2023年即将过去，2024年即将到来，现在是时候看看分析师和行业思想领袖最关心的网络安全趋势和预测。

在过去的一年里，勒索软件攻击不断涌现，其中很多攻击演变成双重和三倍的勒索行为。随着生成式人工智能的推出，人工智能和机器学习也成为焦点，而同时攻击者也开始研究如何恶意利用这些技术。

以下是 2024 年需要注意的9个网络安全预测和趋势，尽管不一定全部会实现。

1. 勒索攻击中零日漏洞增加

攻击者将更频繁地使用零日漏洞来攻击多个组织，赛门铁克的首席情报分析师Dick O’Brien说，赛门铁克是企业技术供应商Broadcom的一部分。正如 MoveIt Transfer 攻击所证明的那样，恶意软件组织可以使用单个漏洞来攻击使用受影响工具或技术的多个组织。

O’Brien 称：“这非常有效，因为一次攻击或活动就会有多个受害者。这种攻击发生在TTP（战术、技术以及过程）成为常识之前。”

然而，发现零日漏洞并不容易。O’Brien说，恶意行为者需要雄厚的财力或专业技能来完成这些攻击，这可能会限制它们的广泛程度。恶意软件组织可能会选择在开展自己的活动之前观看和观察其他人的成功。

2. 生成式人工智能影响电子邮件安全

在2023年，生成式AI主导科技行业，因此如果不从威胁的角度研究它对企业的影响，任何趋势列表都是不完整的。虽然攻击者已经使用生成式人工智能来改进网络钓鱼电子邮件并减少拼写和语法错误的可能性，但他们将通过使用大型语言模型来冒充高级决策者和公开可见的高管，从而进一步将生成式人工智能集成到他们的社会工程活动中。

网络安全供应商Vectra AI的首席技术官Oliver Tavakoli说：“人们在LinkedIn或Twitter上非常活跃，他们在那里产生大量信息和帖子。很容易将所有这些数据转储到ChatGPT之类的东西中，并让它使用这个特定人的风格来写一些东西。攻击者可以向员工发送一封声称来自首席执行官、首席财务官或类似角色的电子邮件。毕竟收到一封看起来像是来自老板的电子邮件，肯定比一封赠送亚马逊礼品卡的一般电子邮件要真实得多。”

为了应对这种社会工程攻击，Tavakoli 建议企业进行员工意识培训，定期确定其整体安全态势，并确保其下游安全措施能够应对员工遭受网络钓鱼攻击。

他表示：“你不想过度依赖任何一种特定的防御机制。”

3. 广泛采用无密码

人们已经说了很多年，但 2024 年可能最终是无密码在企业中腾飞的一年。

身份和访问管理（IAM）供应商AuthenticID的创始人兼总裁Blair Cohen说：“在新的一年里，我们将真正实现无密码，生物识别技术是制胜法宝。”

他说，生物识别技术作为常见的身份验证选项很有意义，因为人们多年来一直在消费设备上使用指纹和面部扫描。这种身份验证方式可以更好地抵御攻击和欺诈，优于短信或电子邮件一次性密码或其他方法。

然而，目前还无法确定哪个行业标准会胜出。Cohen说，FIDO2是一个竞争者，但不是赢家。他指出：“我很欣赏FIDO2，并认为它非常适合日常消费者使用，但我不认为 FIDO2 会成为企业、大型银行等的选择。因为有太多漏洞。”他特别强调它针对第一方欺诈的漏洞。

TechTarget旗下Enterprise Strategy Group的分析师Jack Poller不同意这种说法。Poller说，FIDO2将在消费者市场上获胜，因为很多企业组织（例如谷歌、亚马逊和苹果）目前都支持它，并且因为它具有阻止网络钓鱼功能。

4. CSO、CISO和CEO更紧密地合作

持续的经济不确定性导致预算收紧。安全供应商Ontic的首席战略官Chuck Randolph和威胁管理执行董事Marisa Randazzo表示，到2024年，首席执行官可能会与CSO和CISO更紧密地合作，以确定在安全方面最好地将预算花在哪些方面。他们补充说，这要求 CSO 和 CISO 确定其组织存在的风险在哪里，以及如何确保办公室和远程数据和员工的安全。

Randolph 说：“如果我是管理层，我会考虑风险优先级、预算优化和积极投资于安全性，无论是物理还是数字。”他建议，企业应该进行风险评估，并确保利益相关者在安全预算中拥有发言权。

