展望2023:值得关注的十大网络安全趋势******
开栏的话:今年是全面贯彻落实党的二十大精神的开局之年。即日起,本版开设“前沿观点”专栏,翻译引介国际信息通信行业的前沿观点,聚焦信息通信领域的动态和发展,认真贯彻落实中央经济工作会议部署要求,为我国信息通信行业高质量发展作出应有的贡献。欢迎广大读者来信提出相关批评建议。
又是网络安全动荡的一年。复杂多变的国际局势加剧了国家间的数字冲突。加密货币市场崩溃,数十亿美元从投资者手中被盗。黑客入侵科技巨头,勒索软件继续肆虐众多行业。
信息安全传媒集团(Information Security Media Group)就2023年值得关注的事件咨询了一些行业领先的网络安全专家,内容涵盖了影响安全技术、领导力和监管等层面新出现的威胁与不断发展的趋势。这是对未来一年的展望。
网络犯罪分子将加大对API漏洞的攻击力度
随着组织越来越依赖开源软件和自定义接口来连接云系统,API(应用程序接口)经济正在增长。API攻击导致2022年发生了几起引人注目的违规事件,其中包括发生在澳大利亚电信公司Optus的违规事件。专家预计,新的一年网络犯罪分子会加大对API漏洞的攻击力度。
攻击者将瞄准电网、石油和天然气供应商以及其他关键基础设施
关键基础设施可能成为攻击者的主要目标。许多工业控制系统已有数十年历史,易受到攻击。事实上,此前IBM X-Force观察到针对TCP端口的对抗性侦察增加了2000%以上,这可能允许黑客控制物理设备并进行破坏操作。专家警告,准备好应对针对电网、石油和天然气供应商以及其他关键基础设施目标的攻击。
攻击者将增加多因素身份验证(MFA)漏洞利用
多因素身份验证(MFA)曾被认为是身份管理的黄金标准,为密码提供了重要的后盾。2022年发生了一系列非常成功的攻击,使用MFA旁路和MFA疲劳策略,结合久经考验的网络钓鱼和社会工程学,这一切都发生了变化。攻击者将会增加多因素身份验证漏洞利用。
勒索软件攻击将打击更大的目标并索取更多的赎金
勒索软件攻击在公共和私营机构激增,迫使受害者支付赎金的策略已扩大到双倍甚至三倍的勒索。由于许多受害者不愿报案,没有人真正知道事情是在好转还是在恶化。专家预计会有更多类似的情况发生,勒索软件攻击会击中更大的目标并索取更多的赎金。
攻击者将瞄准大型的云企业
数字化转型正在推动向公有云的大规模迁移。这种趋势始于企业部门,并扩展到大型政府机构,创造了复杂的混合和多云环境的大杂烩。应用程序的容器化加剧了恶意软件的感染,今年我们看到了针对AWS云的无服务器恶意软件的引入。随着越来越多的数据转移到云上,应高度关注攻击者是否会瞄准主要的云超大规模应用程序。
零信任将得到更广泛的采用
零信任的原则自2010年就已出现,但仅在过去几年中,网络安全组织和供应商社区才接受最小特权的概念并不断验证防御。此前,美国国防部宣布其零信任战略,这种方法得到了重大推动。随着黑客轻松地跨IT部门横向移动,组织希望实现防御现代化。专家预计零信任会得到更广泛的采用。
首席安全官将获得更好的个人保护谈判合同
2022年10月,优步前CSO乔·苏利文(Joe Sullivan)因掩盖2016年数据泄露事件被定罪,这在网络安全领域引发了不小的冲击波。刑事责任让高级安全领导者重新考虑他们在组织中的角色。首席安全官或将被提供更多人身保护的合同。
网络保险的式微将增加企业的财务风险
第一份网络保险政策是在20多年前制定的,但勒索软件攻击造成的恢复成本和业务损失呈指数级增长。事实上,大型医疗机构的损失通常超过1亿美元。因此,网络保险公司正在提高费率或完全退出该业务。网络保险的可用性将继续枯竭,增加企业的财务风险。
政府机构将对加密货币公司实施更严格的控制
一系列违规行为、市场价值的重大损失和FTX加密货币交易所丑闻使加密货币世界在2022年陷入混乱。寻求政府机构对加密货币公司实施更严格的控制,以保护投资者、打击洗钱和提高安全性。
