DigiCert公司发布《2022 年网络安全预测》

随着新冠肺炎疫情的全球蔓延，远程办公已逐渐成为一种常态化的办公方式，这意味着网络安全领域将不断面临新的挑战。同时，云计算及其它领域的创新导致在令人意想不到的领域可能引发新的威胁等，网络威胁格局正在不断发生变化。

 

 

近期，全球知名互联网安全公司DigiCert公司发布了《2022年网络安全预测》。在这份报告中，Digicert公司预测了8大网络安全趋势和活动，这些趋势和活动或将成为未来企业面临的主要安全课题，预计在2022 年可能会对企业产生重大影响。

预测一：供应链、勒索软件和网络恐怖主义攻击将持续增加

供应链将变得更加复杂、更加脆弱。随着设备开发流程和供应链变得越来越复杂，攻击范围将会逐渐扩大，企业正在利用代码签名（code signing）等最佳实践方法，确保开发流程中各个阶段的安全。通过代码签名，可以帮助企业在开发过程进入生产环境和交付给客户之前，将安全性融入到开发流程的每个阶段并确认代码的完整性。只要认识到密钥共享及代码检查的风险，并在签名后防止篡改，就是对保护代码安全最大的帮助。此外，编写软件规范可以通过跟踪构成软件应用程序的所有要素，让您了解代码来源。

让攻击者胆大妄为的网络恐怖主义。美国最大的输油管道运营商科洛尼尔（Colonial Pipeline）管道公司和美国佛罗里达州奥兹马（Oldsmar）的供水系统遭到黑客攻击等事件表明，网络恐怖分子有能力使社会基础设施瘫痪。新的攻击机会只会受攻击者想象力的限制，随时都可能发生，例如高科技环境下的民用航天器发射和选举活动等都有可能成为下一个攻击目标。因此，对于容易受到网络攻击的公共部门和私人组织来说，应该在零信任（zero-trust）模式安全策略方面下大力气。

勒索软件目标范围将继续扩大。勒索软件攻击在2021年影响了各行各业，包括医疗保健机构、科技公司、汽车制造商乃至NBA赛事。特别是，随着加密货币使用范围的扩大，在银行系统之外追踪巨额资金变得越来越困难，因此我们预计勒索软件攻击的目标范围将进一步扩大。

预测二：业务流程中的信任和身份认证水平将得到加强

近年来，各行各业正在加速推进数字化转型。据一项调查结果显示，预计全球数字化转型市场从 2021 年到 2028 年的年均增长率约为 24%。随着复杂技术更深入地融入企业最关键的流程中，我们预测数字签名的使用将会增加，并且将需要更高水平的信任及身份认证。

SSL证书的重要性正在增加。在金融服务、房地产、医疗保健及教育等多个产业中，将有更多的工作流程与SSL证书相关联。在混合工作环境中，SSL证书可以帮助吸引或支持远程工作人员。但随着SSL证书日益被广泛接受，错误使用等风险也在增加，并可能导致巨大的损失。长期以来一直处于分发电子签名最前沿的欧洲吸取新冠疫情大流行的经验教训，正在改善欧盟的eIDAS（电子身份确认及信任服务）法规，以便通过授权的信用服务提供商对签名者的身份进行高水平的远程验证服务。此外，政府颁发的用于国家间跨境使用的电子护照，预计将会有显著增加。

身份认证和信任是物联网发展的原动力。在像物联网这样以数据为中心的环境中，信任是非常重要的。实时数据的完整性对于支持医疗保健监护仪、工业用控制设备、家庭用安全系统及车辆传感器等设备的各种流程和决策都是至关重要的。随着5G技术的加速引进，物联网和5G应用软件的融合度越来越高，因此我们预计将会发生更多针对物联网的黑客攻击事件。最近，韩国国内发生的黑客通过攻击公寓walpad非法拍摄的视频被出售的事件也恰恰证明了这个观点。公开密钥基础结构（PKI）仍然是一种可靠且经过验证的方法，可确保对物联网环境的信任。

预测三：量子计算技术将对当前的安全形势造成挑战

根据Digicert发布的《2019年后量子加密调查报告（Post-Quantum Crypto Survey）》显示，71%的IT决策者认为，到 2025 年，量子计算可能会打破现有的加密算法。这意味着安全组织将不得不在量子加密算法之后重新考虑世界的安全问题。后量子加密算法（PQC）可以加强密码学，并降低发生安全风险的可能性。但是，由于很多企业对其自身部署的加密缺乏清晰的了解，因此当发现新的漏洞时，他们希望采取主动措施来查找并快速更新所有暴露的服务器和设备。

