Besin oor 2023 kuberveiligheidstendensvoorspellings: 'n Jaar in oorsig

Verlede jaar het ons voorspellings gemaak oor die kuberveiligheidstendense wat 2023 sal definieer. Nou, met die jaar wat verby is, is dit tyd om terug te kyk na daardie voorspellings en te sien waar ons reg was en waar ons dalk die punt gemis het.

Wat baie duidelik is, is dat hoewel sommige tendense waar was, ander onverwagte wendings geneem het. Ons voorspelling dat voorsieningskettingaanvalle sou voortduur, was veral waar, soos beduidende voorvalle by Capita, die Britse polisiemag en 3CX gedemonstreer. Soos verwag, het die opkoms van IoT-toestelle en die regulering van hierdie toestelle ook verskerp.

Sommige neigings, soos die strewe na globale harmonisering van dataregulasies, het egter nie so vinnig gevorder as wat voorspel is nie. En wagwoordlose verifikasie, terwyl dit stoom kry, moet nog wagwoorde volledig vervang.

Hierdie blogpos sal elke neiging wat ons voorspel weer ondersoek en ontleed waar sake vandag staan. Deur ons treffers en mis te hersien, beoog ons om 'n eerlike beoordeling te gee van die kuberveiligheidstendense wat nou saak maak en organisasies toe te rus met die insigte wat nodig is om voor te berei vir die volgende jaar wat voorlê.

Tendens 1: 'n Privaatheid-eerste benadering tot inligtingsekuriteit

Verlede jaar het ons voorspel dat 2023 'n privaatheid-eerste benadering tot kuberveiligheid sou inlui, hoofsaaklik gedryf deur die versterking van dataprivaatheidsregulasies wêreldwyd. Hierdie voorspelling was akkuraat, aangesien privaatheid 'n sentrale oorweging vir beleidmakers en tegnologieleiers geword het.

Groot platforms soos Google het inderdaad na privaatheidgesentreerde modelle verskuif - die afskaffing van derdepartykoekies in Chrome en die bekendstelling van die Privacy Sandbox-inisiatief gebruikers privaatheid beklemtoon. Alhoewel onvolmaak, verteenwoordig hierdie veranderinge 'n seismiese verskuiwing vir die advertensietegnologie-industrie. Apple het op dieselfde manier sy privaatheidsdruk uitgebrei met verdere opgraderings aan sy Deursigtigheid van toepassing dop.

Die groeiende lappieskombers van dataprivaatheidswette het organisasies ook gedwing om privaatheid te prioritiseer. 

Europa

BBP bly die maatstaf vir digitale regte. 

Selfs jurisdiksies sonder spesifieke wette het druk gevoel om by GDPR aan te pas om datavloei moontlik te maak, met aansienlike moeite en tyd wat spandeer word om databrûe te skep om data oor geografiese grense heen oor te dra. 

Verenigde State

Kalifornië het die klag gelei met 'n gewysigde Wet op Verbruikersprivaatheid wat in 2023 in werking tree. Ander state, insluitend Virginia, Colorado, Utah en Connecticut, het ook hul eie privaatheidswette ingestel. 

Op federale vlak, Kongreswetsontwerpe soos die Data Care Act en Online Privacy Act 'n breër druk aandui om 'n nasionale privaatheidsraamwerk daar te stel.

APAC

In China is meer gedetailleerde inhoud stap vir stap hieronder uitgerol die Wet op die Beskerming van Persoonlike Inligting (PIPL) met 'n fokus op uitvoersekuriteitbeoordelingsprosedures en Standaard Kontraktuele Klousules (SCC's) vir data-uitvoere. en Indië se voorgestelde wet op die beskerming van digitale persoonlike data het die naald in Asië verskuif. Terwyl hy in Australië was, het die regering beplan om die Privaatheidswet op te knap, met verskeie veranderinge wat voorgestel is om dit te moderniseer en meer relevant te maak in die digitale era

Hierdie uitbreiding van privaatheidswetgewing wêreldwyd het voldoening meer kompleks gemaak, maar het privaatheid-eerste inligtingsekuriteit versterk.

