2023年，網絡安全仍然是企業在加強數字防御任務中的重點。隨著勒索軟件攻擊持續上升，零信任模型變得更加普遍，越來越多的公司開始使用在線技術來自動化他們的運營，而這也導致大量數據存在于互聯網中，在一定程度上造成了數據的泄露和失竊，這對于小型企業、個人和大公司來說竟已經是司空見慣的事情。在2022年第一季度，有超過90%的數據泄露都是由于網絡攻擊造成的。

　　隨著越來越多的企業開始嘗試數字化轉型，企業中負責安全和風險管理的人員也隨著肩負起了更多任務和責任，這也使得集中式的網絡安全控制管理機制作用不如以前那么有效。同時，混合辦公機制以及云上的數字業務運營也給企業帶來的新的威脅。面對復雜的勒索軟件、針對軟件供應鏈的網絡攻擊以及企業某些根深蒂固的弱點暴露了應對挑戰時的技術差距和人才缺乏。

　　了解網絡安全世界的主要趨勢可以幫助企業更好地應對新出現的風險與挑戰。讓我們深入了解2023網絡安全趨勢。

　　軟件供應鏈攻擊

　　當網絡威脅參與者滲透到軟件供應商的網絡并使用惡意代碼在供應商將軟件發送給客戶之前破壞軟件時，就會發生軟件供應鏈攻擊。然后受感染的軟件會損害客戶的數據或系統，更復雜的攻擊可以利用供應商網絡的特權訪問來破壞目標網絡。最典型的軟件供應鏈攻擊便是SolarWinds事件。攻擊者使用惡意軟件修改了供應商軟件的簽名版本，然后他們利用這些惡意軟件感染了18,000家私營企業和政府機構。一旦將其安裝在目標環境中，病毒就會通過更大的攻擊媒介傳播。

　　軟件供應鏈攻擊日益普遍，Gartner將其列為2022年的第二大威脅。Gartner預測，到2025年，全球45%的組織將遭受一次或多次軟件供應鏈攻擊。為了更好地防范軟件供應鏈風險，企業需要加強代碼和構建安全，仔細排查復雜的依賴項帶來的潛在威脅，同時安全和風險管理專業人員必須與其他部門協同合作。

　　網絡釣魚

　　IT行業面臨的最常見的安全風險是網絡釣魚，到目前許多人仍然因網絡釣魚電子郵件而中招。黑客利用越來越復雜的技術來生成執行良好的商業電子郵件泄露攻擊(BEC)以及惡意URL。與此同時，攻擊者的攻擊方式也變得更加老練。他們已開始調查潛在受害者以收集信息，這些信息可以讓他們的攻擊更有針對性，同時增加網絡釣魚攻擊成功的可能性。攻擊者會嘗試使用測試電子郵件地址并查看誰會做出反應，這種方法也叫做誘餌攻擊。

　　根據Barracuda的2021年9月的一份報告顯示，在參與調研的10500公司中，有35%的受訪者表示他們所在的公司遭受過至少一次誘餌攻擊，其中每封郵件平均可以到達每個企業的三個不同的郵箱。幸運的是，郵件過濾技術有了顯著改善。目前郵件服務提供商能夠過濾掉不可靠來源，并且不包含惡意負載。不過相比之下，給予員工更全面的安全意識教育也同樣重要，比如不隨意點開來路不明的郵件以及其攜帶的附件，這可以從根本避免網絡釣魚攻擊帶來的危害和損失。此外，企業還可以借助給予人工智能的防御來避免網絡釣魚攻擊，人工智能可以通過從各來源收集的信息，包括通信圖，信譽系統和網絡分析，以防御網絡釣魚攻擊。

　　網絡安全網格架構

　　無論企業資產是在現場、數據中心還是云上，企業都可以使用一種現代安全架構概念方法，也就是網絡安全網格方法，來部署和集成安全性。通過實施網絡安全網格架構，企業可以在未來幾年內將單個安全事件的成本效益平均降低90%。隨著越來越多的企業將其活動轉移到云基礎設施和多云環境，這一概念將變得更加重要。

　　網絡安全網格在結構上由多個安全控制層組成，這些安全控制層相互協作，保護公司免受各種危險，包括惡意軟件、病毒、網絡釣魚攻擊等。從理論上講，網格可以提供更好的IT安全性和網絡威脅保護，其安全保護級別更高。通常網絡安全網格是通過結合多種不同技術構建的，包括本地防火墻、基于云的安全服務和外部管理的安全服務提供商。這些解決方案可以相互結合使用，以涵蓋組織的各個方面。與傳統的單點解決方案相比，其目標是實現對整個網絡流量的持續可見性，從而提供卓越的保護。

　　隨著企業的數字化轉型，越來越多的工作量壓到了首席信息安全官（CISO）身上，而領先的企業已經開始或已經創建CISO辦公室來嘗試分散執行安全決策，但有時CISO和集中的職能部門仍可能負責制定政策。不過需要明確的是，大多數數據泄露的根源來自人為錯誤，這證明傳統的安全意識培訓方法仍然不足。在有了合理的預算情況下，現代企業必須擺脫老式的基于合規意識的努力，轉而采取全面的行為和安全文化變革舉措，鼓勵更安全的工作方式和實踐。