2023年即将接近尾声,现在又到了要回顾过去一年安全领域的发展情况并对技术、身份和数字信任的未来做出一些大胆预测的时候了。
2023年,人工智能(AI)一直是新闻热点,最近的一项调查显示,81%的受访者对ChatGPT和生成式AI相关的安全风险表示担忧。因此不足为奇的是,AI将推动下一年度的安全趋势,并与量子计算一起成为最有可能改变网络安全策略的两个热点问题。
还有哪些趋势在影响2024年的情况?包括Avesta Hojjati、Dean Coclin、Lorie Groth、Brian Trzupek和Tim Hollebeek在内的DigiCert网络安全专家团队对明年的情况进行了展望。
Ponemon Institute最近的一项调查显示,尽管“先窃取、后解密(harvest now, decrypt later)”网络攻击的风险让大多数IT负责人感到担忧,然而许多企业高管仍然没有意识到量子计算的影响。此调查还显示,大多数企业在后量子加密(PQC)的权责、预算和策略方面缺乏清晰度。进行积极有效的沟通是其中的关键。
在2024年,PQC教育和规划活动将加速企业对这一领域的投入。我们预测企业将积极采取行动,开始围绕PQC实施策略。预计NIST将于2月发布其最终标准,这将推动各企业采取措施来思考、记录并指定其量子策略和加密敏捷性方法。其中最重要的步骤之一是改为使用证书管理平台和发现功能。
长期以来,eIDAS法规在欧盟的电子身份识别和信任服务管理方面一直发挥着重要作用。一项新的立法则更加强调合格网站身份验证证书(QWAC),要求浏览器突出、直观地显示这些证书中的信息。
我们预测,浏览器将根据法律的要求,开始对QWAC进行特殊的展示。这将改变游戏规则,因为随着商家、政府和金融机构意识到展示其身份的价值,他们会建议客户只与展示QWAC的实体进行业务往来。
欧盟的这些进展将影响全球的趋势。经过验证的身份将成为我们为内容来源和真实性提供的信任基础。企业将开始探索一次性建立数字身份的方法,而无需额外的证明检查。
我们预计,美国即将到来的选举季将把内容真实性问题放在首位。
去年,在备受瞩目的软件供应链攻击发生之后,我们预测软件物料清单(SBOM)将在2023年被广泛采用,因为此清单可提供信息与可见性。在新的一年,我们认为软件供应链(SSC)的可靠性将持续提升,并在各个交付节点进行检查。随着SBOM的广泛使用,嵌入式软件的组成将变得更加透明。
在供应链的硬件方面,我们预测某些地区所制造的硬件组件中会被嵌入更多的恶意软件。在数码相机、调制解调器和笔记本电脑微控制器等设备中置入恶意软件是恶意分子危害整个供应链的一种简单方法。制造商将开始要求供应商对芯片组和其他组件使用生而信任和安全设计的方法,以确保零日安全。
随着世界变得越来越移动化、动态化,设备安全的重要性前所未有。由于目前个人身份常常与智能手机和其他设备联系在一起,因此身份的来源必须根据每一设备和个人进行限定——所有这些都在信任之伞下得到保护。
我们预测,越来越多的设备将通过身份和操作检查来获得保护以确认真实性,使个人能够与支持日常活动的设备进行交互,并确信这些设备是防篡改的而且其信息是安全的。IoT信任水平的提高也将为特别敏感的用例开辟更多的机会,例如电动汽车充电桩与医疗设备等。
2023年,我们听到了许多关于将AI用于入侵检测和预防系统等防御解决方案的消息。然而形势将在2024年发生变化,AI将被更频繁地用于攻击面。攻击者将开始使用AI功能来收集信息,了解个人或企业的情况,以便在后续生成基于AI的攻击。凭借现有的技术,恶意分子可以利用从LinkedIn和其他线上来源收集的数据,在电话中模仿某位经理的声音,并开展重置组织密码等恶意活动。
基于搜索即时呈现网站的能力可被用于合法或有害的活动。随着AI和生成式AI搜索的不断成熟,网站将更容易被暴力接管。一旦这项技术被普及,企业可能会失去对其网站信息的控制,而由于AI能够用和传递搜索结果同样快的速度编写、构建并呈现页面,因此虚假页面的恶意内容看起来会非常真实。
正如他们在PQC领域所做的那样,领导者需要制定一项策略来对抗AI威胁,并为面向公众的网站和其他重要资产保障信任。
我们2022年度的数字信任状况报告显示,99%的企业认为失去客户的信任将意味着失去业务。越来越多的组织在思考信任在数字化转型中发挥的作用,并希望实现其安全协议的现代化,从而超越传统的网络边界并包含个人身份。这将成为业务复原能力和留住客户的基础要素。但这需要自上而下的努力,需要首席数字信任官(DTO)在高管团队中占有一席之地。
DTO负责确保企业的合作伙伴和客户能够信任企业的数字资产与能力。他们的工作重点是让企业的数字存在安全可靠,并确保将信任建立到所有的数字互动之中。DTO不仅为安全与合规带来了更具战略性的方法,而且传递了对于企业数字基础设施安全性的信心和保障。
Verified Mark Certificate(VMC)已经问世多年。它在电子邮件中的作用就如同社交媒体上的对勾标记,即提供附加的验证和安全要求,以帮助企业保护客户及其品牌免受网络钓鱼和欺诈攻击。一种新型证书将于2024年推出,使小型组织能够获得这些验证能力。与VMC要求的商标不同,标记证书只需要证明证书所有者一直在使用其徽标或标记。
这种更容易获得的方法为没有商标的中小型企业和非营利机构等组织打开了市场。这些组织现在可以在邮件客户端适当地显示自己的徽标,这将帮助客户识别出其所收到的电子邮件来自合法实体。这一巨大进步将继续推动企业和消费者广泛接受可验证的电子邮件体验。
“从不信任,永远验证”的架构将在信息技术、产品安全和消费者生态系统中普及,并取代以前为用户提供隐性信任的网络与VPN。使用以证书为中介的身份验证为应用程序和数据交互提供身份、完整性和加密的情况将继续增长。
想了解有关VMC、PQC和数字信任等话题的更多信息吗?请订阅DigiCert博客,以确保您永远不会错过任何信息。
WeChat: DigiCert 2024年度安全预测