2024 年网络安全预测

每年，我都会与 Quest 的一群才华横溢的同事聚在一起，集思广益，讨论来年的主要趋势。毫不奇怪，我们的一些预测都围绕人工智能 (AI) 和机器学习 (ML) 展开；我将揭示我们的专家认为在这个快速发展且至关重要的领域中炒作与现实的区别。

但人工智能并不是推动重要 IT 趋势的唯一问题。事实上，我们看到管理和保护当今混合 IT 生态系统的复杂性更加广泛地增加，全球经济挑战和 IT 人才短缺使管理和保护变得更加困难。这些力量结合在一起，推动组织寻求有效、集成的解决方案，以高效且经济高效地增强网络弹性。正如 Gartner 所说：“安全复杂性的增加正在挑战安全从业者决定将工作重点放在哪里。威胁的数量及其造成的破坏将激发人们对安全解决方案的兴趣，这些解决方案有助于识别最关键的风险和暴露并确定其优先级。 ”（Gartner，“新兴技术：安全 — 攻击面管理的未来支持暴露管理”；Ruggero Contu、Elizabeth Kim 和 Jonathan Nunez；2023 年 4 月 19 日；ID G00775089）

让我们深入了解我们的团队预测 2024 年将出现的具体趋势。

1. 对手将在人工智能之战中占据领先地位——但现实并不像头条新闻所说的那么糟糕。

我们看到自动化——尤其是人工智能和机器学习——在网络安全中发挥着更大的作用，无论是进攻还是防御。让我们首先了解攻击者如何利用 AI 以及这对 2024 年的威胁格局意味着什么。

正如我的同事 Quest 战略系统顾问 Matthew Vinton 指出的那样，我们已经看到人工智能和机器学习的进步正在使复杂而强大的攻击变得更容易为大众所接受。特别是，2022 年 11 月，OpenAI 发布了基于大语言模型 (LLM) 技术的聊天机器人 ChatGPT 免费版本，威胁形势发生了巨大变化。五天内，已有超过一百万人成为注册用户。现在，似乎每周都会出现新的法学硕士，从 Google Bard 到开源 WormGPT（ZDNet 称之为“ChatGPT 的恶意表亲”），再到即将推出的 xAI Grok（埃隆·马斯克称其将具有“叛逆性”）。也许这些工具为网络犯罪分子提供帮助的最明显方式是使他们能够快速收集信息并生成文本。事实上，研究表明法学硕士已将制作“高度可信”的网络钓鱼电子邮件所需的时间从几天缩短到几分钟。

但不幸的是，发起大量引人注目的网络钓鱼电子邮件只是对手滥用人工智能的众多方式之一。例如，法学硕士现在拥有的功能远远超出了仅仅返回文本的范围——他们现在可以发出 API 请求、运行搜索、执行生成的代码等等。事实上，开放全球应用程序安全项目 (OWASP) 是一个致力于提高软件安全性的非营利基金会，它集思广益地讨论了大型语言模型 (LLM) 的 43 种不同威胁。他们列出的法学硕士十大漏洞包括提示注入、数据泄漏、训练数据中毒、沙箱不足和未经授权的代码执行。 通过利用这些漏洞，攻击者可以实现广泛的目标，例如数据泄露、远程代码执行、权限升级和服务中断。

因此，很明显，人工智能技术将成为各种恶意行为者的日益强大的武器。但在你绝望地举手之前，请考虑一下 Quest 杰出工程师兼人工智能安全布道者 Mike Wilson 的观点。他承认，到 2024 年及未来几年，攻击者可能会在使用人工智能方面占据上风。例如，大型勒索软件商店将积极利用该技术发起更引人注目的攻击，并获得更高的成功率。

然而，他解释说，这与人工智能将赋予每个人成为强大网络犯罪分子的恶意冲动的炒作相去甚远。事实是，有效地使用人工智能需要一些重要的技术能力。例如，假设有人设法欺骗 Chat GPT 编写 C# 程序来发送旨在在受害者设备上安装恶意软件的可点击电子邮件。目标公司的防御措施应该可以轻松检测并阻止这种黑客攻击。 为了创造出真正能够突破现代防御的东西，对手需要对软件工程、业务应用程序及其漏洞以及网络安全工具和技术有更深入的了解。因此，至少到 2024 年，缺乏技术专业知识仍将是想要成为黑客的巨大障碍。

2. 人工智能在国防领域的应用将会取得进展，但速度会较慢。

现在让我们来看看 2024 年防御者将如何利用人工智能来改善网络安全。很明显，人工智能将受到企业领导者的关注——在一项针对网络安全利益相关者的调查中，98% 的受访者表示他们至少有些担心关于人工智能技术带来的网络安全风险。但组织将如何适应和改进他们的防御呢？

