Forrester公司的分析师对2023年网络安全的5个令人震惊的预测

VSole2023-01-03 16:25:12

网络安全和风险隐私环境如今正在迅速变化。许多分析师对2023年的网络安全预测表明,企业不仅需要优化现有安全流程来对抗网络攻击者,还必须重新评估如何从整体上应对和解决网络安全问题。

调研机构Forrester公司分析师最近分享了他们对2023年网络安全的一些预测。这些预测表明,企业在如何管理风险和隐私问题方面正在发生文化方面的转变。

Forrester公司的分析师做出的一些最令人震惊的预测包括:网络安全员工因工作倦怠而变成告密者;企业高管因为监控员工而遭到解雇;以及更多的网络保险提供商进入托管检测和响应市场。

50%以上的首席风险官将直接向首席执行官报告

Forrester的高级分析师Alla Valente说,“随着企业拥抱创新和数字化战略,他们现在也面临着前所未有的变化,包括系统性风险、不断演变的监管格局、仍处于混乱状态的供应链以及客户期望的转变。

随着企业扩大其风险管理战略以包括新的风险来源,并将其重心转移到包括非金融风险,首席风险官的角色正变得至关重要,即使在非金融企业中也是如此。

但对于当今的首席风险官来说,这还不足以抵御风险的下行(即合规性和保险)。随着风险管理在企业内部得到越来越多的关注和重视,首席风险官正肩负着寻找增长机会的任务。

在这种情况下,风险管理不是开展业务的成本,而是开展更多业务的机会。这导致了报告结构的转变,更多的首席风险官直接向首席执行官报告。”

企业高管将会因为监控员工而被解雇

Forrester公司的首席分析师Heidi Shey说,“随着远程工作和在家工作选择的兴起,一些雇主正在采用对员工进行电子监控的技术。企业在实施任何监控技术,都必须优先考虑隐私权和员工体验,无论是跟踪员工的工作效率,实现重返办公室的策略,还是解决内部风险的问题。

这是一项商业计划,企业在计划和实施时必须非常小心谨慎,因为从监管和劳动力的角度来看,有很多违规或发生灾难的机会。

监控工作可能会违反GDPR等数据保护法规以及纽约州和加拿大安大略省新颁布的专门与员工监控有关的法律。2023年,我们可以期待立法者对工作场所监控问题给予更多关注,例如加利福尼亚州提出的问责法案。

我们还可能会看到更多的员工抗议以及罢工,以回应被视为雇主干涉和越权的监控措施。”

预计三家网络保险公司将收购托管检测和响应提供商

Forrester公司的副总裁兼首席分析师Jeff Pollard说,“网络保险公司将积极进军托管检测和响应领域,他们认为,需要为投保的客户提供检测和响应服务,而不是客户自己实施。这将延续2022年由商业保险商Acrisure公司开创的趋势。

收购托管检测和响应提供商为保险公司提供了:

(1)关于网络攻击者活动的高价值数据,以完善承保指南;

(2)对投保者环境的无与伦比的可见性;

(3)验证证明的能力。

从保险公司购买托管检测和响应的安全领导者应该考虑保险公司将如何在承保中使用遥测技术,这很可能会对买方不利;他们是否认为保险公司会投资提供托管检测和响应等网络安全服务;他们是否认为保险公司可以帮助他们阻止正在遭遇的主动攻击。”

企业将起诉攻击性安全工具提供商导致的违规行为

Forrester公司的高级分析师Allie Mellen说,“安全专业人员和网络攻击者如今都在使用Cobalt Strike、Metasploit、Mimikatz等攻击工具包。一些安全服务提供商共享披露信息或包括销售尽职调查流程,以确保客户不会使用该技术对他人进行攻击和伤害。

随着这样的工具越来越多,企业和政府将向提供商施压,以确保这些工具不会落入坏人之手,这将影响这些工具的创建和共享方式。

在2023年可能会发生针对提供商的诉讼,这可能会为其他软件产品建立一个滥用的先例,特别是在第三方违规引发紧张局势的情况下。作为网络安全计划的一部分,需要确保产品作为网络安全计划一部分销售,以减轻风险。”

