威胁行为者不断适应最新的技术、实践，甚至数据隐私法——组织有责任通过实施强有力的网络安全措施和计划来保持领先。

以下是网络犯罪在 2023 年将如何演变，以及您在未来一年可以采取哪些措施来保护您的组织。

数字供应链攻击增加

随着供应链的快速现代化和数字化，新的安全风险也随之而来。Gartner 预测，到 2025 年，全球 45% 的组织的软件供应链将遭受攻击——这是 2021 年的三倍。以前，这些类型的攻击甚至不太可能发生，因为供应链没有连接到互联网。但既然如此，供应链就需要得到妥善保护。

围绕软件供应链引入新技术意味着可能存在尚未发现的安全漏洞，但为了在 2023 年保护您的组织，必须发现这些漏洞。

如果您已将新的软件供应链引入您的技术堆栈，或计划在明年的某个时候这样做，那么您必须集成更新的网络安全配置。雇用具有数字供应链经验的人员和流程，以确保正确实施安全措施。

特定于移动设备的网络威胁正在上升

毫不奇怪，随着工作场所越来越多地使用智能手机，移动设备正成为网络攻击的更大目标。事实上，根据Verizon 移动安全指数 (MSI) 2022，去年涉及移动设备的网络犯罪增加了 22%，而且在新的一年之前没有放缓的迹象。

随着黑客入侵移动设备，基于 SMS 的身份验证不可避免地变得不那么安全。即使是看似最安全的公司也可能容易受到移动设备黑客攻击。例如，仅在过去一年，包括Uber和Okta在内的几家大公司就受到了涉及一次性密码的安全漏洞的影响。

这就需要摆脱对基于 SMS 的身份验证的依赖，转而采用更安全的多因素身份验证 (MFA)。这可能包括使用时间敏感令牌的身份验证器应用程序，或者更直接的基于硬件或设备的身份验证器。

组织需要采取额外的预防措施，通过实施有助于验证用户身份的软件来防止从前线开始的攻击。根据世界经济论坛的2022 年全球风险报告，95% 的网络安全事件是人为错误造成的。仅这一事实就强调了需要一种软件程序来减少验证时出现人为错误的可能性。实施像Specops 的 Secure Service Desk这样的工具有助于减少针对帮助台的社会工程攻击的漏洞，从而在服务台实现安全的用户验证，而不会出现人为错误的风险。

双重降低云安全性

随着越来越多的公司选择基于云的活动，云安全——任何保护存储在云中的信息的技术、政策或服务——应该成为 2023 年及以后的首要任务。随着技术的发展，网络罪犯变得更加老练，他们的策略也在不断演变，这意味着云安全至关重要，因为您在组织中更频繁地依赖它。

抵御基于云的网络犯罪的最可靠保障是零信任理念。零信任背后的主要原则是自动验证所有内容——并且在没有某种授权或检查的情况下基本上不信任任何人。在保护存储在云中的数据和基础设施免受威胁时，这种安全措施至关重要。

勒索软件即服务将继续存在

勒索软件攻击继续以惊人的速度增加。来自 Verizon 的数据发现，勒索软件违规事件同比增加了 13%。勒索软件攻击也变得越来越有针对性——据 FBI 称，医疗保健、食品和农业等行业是最近成为受害者的行业。

随着勒索软件威胁的增加，勒索软件即服务 (RaaS) 的使用也越来越多。这种日益严重的现象是勒索软件犯罪分子将其基础设施出租给其他网络犯罪分子或团体。RaaS 工具包使威胁行为者更容易快速且经济地部署他们的攻击，这对于任何领导网络安全协议和程序的人来说都是一个危险的组合。要加强对使用 RaaS 的威胁行为者的保护，请寻求最终用户的帮助。

最终用户是您的组织抵御勒索软件攻击的前线，但他们需要接受适当的培训以确保他们受到保护。确保您的网络安全程序已明确记录并定期实施，以便用户可以保持警惕并警惕安全漏洞。在您的组织中尽可能采用密码策略软件、MFA 和电子邮件安全工具等备份措施也可以减轻最终用户网络安全的责任。

数据隐私法越来越严格——做好准备

我们不能在不提及数据隐私法的情况下谈论 2023 年的网络安全。随着新的数据隐私法将于明年在多个州生效，现在是评估您当前的程序和系统以确保它们合规的时候了。这些针对各州的新法律仅仅是个开始;由于未来几年可能会有更多州制定新的隐私法，因此公司最好审查其合规性。

数据隐私法通常要求改变公司存储和处理数据的方式，如果不谨慎实施，实施这些新变化可能会使您面临额外风险。如上所述，确保您的组织遵守适当的网络安全协议，包括零信任。