CISSP 兼 Quest 首席解决方案顾问 Bryan Patton 解释说，组织必须关注主动风险缓解和实时威胁检测和响应。由于网络安全人才持续短缺（稍后会详细介绍！），组织将寻找众所周知的简单按钮来简化和自动化这些关键任务，包括以下任务：

• 可以识别甚至帮助修复容易被恶意行为者利用的系统和应用程序错误配置的工具
• 一种绘制 Active Directory (AD) 中的攻击路径的解决方案 - 可滥用的权限和操作链，可以使接管普通用户帐户的对手只需几个步骤即可控制整个 IT 环境 - 以及他们需要缓解阻塞点以关闭这些攻击路径
• 通过分析日志、查明真正威胁并减少错误警报来加速事件检测和响应的工具

各组织还将寻求加强其身份验证和授权方法，以应对生成式人工智能和深度伪造技术的使用增加。例如，攻击者成功使用 AI 伪造 IT 团队成员的声音，并获得进一步对软件公司 Retool 进行网络攻击所需的多因素身份验证 (MFA) 代码。为了阻止此类攻击，组织必须加倍努力实施零信任安全模型。他们需要全面了解其关键资产或零级资产，挑战围绕这些资产的每项身份验证、访问和更改。

3.人工智能不会成为解决IT人才短缺的灵丹妙药。

您可能还记得，克服 IT 人才短缺是 Quest 2022 年预测的核心主题。当时，我们概述了加剧技能差距的三个关键因素：IT 人才短缺、大辞职和大抵抗。

我们预测，这些现实将推动组织转向云和自动化第三方解决方案，而这些策略确实有助于减轻 IT 管理的负担。然而，正如 Quest 解决方案架构师 Brian Hymer 指出的那样，事实证明，IT 人才短缺是一项艰巨且长期的挑战，可能会产生代价高昂的后果。例如，缺乏网络安全专业知识可能会导致关键应用程序和基础设施组件的配置错误。只要一个配置错误的设置就可能导致严重违规和所有昂贵的后果：延长停机时间和收入损失、昂贵的取证和修复工作、严厉的合规处罚、持久的品牌损害等等。

正如我们所看到的，指望人工智能在短期内增强安全工具是一个白日梦。一些组织正在采用 DYI，使用 AI 帮助生成 PowerShell 脚本和 KQL 查询，以更有效地管理和保护其环境。但这种策略的价值有限，同样的原因是人工智能并没有让每一个想要成为黑客的人都成为一股不可忽视的力量：有效地使用人工智能需要基础专业知识。如果您的 IT 管理员不具备理解 PowerShell 脚本并对其进行故障排除的专业知识，那么编写 PowerShell 脚本并没有什么帮助。事实上，您有可能在您的环境中引入漏洞，就像您加强网络安全一样。

简而言之，没有什么可以替代拥有对 IT 环境中所使用的技术有基本了解的 IT 专业人员。因此，组织需要继续尽可能地寻找新的网络安全人才，同时为现有团队提供良好的培训并激励他们留下来。有趣的是，自动化日常任务不仅对于让 IT 专业人员腾出时间来处理更具战略性的任务很有价值；这也有助于提高他们的工作满意度。

4. 梦想中的网络安全预算将面临一些严酷的现实。

当然，任何关于网络安全的讨论都无法回避预算话题（尽管我们都希望如此！）。 Quest 总裁兼总经理约翰·埃尔南德斯 (John Hernandez) 为这一领域泼了一盆冷水。美国政府关门和穆迪信用评级下调的持续威胁、越来越多的工人罢工以及其他宏观经济不利因素正在使董事会重新关注节省成本。这意味着网络安全预算的增长速度不如大流行期间。因此，CISO 和 CIO 将需要确定 2024 年预算支出的优先顺序。

实际数字是多少？奥斯特曼研究公司 (Osterman Research) 最近对首席执行官和首席信息安全官 (CISO) 进行的一项调查显示，从 2022 年到 2023 年，网络安全预算平均增加了 11%。然而，几乎所有 (94%) 的受访者表示，他们梦想的预算会更高。他们表示，平均而言，他们可以将两倍的预算用于生产和有效使用，有些人希望投入三到五倍。

与此同时，CSO Online 的一份报告发现，由于全球不稳定和通胀压力等因素，网络安全支出的增长开始逐渐减少。报告指出，许多 CISO 甚至表示，作为整体预算紧缩的一部分，他们批准的 2023 年预算将被削减。此外，在确实增加网络安全预算的组织中，80% 表示预算增加是由于安全事件、重大行业中断或其他极端情况所致。