Randolph 和 Randazzo 表示，IT 安全与物理或企业安全之间可能会有融合，例如识别和监控潜在的内部威胁和心怀不满的员工。他们补充说，CISO可以就IT安全提供意见，而CSO则考虑工作场所暴力问题。

5. 身份验证将得到更广泛的部署

预计到 2024 年，我们将看到更多企业采用身份验证，以验证员工、合作伙伴和客户在注册账号期间的身份，尤其是随着AI的进步。

ESG的Poller说称：“如果我以前从未见过你，即使你出现在Zoom上，我怎么知道这真的是你，而不是一个可以访问你电脑的冒名顶替者？从企业的角度来看，我如何根据政府文件正确验证你的身份？”

企业将越来越多地使用身份验证来加入和保护帐户访问或重置请求。该技术还可以将员工的照片和信息与政府文件进行比较，并提供活体检测，以确保某人没有使用人工智能生成的图像或视频。

6. 更多部署主动安全工具和技术

分析公司 Omdia 研究和内容高级总监 Maxine Holt 表示，到 2024 年，企业应该在主动安全工具和技术上投入更多资金，以更好地检测漏洞和安全漏洞。她说，通过主动安全，企业可以了解如何将预算最好地用于特定用例。

Holt 建议组织研究主动安全技术，以决定哪种技术对他们最有帮助。她说要考虑以下几点：

• 基于风险的漏洞管理。
• 攻击面管理，包括网络资产 ASM 和外部面 ASM。
• 适用于应用程序、云和数据的安全态势工具。
• 攻击路径管理和安全控制验证，包括渗透测试、红队测试以及漏洞和攻击模拟。

7. 对连接和嵌入式设备的更多规定

物联网的部署持续强劲，而嵌入式设备依然缺乏适当的安全措施。到 2024 年，我们可能会看到更多的监管审查，特别是随着人工智能威胁的增长和恶意行为者寻找额外的攻击媒介。

咨询公司Deloitte美国产品安全负责人Veronica Lim表示：“随着政府和监管机构制定更全面的框架，以应对互联设备的使用和开发增加，以及攻击者日益复杂的问题，联网设备的监管前景将继续演变。我们将看到组织更紧密地遵守网络安全设计标准。”

企业将如何应对日益增加的法规还有待观察。Lim 解释说，企业在艰难地进行补丁管理，这为攻击者提供了机会。她指出：“联网设备经常成为攻击者的目标，因为它们通常包含过时和易受攻击的软件。”

8. 第三方安全斗争仍在继续

破坏第三方（例如供应商或合作伙伴组织）可以为攻击者带来更有利可图的结果。第三方有自己的安全策略和基础设施，但这些策略和基础设施可能无法与客户相提并论，从而为攻击者提供机会。

密码管理器供应商LastPass的威胁情报主管Alex Cox说：“攻击者非常善于识别这些第三方，帮助他们绕过大型组织（例如银行）的大型安全机构。一家大银行在安全方面花费了大量资金，但他们使用的供应商却没有。如果你能接触到那个供应商，就能让你接触到一堆其他公司。”

对于担心第三方安全性的企业来说，这里没有简单的答案。Cox表示，虽然很难确保第三方的安全性，但企业应该考虑创建安全清单-让他们的供应商必须遵循，或者在与任何其他供应商开展业务之前要求供应商进行第三方安全评估。

9. 供应商可能会影响网络保险政策

企业会获得网络保险单以减轻勒索软件攻击的后果。与此同时，网络保险公司正在调整承保程序。某些供应商可能被视为危险信号，并影响企业在 2024 年购买保险的资格。例如，如果企业使用保险公司认为有风险的供应商，例如提供 MoveIt Transfer 应用程序的 Progress Software，则保险公司可能会增加保费或拒绝承保。

咨询公司Forrester的分析师Jess Burn说：“当涉及到安全态势和技术供应商时，将会有更多的审查。产品安全将成为保险公司更多地参与的事情。他们会问企业谁提供产品，而不仅仅是你是否拥有它。”

她说，如果网络保险提供商希望在客户的安全状况中拥有更多发言权，企业可能不得不花时间审查其当前和潜在的供应商合作伙伴。

有些信息安全专业人士已经认为，网络保险公司在事件响应决策方面具有太大的影响力。Forrester预测，这种情况将在未来一年继续下去。