DigiCert 发布 2022 年度八大安全预测

后疫情时代和新兴技术已经造成新的潜在安全威胁。与此同时，信任和身份在业务流程中的重要性得到增强。组织应该优先考虑其安全策略。

北京，中国 --2021 年 11 月 23 日 -- 全球领先的 TLS/SSL、IoT 及其他 PKI 解决方案提供商 DigiCert, Inc 已发布其对 2022 年度网络安全形势的预测。2021 年已接近尾声，而塑造了 2020 年的许多不确定因素依然存在。由于各种形式的远程办公已成为新常态，因此伴随新冠疫情而来的网络安全挑战仍然持续存在。而且自始至终，威胁格局在不断发展变化，其原因是云计算和其他领域的创新形成了新的威胁，而其中一些威胁发生在令人意想不到的领域。

包括 Jeremy Rowley、Avesta Hojjati、Mike Nelson、Jason Sabin、Dean Coclin、Stephen Davidson、Tim Hollebeek 和 Brian Trzupek 在内的 DigiCert 网络安全专家一致强调了企业需要持续关注的新兴网络安全威胁和趋势。以下是他们对 2022 年的八大安全预测。

预测 1：供应链、勒索软件和网络恐怖主义攻击将继续升级

2021 年，SolarWinds 及 Colonial Pipeline 等重大攻击事件成为了热门新闻。一些可能在 2021 年蓬勃发展的威胁包括：

供应链将变得更复杂、更脆弱。SolarWinds 就是利用了软件更新时的疏漏，而软件在 DevOps 模式下确保安全并不容易。这是因为大多数工作流程都旨在快速推出交付成果，而未在设计阶段考虑安全性。随着设备的开发流程和供应链变得越来越复杂，攻击面只会越来越大。好消息是代码签名等最佳实践可以帮助公司将安全性融入开发流程的每个阶段，完全控制开发流程中的代码一致性。开发到面对客户的每一步检查代码与威胁感知，防止签名后的篡改。建立软件的物料清单（SWBOM）使软件应用的所有构件代码可视化。

网络恐怖行动助力了坏人。网络恐怖行动在 Colonial Pipeline 和 Oldsmar 水处理厂的攻击，展示了对基础设施的破坏潜力。佛罗里达的事故可以产生严重的后续影响，攻击者蓄意毒化城市的供水系统。新的攻击可能不断出现，如高科技的私人航天和选举活动都可以成为目标，这仅限于攻击者的想象。易于被攻击的各类组织需要在零信任模式安全策略下大力气。

勒索软件的攻击范围将继续扩大。勒索软件攻击在 2021 年影响了多个行业，包括医疗机构、技术公司、汽车制造商甚至 NBA。我们预测勒索软件攻击将继续升级，尤其是随着加密货币的使用范围扩大，并且更加难以在银行系统之外追踪赎金支付。

预测 2：信任和身份将在业务流程中得到加强

多年来，各行各业的公司都在拥抱数字化转型，而且这一趋势正在加速。随着复杂技术更深入地融入各组织最关键的流程，我们预测数字签名的使用将会增加 -- 并将需要更高水平的信任和身份。

数字签名的角色正在增加。我们预测更多的工作流程将与数字签名相关联。随着数字签名日益被广泛接受，错误使用等风险也在增加，并可能导致巨大的损失。新冠疫情的影响促使欧盟更新 eIDAS 法规，更强调由认证信任服务商 QTSP 提供远程身份验证服务。政府颁发的电子护照可跨境使用，并更多地处于政府的控制力之下。

身份和信任为物联网等提供支持。对于物联网等数据驱动型用例，信任比以往任何时候都更加重要。随着 5G 技术的加速采用，尤其是在中国，我们将看到物联网与 5G 应用的日益融合 -- 而这可能会招致更多的攻击。PKI 仍然是一种可靠的、经过验证的方法，能确保对物联网环境的信任。

预测 3：后疫情威胁将持续存在并不断发展变化

去年的预测包括与新冠疫情直接相关的各类安全威胁。由于疫情好转速度缓慢，因此我们预测这些威胁将继续存在。我们看到机场、零售环境、餐厅和其他公共场所越来越多地使用非接触式技术 -- 所有这些都容易遭受网络攻击。电子驾照，电子病历等数字身份也是同样会面临黑客攻击。

预测 4：后量子计算将对安全现状造成挑战

DigiCert 调研显示 71% 的 IT 决策者相信，量子计算机会在 2025 年破解现有的加密算法。是时候考虑用后量子加密算法（PQC）强化使用加密的系统，降低安全风险。许多公司对其所部署的加密缺乏清晰了解，因此他们希望采取主动措施来定位所有暴露的服务器和设备，并在发现新漏洞时迅速对其进行更新。我们预测 PQC 领域将在 2022 年实现一些重大发展，其原因是预计 NIST 会公布谁将成功取代当前版本的 RSA 和 ECC 加密算法。

预测 5：自动化将推动网络安全的改善

由于企业要努力维持经营并严格控制费用，因此对安全技术的效率有更高的要求。在 2022 年，能让企业用更少的资源完成更多任务的技术将受到重点关注，而且自动化将在安全创新领域发挥重要作用。近期的 DigiCert 调查研究显示，91% 的全球企业和 96% 的亚太企业至少在讨论 PKI 证书管理的自动化。人工智能和机器学习技术将继续在推动该领域的自动化方面发挥重要作用。

预测 6：云主权将创造新的安全需求

在日益增加的多云世界中，传统的基于边界的安全方法已经过时。我们预测，随着云服务变得更加精细，网络安全挑战将更为严峻。云主权的控制侧重于保护敏感、私密的数据，并确保数据处于其所有者的控制之下。

预测 7：VMC 信任和身份将改变电子邮件营销局面

在繁忙的营销环境中脱颖而出并不容易，但新技术在不断涌现，能帮助营销人员留下持久的印象。Wpromote 的一项研究显示，31% 的 B2B 营销人员将品牌意识作为其 2020 年的重中之重。我们预测，组织将越来越多地采用 Verified Mark Certificate（VMC）来建立其品牌资产并增强信任。

VMC 通过与 BIMI（品牌标识信息身份）的组合，验证组织的合法 Logo 并在收件箱直观展示。这是基于 DMARC（域名控制信息验证报告）的安全强制措施。市场营销人员不仅可以增加 logo 展示机会，邮件打开机率提升 10%，同时向目标客户显示给公司关注客户隐私保护与信息安全。

预测 8：组织将优先考虑安全策略/文化

最后，我们预计组织会更努力地以自上而下的方式加强网络安全文化。在中国的企业培训市场中，对网络安全意识和技能培训的需求在不断增加，以帮助高管级参与者测试其在发生重大网络安全危机时的沟通策略和决策。很明显，网络攻击者将继续创新并制造更复杂、更隐蔽的威胁。缓解未来的威胁需要领导层的承诺以及各个组织的良好沟通。