世界500强公司将因解雇其网络安全人员而被曝光

Forrester公司的副总裁兼首席分析师Jinan Budge说,“网络防御的薄弱环节有可能影响社会的整体水平。处于网络防御核心的安全团队人手不足,疲惫不堪。2022年的一项研究发现,66%的安全团队成员表示在工作中承受着巨大的压力,64%的安全团队成员表示心理健康受到了工作压力的影响。

在网络安全事件发生后的第一周,那些每天工作超过12小时的应急人员也有类似的表现。职业倦怠远远超出了心理健康的范畴,会导致减员、健康风险甚至死亡。

在一项重要的国家基础设施研究中,57%的安全主管将职业倦怠列为离开该行业的首要原因。此外,世界卫生组织的一项研究表明,每周工作55小时的员工患中风的风险要高35%。例如2022年,澳大利亚等国出现了科技员工因工作过度疲劳而死亡的案例。

在2023年,安全员工可能会举报不安全的工作条件。企业需要评估和解决导致网络安全人员职业倦怠的因素,提供身心健康的工作环境,并为安全团队提供完成工作所需的工具、流程和预算。”

网络安全保险公司
本作品采用《CC 协议》,转载必须注明作者和本文链接
到 2022 年,网络安全将继续成为企业领导者的严重关切。勒索软件以及恶意和意外威胁,再加上日益严格的数据法规,使公司有责任加强安全和数据使用预防措施。在这里,数据安全领导者分享了他们对未来数据新危险和阻碍它们的机会的看法。
根据网络安全保险公司Coalition最新发布的网络威胁指数报告,预计2023年平均每月将有1900个危险漏洞披露,比2022年增长13%,其中高危漏洞270个、严重高危漏洞155个。报告称,这是因为Redis易于使用和扩展。CESS系统的核心是能够为安全研究人员提供两个关键信息:漏洞利用的可用性和漏洞利用的可能性。
美国财政部宣布对加密货币交易所Suex实施制裁,称该交易所与八种勒索软件背后的黑客有业务往来。
保证企业APP平台的稳定和安全越来越受到企业的重视和关注
网络攻击泛在化、复杂化、常态化形势下,网络安全保险行业发展迎来风口,可以预见未来会有更多的保险机构进入到这一新兴市场。
勒索软件攻击勒索软件攻击在讨论网络安全和保险行业时占据中心位置。该公司正在面临违反法规的诉讼和罚款。攻击者要求 CNA Financial 支付 4000 万美元的赎金以恢复网络控制权。他们还摧毁并禁用备份,因此 CNA Financial 可能无法立即采取措施进行控制。
随着勒索软件、网络钓鱼和拒绝服务攻击的频率和严重程度的增加,网络保险的需求也在增加。
联盟标准 | T/CCIA 001-2022《面向网络安全保险的风险评估指引》发布
毕竟,遭遇网络安全事件基本上是大概率事件了。公司还可以转嫁第三方保险,第三方保险可以在客户、供应商或合作伙伴起诉公司放任数据泄露发生时保护公司。网络安全事件很容易造成巨大的收入损失。损失知识产权和损害公司品牌声誉的事也有可能发生。向销售保险的科技公司购买保险对小企业而言可能更好一些。但此类保险科技公司的客户仍面临着不断改善自身网络安全状况才能继续投保的压力。
根据 Huntsman Security 的数据,到 2023 年,无法负担网络安全保险、被拒绝承保或面临重大承保限制的企业数量将翻一番。为了弥合这种可及性的差距,保险公司正在寻求提高风险信息的质量,以便保费更好地反映该风险的真实成本。基于以上,不断变化的市场买卖双方对网络安全的需求无疑将推动保险市场不断进行调整。
VSole
网络安全专家