因此，我们预计 2024 年的趋势将是转向以保守的方式资助网络安全项目。虽然最常见的触发事件可能是导致停机和其他成本的违规或其他事件，但还有其他事件。例如，越来越多希望购买网络保险的组织需要完成风险评估并缩小发现的安全漏洞。另一个常见的驱动因素是审计结果或新出现的监管要求，例如美国证券交易委员会关于网络安全风险、治理和事件披露的新规则。 我们甚至现在就看到网络攻击者向 SEC 投诉自己的受害者，因为他们没有向 SEC 披露违规行为！

5. 组织将无法淘汰旧的 Active Directory 服务器，因此他们需要保护它们。

我与 Quest 同事的讨论也更深入地探讨了一些技术领域。由于 Quest 是与 Active Directory 和 Entra ID（以前称为 Azure AD）相关的几乎所有产品的首选供应商，因此我们很自然地探索了该领域的趋势。

首先，Quest 技术产品管理高级经理 Richard Dean 反思了我们刚才讨论的经济不确定性将如何影响 Active Directory 环境。他指出，许多组织仍然依赖需要较旧 Active Directory 服务器的遗留应用程序，将这些自定义和第三方应用程序描述为使旧 Active Directory 实例保留在 IT 生态系统中的超级粘合剂。

这些遗留应用程序经常出现在“我们真正需要解决 RSN 的问题（现在很快）”的列表中，但我们刚才讨论的 IT 预算收紧将降低组织最终重写或替换它们的可能性。漂亮的零圆形数字。

然而，无法回避的现实是，这些应用程序所依赖的旧 AD 服务器通常已经过时、未打补丁甚至被遗忘，这使它们成为严重的安全风险。事实上，它们很容易成为网络犯罪分子的目标，网络犯罪分子通常比 IT 团队更了解 AD 的漏洞，并会毫不留情地瞄准它。

由于 2024 年的预算不允许实现全面的 AD 现代化，组织将需要采取措施来降低风险。他们将寻求实施控制和流程，使他们能够锁定那些旧的 AD 实例，以保护其 IT 环境免受攻击。

6. 组织不仅会优先考虑 IAM，还会优先考虑 Active Directory 安全。

Quest 产品营销总监 Daniel Gauntner 就组织如何在身份和访问管理 (IAM) 策略的背景下使用 Active Directory 提供了一些见解。他指出，IAM 确实是安全的关键层，但它严重依赖底层系统的完整性。对于当今的大多数组织来说，用户身份验证和授权的支柱是 Active Directory。

因此，专注于 IAM 而忽视底层 Active Directory 基础设施的安全性可能是一种危险的疏忽——这类似于确保用户可以使用密钥卡安全访问其汽车，而忽略汽车发动机和控制系统中的漏洞。毕竟，获得 AD 访问权限的攻击者可以操纵用户凭据、泄露敏感数据，并有可能获得对整个域或林的控制权。

因此，到 2024 年，组织将寻求优先考虑 IAM 和 Active Directory 安全性，因为缺一不可，组织很容易遭受代价高昂的违规、停机和合规处罚。关注这两点对于建立针对不断变化的威胁的强大防御至关重要。 Gauntner 警告说，这一策略不仅涉及加强内部网络安全控制，还涉及通过选择认真对待安全的软件和服务供应商来强化供应链。

7. 组织将扩大其网络弹性战略，重新强调 Active Directory 恢复。

Quest 高级解决方案顾问 Jason Morano 预测，到 2024 年，组织将越来越多地将注意力从网络安全扩展到网络弹性。毕竟，组织的主要目标是尽可能保持业务正常运行，并在必要时快速恢复运营，无论系统停机是由于网络攻击还是其他原因，例如管理员无意中的失误、硬件故障或自然灾害。

网络弹性的一个重要组成部分是确保您的 Active Directory 灾难恢复策略符合要求。简而言之，您的 Active Directory 崩溃的每一秒，您的业务都会陷入困境，并且成本会迅速飙升。例如，Sophos 调查中 66% 的受访者表示，他们的组织在 2023 年遭受了勒索软件攻击，而最近的 Forrester 总体经济影响报告发现，AD 离线每小时因勒索软件事件造成的平均损失为 730,000 美元。 ITIC 的一份报告将成本定为更高，指出 40% 的企业表示，一小时的停机成本为 100 万至 500 万美元以上。在最坏的情况下，损失可能达到每分钟数百万美元。 （更重要的是，这些数字甚至不包括该事件造成的任何法律费用、罚款或处罚。）