Ons voorspelling oor privaatheidraamwerke was ook waar. Aanneming van standaarde soos ISO 27001 en ISO 27701 het versnel namate organisasies probeer het om hul privaatheidprogramme te sistematiseer. Hierdie raamwerke bied nuttige padkaarte vir die instelling van beheermaatreëls vir databeskerming en die formalisering van privaatheidsbestuur.

Terwyl vordering gemaak is, is die privaatheidlandskap steeds besig om te ontwikkel. Sommige wette soos PIPL, terwyl dit in plek is, ontwikkel stadig, en baie maatskappye het nog nie volwasse privaatheidsprogramme nie. Die groei van privaatheidsregulasies en toenemende gebruikersverwagtinge rondom datasekuriteit het privaatheid egter stewig gevestig as 'n vernaamste bekommernis vir kuberveiligheid en sakeleiers - diegene wat dit nie in 2024 prioritiseer nie, loop die risiko om agter eweknieë, reguleerders en verbruikers te raak. 'n Privaatheid-eerste-benadering is nie meer opsioneel nie, maar fundamenteel vir vertroue en sukses in die digitale ekonomie.

Tendens 2: Wêreldwye harmonisering van inligting, privaatheid en dataregulering

Verlede jaar het ons 'n groeiende momentum verwag om privaatheid en dataregulasies oor grense heen te harmoniseer. Die bedoeling was om nakoming te stroomlyn vir maatskappye wat wêreldwyd werksaam is en interoperabiliteit te verbeter. Die kompleksiteit van die versoening van uiteenlopende wetlike raamwerke het egter beteken dat vordering op hierdie front meer gedemp was as wat verwag is.

Sommige voorlopige stappe is geneem om regulasies internasionaal in lyn te bring. Inisiatiewe soos die EU-VS Data Privaatheidsraamwerk gefokus om transatlantiese datavloei deur gedeelde standaarde moontlik te maak. APEC het voortgegaan met die ontwikkeling van sy oorgrens-privaatheidsreëlsstelsel om Asië-Stille Oseaan-jurisdiksies te oorbrug. Daar bly egter aansienlike gapings tussen groot privaatheidsregimes.

Die Europese Unie se GDPR bly die mees uitgebreide wetgewing oor databeskerming wêreldwyd. Pogings om ander jurisdiksies te beïnvloed tot GDPR-belyning het gemengde resultate behaal. Wette soos Brasilië se LGPD het leidrade van GDPR geneem, maar ander streke het gekies vir pasgemaakte regulasies. En lande soos Indië en China het internetsoewereiniteitswette ingestel wat groter digitale beheer bevestig.

Uiteenlopende nasionale belange bied 'n deurslaggewende uitdaging vir harmonisering. Regerings beskou privaatheidswette dikwels as die handhawing van soewereiniteit en die beperking van invloed van buite. Dit maak konvergensie rondom 'n standaard stel reëls polities moeilik. Mededingende prioriteite rondom privaatheid versus ekonomiese groei belemmer ook konsensus.

Alhoewel aansienlike wêreldwye harmonisering ontwykend bly, kan organisasies steeds voorberei vir hierdie komplekse landskap. Deur erkende internasionale standaarde en raamwerke te volg, help dit om basislynnakoming oor jurisdiksies heen te verseker. Belegging in aanpasbare databestuursprogramme maak dit moontlik om by nuwe vereistes aan te pas. En die monitering van wetlike ontwikkelings oor teikenmarkte heen is noodsaaklik om voor te bly met die ontwikkelende regime.

Alhoewel die pad na harmonisering lank is, kan belyning op kerndatabeskermingsbeginsels mettertyd ontwikkel. Maar die bestuur van voldoening oor uiteenlopende regulasies sal waarskynlik in 2024 die werklikheid bly.