组织将调整自身提供教育和认证计划的方式
多数大型公司多年来一直提供网络安全意识培训,但似乎并没有奏效。更糟糕的是,越来越难找到熟练的网络安全资源。未来,组织将积极寻找改变自身提供教育和认证计划的方式,着眼于更积极地学习、职业道路规划和提高信息安全人员的技能。
(作者:作者:安娜·德莱尼卡尔·哈里森 翻译:方正梁)
在“健全全面从严治党体系”上下功夫******
作者:冯舟
习近平总书记在二十届中央纪委二次全会上强调,“进一步健全全面从严治党体系,使全面从严治党各项工作更好体现时代性、把握规律性、富于创造性”。新时代十年,我们党不断深化对自我革命规律的认识,不断推进党的建设理论创新、实践创新、制度创新,初步构建起全面从严治党体系。习近平总书记的这一重要论述,突出强调了健全全面从严治党体系在深化全面从严治党战略、把党的伟大自我革命进行到底中的重大作用,具有鲜明的政治意义。
马克思主义唯物辩证法告诉我们,要用普遍联系的、全面系统的、发展变化的观点观察事物,把握事物发展规律。对于我们这个成立100多年、执政70多年、拥有9600多万名党员、具有重大全球影响力的世界第一大执政党来说,在内有诸多大党独有难题需要破解,在外面临重大风险和严峻挑战,很多问题都是牵一发而动全身,只有“体系”层面聚焦用力,整体地而不是局部地、系统地而不是零碎地、持久地而不是短暂地、高标准地而不是一般化地推进全面从严治党,才能使我们党永葆先进性和纯洁性,引领中国特色社会主义巍巍巨轮劈波斩浪、一往无前。
全面从严治党体系是一个内涵丰富、功能完备、科学规范、运行高效的动态系统。它是国家治理体系的重要组成部分,自身也包含众多子系统,处于复杂的联系之中。在总体设计上,党的十九大提出新时代党的建设总要求,明确全面推进党的政治建设、思想建设、组织建设、作风建设、纪律建设,把制度建设贯穿其中,深入推进反腐败斗争的“5+2”任务布局,对党的建设框架体系进行重大改进和重塑,使之更加科学合理、运行有力。在体制机制上,健全总揽全局、协调各方的党的领导制度体系,建立党建工作责任制,形成党组织书记抓党建述职评议工作机制,有力推动管党治党责任落实到各个领域各个层级。在制度架构上,形成党章之下分为党的组织法规制度、党的领导法规制度、党的自身建设法规制度、党的监督保障法规制度的“1+4”党内法规制度体系,注重各方面法规协同耦合、衔接配套,强化制度执行力,发挥强大治理能力。在现实举措上,党的二十大提出坚持和加强党中央集中统一领导、坚持不懈用习近平新时代中国特色社会主义思想凝心铸魂等七大方面要求,既系统全面,又突出重点。同时,作为动态系统,全面从严治党体系是随着党的建设理论创新、实践创新、制度创新而不断发展完善的。
构建全面从严治党体系,重点是健全“体系”。“体系”包含多个层面,但基础是制度。因此,首先要坚持制度治党、依规治党,做到有规必依、执规必严、违规必究,依靠党章党规党纪严肃处置党内出现的各种问题,同时着眼事业需要、实践发展,及时进行制度立改废释工作,最大限度地把党内法规体系的管党治党效能释放出来。要做到“三个更加突出”,即更加突出党的各方面建设有机衔接、联动集成、协同协调,更加突出体制机制的健全完善和法规制度的科学有效,更加突出运用治理的理念、系统的观念、辩证的思维管党治党建设党,力求使管党治党的理念思维、体制机制、法规制度、具体措施等统一起来,上下贯通、内外协调、相互促进,发挥出更加强大的合力。坚持内容上全涵盖、对象上全覆盖、责任上全链条、制度上全贯通,把“全面”的要求落实好,确保无遗漏、没缺口、不脱节。
“知之愈明,则行之愈笃;行之愈笃,则知之益明。”全面从严治党体系健不健全,现实问题是试金石、也是磨刀石。要把党内存在的顽瘴痼疾当成一面镜子,反照全面从严治党体系的不足,有针对性地加以改进,推动其更加成熟、更加定型。(冯舟)