又过了（几乎）充满活力的 12 个月，是时候进行盘点了。大量的数据泄露、新的网络安全指令和法规、令人着迷的数据点以及一些将塑造 IT 未来的行业趋势的出现。以下是我们从 2023 年学到的最重要的五件事中精选出来的。

生成式人工智能将给安全团队带来压力

得益于 ChatGPT 的非凡影响，生成式人工智能 (GenAI) 在 2023 年迎来了突破性的一年。它有潜力改变客户服务和软件开发等多种行业。但从网络安全的角度来看，存在一定程度的担忧也是可以理解的。这是因为技术还有可能增强网络钓鱼活动的规模和复杂程度，并可能帮助威胁行为者更轻松地编写恶意软件以逃避防御。 WormGPT 和 FraudGPT 的出现加剧了这些担忧。

人工智能模型本身以及运行它们的公司也成为威胁行为者的潜在目标 - 可能是那些想要挖矿或腐败的人训练数据。 ChatGPT 开发者 OpenAI 的一个快速修补的漏洞凸显了未经授权访问的可能性。这一切都为以数据为中心的安全性提供了另一个令人信服的论据。

企业数据受到全方位攻击

似乎我们需要更有说服力地证明威胁行为者和网络防御者之间的潜在不平衡，Verizon 的年度数据泄露调查报告 (DBIR) 随时提醒我们。今年，我们从 16,312 起事件和 5,199 起数据泄露事件中汲取教训，为全球威胁格局提供了又一个精彩的快照。

我们了解到，过去 12 个月的大多数泄露事件都是外部的 (83%)，并且出于经济动机（95%），由有组织的犯罪分子实施。威胁行为者主要通过窃取凭证 (45%)、网络钓鱼 (12%) 和漏洞利用 (5%) 来访问网络。 74% 的违规行为是“人为因素”造成的——社会工程、错误配置和其他错误就是证明。恶意内部人员也是一个日益严重的威胁，尤其是在公共部门，他们造成了 30% 的违规行为，高于前一年的 22%。勒索软件仍然对各种类型和规模的组织构成潜在威胁，造成四分之一 (24%) 的泄露事件。

揽阁信息的保护方案：CipherTrust透明加密-勒索软件保护(CTE-RWP)提供了一种非侵入式的保护文件/文件夹免受勒索软件攻击的方法。CTE-RWP以每个进程为基础监视承载业务关键数据的文件上的异常I/O活动。它允许管理员在勒索软件控制您的端点/服务器之前警告/阻止可疑活动。

随着多云困境的加剧，自带加密成为主流

首先出现了迁移到云的热潮。现在算账了。 据称， 87% 的组织现已投资于多个提供商的公共云基础设施。但在过去的一年里，组织越来越担心这些环境中存储的数据的安全性和合规性的影响。这是因为，虽然服务提供商 (CSP) 提供了一些保护，但保护数据本身是客户的工作。随着 GDPR 和加州 CCPA 在美国主导类似的立法，风险比以往任何时候都高。 安全性目前是全球组织面临的第二大云挑战，仅次于支出管理， 有 79% 的受访者认为安全性。

这使得自带加密 (BYOE) 在过去 12 个月中越来越受欢迎。这个想法是让云客户使用他们首选的加密解决方案，而不是 CSP 提供的加密解决方案，或者作为其补充。这意味着加密密钥和标记化秘密的生成 100% 由客户控制，因此只有受保护的数据才允许进入公共云。它还有助于提供跨多个云的一致性，以及跨这些环境迁移数据的更大灵活性。 comforte 与 Google 和 BigQuery 的合作等行业合作伙伴关系表明了 2024 年的发展方向。

揽阁信息的保护方案：CipherTrust Data Security Platform（数据安全平台/CDSP）为客户提供了强大的BYOE能力，该平台以拥有FIPS 140-2认证的CipherTrust Manager（CM）密钥管理系统（KMS）为密钥集中统一管理的核心，通过KMIP、CTE（透明加密）、CAE（应用加密）、CCKM（云密钥管理）等组件，对任何层级（硬件层、OS层、应用层、云端）的任何数据（静态数据、动态数据）进行保护。使客户可以放心的将业务安全的部署在多云环境下，无需担心因多云环境下密钥同步困难而带来的烦恼和担忧。

安全将成为 2024 年合规工作的关键

过去一年，各组织也开始认真对待 2024 年即将到来的一些重大合规性要求。其中包括PCI DSS 4.0、该法案将于 2024 年 3 月部分生效，并对处理持卡人数据的组织提出一系列新要求。它将使得持续的数据发现、分类和保护成为一项基本能力。

欧盟“基本服务”运营商的路线图上还包括 NIS 2，它也将于 2024 年落地。这将使强加密成为所有人的基本要求。在美国，拜登总统制定了国家网络安全战略，该战略将寻求促进关键基础设施的防御以及“个人数据的隐私和安全” ”——让数据管理员承担责任并推动制定国家数据安全标准的立法。关注这个空间。

揽阁信息的保护方案：在面对全球各国和地区的合规性审计时，我们为客户提供了拥有FIPS 140-2和CC EAL 4+（以及即将到来的FIPS 140-3）等安全认证的产品（如：ProtectServer 3 HSM、Luna 7 HSM、CDSP等），并将这些产品与国产化的各类系统和平台进行整合（如：证书管理系统PKI系统、超融合基础设施HCI、虚拟化系统、Storage存储系统等），满足客户对 合规性满足 + 极强本地化支持 的需求。

安全既关乎增长，也关乎风险缓解

最后，我们从 2023 年吸取了更微妙的教训。是的，我们目睹了来自特斯拉、 Discord.io 到 北爱尔兰警察局 的又一连串破坏性数据泄露故事。 是的，我们了解到，全球泄露成本现已达到历史最高水平，平均为 445 万美元，其中医疗保健领域上升至 1,090 万美元，医疗领域上升至 950 万美元在美国。但现实情况是，网络安全越来越被视为业务推动者，而不是降低风险所必需的反应成本。事实上，一项研究声称网络最成熟的组织的平均收入增长率比最不成熟的组织高 43%。

有效的数据安全可以保护知识产权，这对于发展计划至关重要。它可以通过支持监管合规性来开辟新市场。它可以让企业有信心投资研发和数字化转型，并确信这些投资将受到保护。预计明年会有更多相同的事情，毫无疑问还会有一两个惊喜。

欢迎联系我们，和我们交流和讨论更多安全的讯息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• Thales提前完成收购Imperva交易