Tendens 3: 'n Wagwoordlose toekoms wat voorlê

Verlede jaar het ons voorspel dat 2023 groter aanvaarding van wagwoordlose verifikasie sou sien, aangesien maatskappye probeer het om sekuriteit en gebruikerservaring te verbeter. Hierdie tendens het grootliks afgespeel soos verwag is.

Groot tegnologiefirmas het gehelp om die wagwoordlose toekoms te versnel deur hoëprofiel-implementerings. Microsoft het wagwoordlose aanmelding vir kommersiële Azure Active Directory-gebruikers aangekondig, gebruik te maak van FIDO-standaarde vir multi-faktor-verifikasie. Apple het wagwoordsleutels in iOS 16 en macOS Ventura ontplooi as 'n veilige alternatief vir wagwoorde. Google, Facebook en ander het ook wagwoordlose ontplooiings uitgebrei.

Verbruikersreaksie was grootliks positief, aangesien wagwoordlose stelsels die wrywing van die memorisering van geloofsbriewe verwyder. Vir breër besigheidsaanneming word hierdie stelsels egter dikwels gepaard met verskerpte identiteitsverifikasievereistes wat sekuriteit en bruikbaarheid balanseer.

Ons voorspelling oor die integrasie van wagwoordlose verifikasie met nul vertroue argitektuur en identiteit toegang bestuur waar gehou het. Aangesien organisasies probeer om gebruikersidentiteite oor netwerke, toestelle en omgewings te bekragtig, help nul vertroue-beginsels om toegang te beskerm. Gereedskap soos enkelaanmelding en aanpasbare multifaktor-verifikasie help om aanmeldings te bestuur terwyl dit hergebruik van geloofsbriewe voorkom.

Wagwoorde bly egter in baie stelsels. Verouderde toepassings en dienste wat nie moderne verifikasievermoëns het nie, stel hindernisse in om heeltemal wagwoordloos te word. En die koste van die opknapping van erfenis-infrastruktuur kan aanvaarding vertraag. Dus, terwyl die momentum na wagwoordloos voortduur, is die dood van die wagwoord dalk nog nie heeltemal hier nie.

In die jaar wat voorlê, verwag ons verdere integrasie van wagwoordlose stelsels met gelaagde identiteitsbestuurbeskerming. Organisasies wat bekommerd is oor uitvissingrisiko's kan eers wagwoordlose ontplooiings in laerisiko-areas loods. En gebruikersopvoeding sal noodsaaklik wees, aangesien wagwoordloos 'n verskuiwing in dekades-oue aanmeldgedrag verteenwoordig. Maar oordeelkundig gebruik, wagwoordlose en geen vertrouestrategieë kan identiteitsbestuur na die volgende vlak neem.

Tendens 4: Die voorsieningskettingprobleem duur voort

Verlede jaar het ons voorspel dat die verskaffingsketting-kuberaanvalle sal toeneem namate bedreigingsakteurs nuwe infiltrasiepunte gesoek het. Ongelukkig het hierdie voorspelling ten volle gerealiseer, met beduidende voorvalle wat die voorsieningsketting se voortgesette kwesbaarheid demonstreer.

Verskeie hoëprofielmaatskappye het in 2023 die slagoffers geword van gesofistikeerde voorsieningskettingaanvalle, insluitend BA, Boots en die BBC, wat oortree is deur hul betaalstaatmaatskappye se gebruik van 'n lêeroordraginstrument genaamd MOVEit. Die tegnologiereus Okta het ook 'n oortreding van meer as 5,000 XNUMX werknemers se data deur 'n derdeparty-gesondheidsorgverskaffer gely. En ransomware-bendes het toenemend bestuurde diensverskaffers geteiken om toegang tot hul kliënte stroomaf te kry.