预测四：新冠后威胁将持续存在并不断演变

尽管新冠疫情正在趋于稳定，但与新冠疫情大流行相关的各种安全威胁还将继续存在。我们看到机场、零售业、餐厅及其他公共场所正在越来越多地使用非接触技术，但这些技术都容易受到网络攻击。虽然使用驾驶证和医疗保健记录等数字ID的方案正变得越来越广泛，但仍然存在被黑客攻击的风险。

预测五：自动化是改善网络安全的驱动力

由于企业重视盈亏并严格控制成本，所以他们要求更高效的安全技术，安全团队将被要求用更少的资源来完成更多的事情。因此，在2022年，能让企业以更低的成本支持完成更多任务的技术有望受到重视，自动化将在新的一年中在安全创新方面发挥重要作用。根据DigiCert最近发布的《2021 PKI自动化现状报告（2021 State of PKI Automation Survey）》显示，全球91%的企业正在讨论PKI证书管理的自动化方案。预计，今后人工智能和机器学习技术有望在加快自动化进程方面发挥关键作用。

预测六：云主权将创造新的安全需求

随着云服务的逐渐细化，预计云服务所面临的网络安全挑战将变得更加严峻且复杂。企业正在越来越多地构建遵守当地司法管辖权和法规约束的云解决方案，其中云主权控制侧重于保护敏感的个人隐私，并确保数据不会脱离所有者的控制。举个例子，最近IT服务咨询企业T-Systems和谷歌云（Google Cloud）宣布，他们将为德国企业、公共部门及医疗保健机构构建和提供独立的云服务。由于这种独立云战略的出现，企业需要更好地了解各地区的安全要求事项。

预测七：VMC信任和身份验证将改变电子邮件营销局面

在繁忙的营销环境中，新技术不断涌现，以帮助建立持久的品牌知名度，这是营销人员的首要任务。企业将越来越多地采用商标标记证书（VMC）来建立品牌资产并加强信任。

作为利用品牌标识信息身份（Brand Indicators for Message Identification, BIMI）战略合作项目的一部分，VMC 在电子邮件收件箱旁边放置了一个徽标。电子邮件收件人可以在打开电子邮件之前确认邮件的真实性。这是基于域名控制信息验证报告（Domain-based Message Authentication, Reporting & Conformance, DMARC）的安全强制措施。使用DMARC保护的VMC，不仅可以提高企业的品牌形象，并能提高10%的电子邮件浏览率，同时市场营销人员还可以告知客户，他们十分注意保护客户的个人隐私和信息安全，并提前采取预防措施将安全风险降至最低。

预测八：企业将优先考虑安全策略/文化

最后，我们预计企业会更加努力地以自上而下的方式加强网络安全文化。在企业培训市场中，对网络安全意识和技能培训的需求在不断增加，以帮助企业高管测试其在发生重大网络安全危机时的沟通策略和决策。很明显，网络攻击者将继续创新并制造更复杂、更隐蔽的威胁。缓解未来的威胁需要领导层的承诺以及各个组织的良好沟通，而最佳网络安全实践可以帮助抵御此类威胁。

对于此次发布的《2022年网络安全预测》，Digicert韩国分公司总经理罗正柱（音）表示：“网络攻击者将不断进化，扩大供应链攻击并利用量子计算技术等，制造更加复杂、更加隐蔽的威胁。要想先发制人地主动应对威胁，企业应该了解威胁形势，并使用自动化解决方案和最佳实践案例来应对高级安全威胁。同时，加强组织内部的网络安全文化是首要课题。为了缓解未来威胁，管理层的意志和全公司范围内的顺畅沟通比任何时候都更加重要。”

背景介绍

DigiCert是全球领先的TLS（Transport Layer Security，传输层安全协议）/SSL（Secure Socket Layer，安全套接字层）、物联网和PKI（Public Key Infrastructure，公开密钥基础结构）身份验证和加密技术解决方案提供商。DigiCert是具有创新性的企业，《财富》500强中89%的公司和全球100家顶级银行中的97家银行选择DigiCert为他们的网络服务器和物联网终端进行身份验证和加密服务。

自 2018 年以来，DigiCer公司每年都会发布网络安全预测。在近期发布的《2022年网络安全预测》中，DigiCert公司积极参与研究制定并汇集了包括Jeremy Rowley、Avesta Hojjati 、迈克•纳尔逊、杰森•萨宾、迪恩•科克林、斯蒂芬•戴维森、蒂姆•霍勒贝克和布赖恩•特祖佩克等网络安全专家团队的意见。因此，《2022年网络安全预测》的发布受到了业内人士的普遍关注。