問題。

在未來幾年，安全數(shù)據(jù)湖等專用工具的部署將不斷增加，這將使安全團(tuán)隊(duì)能夠自動(dòng)集中、輕松訪問和更有效地分析來自云計(jì)算和內(nèi)部部署來源的所有安全數(shù)據(jù)。這種更高的可見性，意味著可以主動(dòng)識(shí)別更多的潛在威脅和漏洞，以幫助預(yù)防未來的安全事件。

云安全將隨著自動(dòng)推理而增強(qiáng)

AWS公司自動(dòng)化推理副總裁和杰出科學(xué)家Byron Cook表示，自動(dòng)化推理使人們能夠在幾秒鐘甚至更快地準(zhǔn)確回答許多安全問題，否則用暴力測試可能需要大量的時(shí)間。根據(jù)預(yù)測，在可預(yù)見的未來，自動(dòng)推理工具的容量和性能將每年翻一番。這一預(yù)測基于以下三點(diǎn):

·實(shí)際上，所有的自動(dòng)化推理工具都是基于將問題轉(zhuǎn)換為數(shù)學(xué)邏輯的有效的解決方案。當(dāng)比較過去20年在相同的基準(zhǔn)和硬件上的可滿足性求解器時(shí)，可以看到它們的容量和性能以每年20%的速度增長。

·摩爾定律繼續(xù)提供額外的、每年都在增長的計(jì)算能力，以解決可以并行化和分布的問題。

·最近的科學(xué)結(jié)果為人們提供了一種新的突破性方法，可以在微處理器之間分配工作，從而提供了接近阿姆達(dá)爾定律理論極限的速度。

當(dāng)這三點(diǎn)放在一起時(shí)，計(jì)算表明年產(chǎn)能和性能有可能翻一番。這種不斷增長的能力將釋放出新的革命性的云安全工具，這在當(dāng)今是無法想象的。

安全團(tuán)隊(duì)將更加重視量子密碼技術(shù)

AWS公司密碼學(xué)高級(jí)工程師Matthew Campagna表示，2023年，企業(yè)將開始更加重視加密敏捷性。美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）預(yù)期的后量子密碼（PQC）標(biāo)準(zhǔn)化過程和《量子計(jì)算網(wǎng)絡(luò)安全準(zhǔn)備法案》的第一份規(guī)范草案將推動(dòng)IT領(lǐng)導(dǎo)者開始從經(jīng)典密碼系統(tǒng)過渡到新的后量子算法。

人們還將看到行業(yè)和政府為已知的密碼學(xué)用例制定遷移策略。例如，隨著混合密鑰建立的出現(xiàn)，經(jīng)典密鑰建立方法的使用（例如橢圓曲線Diffie-Hellman）與新的后量子密鑰封裝機(jī)制（如Kyber）的結(jié)合將被用于后量子標(biāo)準(zhǔn)的第一次迭代，以提供針對未來潛在量子對手的長期機(jī)密性。