Hierdie voorvalle beklemtoon die risiko's van swak skakels wat misgekyk word en vennote wat te veel vertrou. In reaksie hierop het besighede verdubbel op verskaffingsketting-kuberstrategieë, en raamwerke soos ISO 27001 en NIST aangeneem om omvattende inligtingsekuriteitskontroles en -prosesse te vestig wat rekening hou met derdeparty-interaksies; dit sluit die implementering van gereelde sekuriteitsoorsigte vir verskaffers in, prioritisering van wolksekuriteit om verskafferomgewings toe te sluit, en druk op bestuurde diensverskaffers om kubergereedheid aan kliënte te demonstreer.

Alhoewel dit positiewe stappe is, bly voorsieningskettingsekuriteit 'n werk aan die gang vir baie organisasies. Kultuurverskuiwings neem tyd, aangesien diepgewortelde vertroue tussen vennote nie oornag afgetakel kan word nie. Maar bedreigings sal voortgaan om te ontwikkel, wat beteken dat voorsieningskettingwaaksaamheid nie kan afneem nie.

As ons vorentoe kyk, verwag ons dat programme vir derdepartyrisikobestuur (TPRM) alomteenwoordig oor bedrywe heen sal word. Kuberveiligheid sal toenemend by verkrygingsbesluite inskakel. En toesig oor verkopers sal verskerp deur oudits en verpligte openbaarmakings. Alhoewel die voorsieningskettingprobleem nie in 2024 sal verdwyn nie, het besighede die noodsaaklikheid hernu om hierdie aanhoudende bedreigings aan te pak.

Tendens 5: Internet of Things (IoT) Risiko Landskap

Verlede jaar het ons verwag dat die verspreiding van IoT-toestelle die aanvaloppervlak vir organisasies sou uitbrei. Hierdie voorspelling is bevestig, aangesien onversekerde IoT as 'n Achilleshiel in 2023 kubervoorvalle na vore gekom het.

Aanvallers het deurgaans kwesbare IoT-toestelle geteiken om netwerktoegang te kry. Die Log4j-kwesbaarhede in IoT-stelsels is uitgebuit om kripto-mynwerkers te ontplooi. Onbeskermde IoT-toestelle vir gesondheidsorg is gekompromitteer om pasiëntdata te steel. DDoS-aanvalle het swak beveiligde IoT-kameras en routers gebruik om slagoffers te oorweldig.

In reaksie hierop het langverwagte IoT-sekuriteitsregulasies hierdie jaar wêreldwyd aanslag gekry. Die EU se Wet op Cyber ​​Veerkragtigheid sal basislyn IoT-sekuriteitstandaarde verpligtend vanaf 2024. Die VSA, die Verenigde Koninkryk en ander volg soortgelyke reëls om IoT-kwesbaarhede te sluit. Hierdie wette het ten doel om die verspreiding van toestelle wat nie voldoen nie, te bekamp.

Aan die ondernemingskant het IT-spanne gehaas om gekoppelde bates op te stel, IoT-toestelfirmware op te dateer en verkeer oor IoT-omgewings heen te monitor. Segmentering van IoT-netwerke het gehelp om laterale beweging na infiltrasie te beperk. Maar vir baie het die onbekende en onbestuurde IoT-skaal tydige remediëring moeilik gemaak.

Terwyl reguleerders en besighede werk om risiko's aan te spreek, gaan IoT-integrasie steeds vinnig toe. Gartner voorspel dat daar teen 30 meer as 2025 miljard IoT-toestelle sal wees, teenoor 11.4 miljard in 2021. Hierdie massiewe uitbreiding van die IoT-landskap sal selfs die mees robuuste toestelsekuriteitsregimes uitdaag.

In 2024 verwag ons dat IoT-sekuriteitsbestuur 'n toegewyde fokusarea sal word. Organisasies sal IoT-sigbaarheid omhels en toegang tot nutsmiddels om te heers in die verspreiding van toestelle. En meer besighede sal kyk na platforms wat batebestuur en bedreigingsopsporing oor komplekse IoT-ekosisteme vereenvoudig. Maar om hierdie steeds groter wordende aanvalsoppervlak te beperk, sal kragtige en gekoördineerde pogings verg.

