2023年及未來六大資訊安全趨勢-人工智能、多重驗證更普遍?
新年伊始,以下為AWS資訊安全總監CJ Moses對於2023年及未來資訊安全發展方向的預測。
預測一:安全將成為企業每項工作中的重要一環
將安全融入到營運當中,使企業輕鬆兼顧業務成長與安全。
「安全」始於維持和執行一個有效的安全計畫,包括管理身份許可權、保護網絡和基礎設施、識別和應對威脅、資料保護及合規證明。雲端運算將這些任務自動化,例如:日誌記錄、監控、審計、修補以及整合現有工具集等。
預測二:多元化將有助於解決安全人才缺口
截至2021年,全球約有419萬名資安從業人員,但目前仍缺乏272萬的相關人才。填補安全人力缺口是改善各地資訊安全狀況的關鍵。企業可以優先考慮具有多元背景的應徵者以縮窄安全專業人才的缺口,例如透過提倡多元、平等和共融(Diversity, Equity, and Inclusion,DE&I),重新評估企業的招聘標準。
值得留意的是,近半數安全專業人員的相關技能與經驗是在IT行業以外培養的。若企業根據工作態度和能力招聘員工並進一步培訓其技能,企業將更容易取得成功。此外,為取得大學教育和安全認證所付出的高昂費用,是不同背景的人難以進入IT產業的門檻之一,因此企業不應只局限於特定的技術學位和認證,而是嘗試招聘不同領域的人才。
擁有多元背景的安全人員將為這個行業注入更獨到的安全思維,這將帶來更強大的防禦性。例如英國有些機構正積極雇用具有多樣性思維且善於觀察數據規律的員工。
預測三:人工智能與機器學習支援的自動化帶來更強的安全性
人工智能(Artificial Intelligence,AI)與機器學習(Machine Learning,ML)有助優化開發人員的工作流程、協助創建更可靠的程式碼、持續改善安全性,為雲端安全自動化的關鍵。
人工智能與機器學習的預測能力可以提供客戶在面對不斷變化的威脅環境時建立更主動的安全情勢。近年隨著在家辦公和混合辦公模式興起,人們在不同網絡上的工作型態改變,更多的網絡威脅也因應而生,例如黑客會利用勒索軟件、網絡釣魚和社交網絡攻擊等方式勒索企業資產。
人工智能和機器學習驅動的安全創新幫助解決資訊安全業界面臨的挑戰,例如安全營運中心(Security Operation Center,SOC)分析師的工作量,讓安全架構師有更多時間進行威脅建模,而不必驗證應用程式是否關閉防火牆,或是伺服器是否已修補漏洞。目前我們只觸及到雲端安全領域AI/ML的皮毛。隨著雲端運算呈現指數級成長,安全需求也將隨之快速增長,並進一步驅動自動化和智能主導的安全需求。
預測四:加大對數據保護的投資
根據思科2019年的調查發現,近半數(47%)受訪者認為,遵守GDPR的公司更值得信賴。隨著數據保護領域越趨成熟,大眾對數據保護法的需求不斷成長,政府透過立法以回應日趨成長的需求。根據Gartner的預測,到2024年底全球75%的個人資料將受到法規保護。
在接下來的幾年裡也將看到企業加大對數據保護的投資。根據Gartner預測,到2024年大型企業的平均年度數據私隱預算將超過250萬美元。部分投資將用於評估數據風險、執行持續管理、資源管理任務,以及開發工具在內的數據保護計畫,在維持業務穩定營運的同時降低數據風險。
預測五:更先進的多重要素驗證將更加普遍
未來採用生物識別和多模式身份驗證的形式將更加普遍,例如多重要素驗證(Multi-factor authentication,MFA)將安全性和可用性互相結合,確保用戶在改善安全狀況的同時獲得流暢體驗。
MFA是最簡單且最重要的安全保護方式之一,使攻擊者難以在密碼洩露於網絡或員工受到社交網絡攻擊時獲取帳戶資訊。密碼的安全係數較低且容易洩露,而MFA能加強帳戶的安全性,在密碼防護之外,加設額外的驗證因素(例如生物特徵識別等使用者的既有資訊)。
全球各地政府與知名企業對安全的日益重視趨使MFA的使用日漸廣泛。如FIDO(Fast IDentity Online)聯盟、美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)和美國政府等組織正在推動MFA作為線上保護的基礎。
預測六:量子運算將有利於提高安全性
目前量子運算尚未成為大眾的關注焦點,但它正在逐步演進,量子安全也以加密技術的形式隨之推進。有些研究顯示,量子運算有朝一日將變得更加普遍且實用,雖然目前尚不清楚確切的時間點,但預計會削弱部分的加密技術,包括我們用於HTTPS和TLS等資料傳輸安全協定的加密演算法。
業界目前正在研究量子安全與後量子加密技術,其中不同的演算法和不同的金鑰大小提供了與現今相同的安全級別,甚至可以匹敵量子電腦。隨著加密演算法和協定不斷演進,未來設備的連接方式也將發生轉變,我們的手機、筆記型電腦和伺服器將採用量子運算這項新技術,以確保通訊私隱。