Tendens 6: Bestuur die gaping in kuberveiligheidvaardighede kreatief

Verlede jaar het ons voorspel kreatiewe benaderings sou na vore kom om die tekort aan kuberveiligheidvaardighede te help bestuur wat sekuriteitspanne beperk. 

Met kuberrolle wat chronies onderbeman was, het firmas inderdaad kreatief geraak met die verkryging van talent, werwing van aangrensende velde soos IT, voldoening en ingenieurswese om toegang tot onbenutte talentpoele te kry. Vakleerlingskapprogramme het gehelp om belangstellende kandidate te vorm wat nie direkte ervaring het nie. En die kollig op sagter vaardighede vir kuberrolle het groter aansoekerpoele aangemoedig.

Uitkontraktering het ook gegroei om prosesse te optimaliseer en interne kuberhulpbronne vry te maak. MSSP's het uitgekontrakteerde monitering en reaksie vir gespanne sekuriteitsbedryfsentrums opgeneem. Wolkverskaffers het bestuurde sekuriteitsdienste verskaf om infrastruktuurlas te verminder. En konsultante het gespesialiseerde kundigheid verskaf om kennisgapings te vul.

Uitkontraktering stel egter potensiële risiko's in, soos gesien in groot derdeparty-oortredings, indien dit nie noukeurig bestuur word nie. En maatskappye het steeds hulp nodig gehad om senior kuberveiligheidsleierskap te kry; 'n gaping wat uitkontraktering nie kon vul nie.

Op pad na 2024 sal die bestuur van kuberwerkmagte noodsaaklik bly. Opleidingsprogramme, kreatiewe werwing en beter hulpbrongebruik deur uitkontraktering sal waarskynlik uitbrei. Akute tekorte aan gevorderde kubervaardighede duur egter voort. Die bedryf se afhanklikheid van oorbelaste maar noodsaaklike sekuriteitspersoneel sal vir die afsienbare toekoms voortduur. Deurlopende kreatiwiteit en belegging sal noodsaaklik wees vir sukses.

Sleutel wegneemetes: Die pad na sterker kuberveiligheid

As 2023 maatskappye enigiets geleer het, is effektiewe inligting en kuberveiligheid nou noodsaaklik vir sakesukses. 

Sekere neigings soos aanbodkettingaanvalle en IoT-verspreiding het duidelik versnel soos voorspel. Maar ander gebiede, soos wagwoordlose aanvaarding en globale regulering, het meer geleidelik beweeg as wat verwag is. Dit alles beklemtoon dat kuberveiligheid behendigheid en waaksaamheid vereis. Selfvoldaanheid is gevaarlik wanneer dreigemente so maklik verander. 

Om voor te bly, moet organisasies tendense deurlopend monitor, nie net jaarliks ​​nie. Hulle moet opkomende oplossings versigtig loods, selfs wanneer die belofte groot is. Belegging in aanpasbare grondslae soos sekuriteitsraamwerke, risiko-gebaseerde sekuriteit en arbeidsmagontwikkeling maak dit moontlik om nuwe uitdagings die hoof te bied.

Terwyl ons uitsien na 2024, verwag meer wisselvalligheid, van geopolitieke spanning wat staatsgeborgde aanvalle aandryf tot kwantumrekenaars en KI wat nuwe tegnologiese risiko's bekendstel. Samewerking sal van kritieke belang wees, van publiek-private vennootskappe tot vennootskap met verskaffer-ekosisteme om basislynveerkragtigheid oor onderling gekoppelde voorsieningskettings te verhoog. Kuberrisiko is hier om te bly, maar ons kollektiewe pogings kan 'n meer betroubare digitale ekosisteem skep wat vordering en beskerming balanseer.