希望增强 IT 环境弹性的组织不必从头开始。已经建立的网络弹性框架提供了结构化的最佳实践和推荐的安全控制措施，他们可以采用这些框架来提高阻止、抵御网络安全威胁和从网络安全威胁中恢复的能力。这些框架没有列出要遵循的硬性规则，也没有详细说明要实施的一组特定技术或产品，因此可以轻松调整它们以满足组织的独特目标和要求。

8. 更多组织将认识到 Entra ID 可能被泄露的现实。

长期以来，本地 Active Directory 一直是大多数组织的主要身份存储以及身份验证和授权服务的提供者，因此网络安全策略长期以来一直以它为中心。即使组织已经采用了云，情况仍然如此，因为大多数组织已经建立了一个混合环境，其中身份数据从 Active Directory 同步到 Entra ID。

但我的同事 Bryan Patton 发现人们对 Entra ID 安全性的看法发生了显着变化。他指出，在采用云技术的早期，存在两种截然不同的观点，一些人认为云服务极其不安全，另一些人则认为云服务过于安全。现在，出现了一种更加平衡和准确的观点的趋势：Entra ID 等云服务提供了强大的网络安全控制，但它们并非万无一失。换句话说，人们越来越认识到，在组织的网络安全和网络弹性规划中，Entra ID 不容忽视。

这种转变至少部分基于现实生活的经验和冷酷的数字。例如，2022 年和 2023 年专家会议 (TEC) 的与会者亲眼目睹了对手窃取代币并绕过 MFA 是多么容易。微软刚刚在其 2023 年数字防御报告中报告称，去年基于密码的攻击增加了十倍，令牌重放攻击增加了一倍。

事实上，Entra ID 配置和属性就像单租户环境中的一碗意大利面条，更不用说当您有多个租户时。因此，管理员和其他采取防御措施的 IT 专业人员很难发现错误配置、可疑更改和其他威胁。这种可见性的缺乏将导致更多的漏洞——这反过来又会促使组织寻找解决方案来发现和修复正在进行的漏洞和威胁。

9. 微软的多租户组织将得到快速采用——但必须理解它只是一个临时的创可贴。

2023 年 8 月，微软推出了名为多租户组织 (MTO) 的新 Entra ID 解决方案。根据微软的说法，MTO 是一组最多五个 Entra ID 租户，通过跨租户访问策略连接在一起，以便用户更轻松地共享信息。

我的同事 Becky Cross（Quest 的技术产品经理）希望看到希望实现快速跨租户协作并获得一些喘息空间来规划和执行实际租户整合的组织能够快速采用此功能。事实上，他报告说 Quest 已经看到已经开始使用 MTO 的迁移客户。

然而，Cross 警告说，虽然此功能为业务用户带来了许多好处并加速了并购 IT 集成项目的第一阶段，但它给管理员带来了更多管理难题。也就是说，组织可以快速让并购交易中所有实体的员工一起工作，但长期保留单独的租户会增加安全问题、复杂性和成本，因为 MTO 不会整合后端的管理任务。

简而言之，多租户组织功能为组织提供了快速的创可贴，并使他们能够将成本更高的整合工作投入到未来。但它并不是为了长期的互操作性战略而设计的——在某些时候，由于安全问题和管理资源的负担，创可贴将会失效。

10. 说到并购，2024 年的口号将是“抄底”和“反垄断”。 ”

最后但并非最不重要的一点是，Quest 技术产品管理高级经理 Richard Dean 将我们的注意力转向了并购 (M&A) 活动。他指出，经济形势导致出现了一系列陷入困境和现金充裕的公司，普华永道 2023 年全球并购趋势年中报告预测，中端市场交易将主导市场。

具体来说，收入持平的陷入困境的公司将寻求剥离其业务的非核心领域，以改善其资产负债表的外观；这些划分为租户之间的手术迁移项目创造了机会。与此同时，现金充裕且高增长的行业仍将带来一些并购鲸鱼，这将创造多年的迁移机会。总体而言，各公司正在努力寻找好的交易。

与此同时，2023 年 7 月，联邦贸易委员会 (FTC) 和司法部反垄断部门发布了一套拟议的合并指南以征求公众意见。根据一份声明，拟议的合并准则由三个关键目标驱动：

• 反映组织在现代经济中如何开展业务的现实。
• 反映美国反垄断法和现行法律先例的全部范围。
• 提供法院和市场参与者都可以应用的清晰且可管理的框架。

对 2024 年并购活动感兴趣的组织将需要及时了解这些拟议合并指南的最新情况，以确保其交易符合任何已批准的新标准。

结论

这就是 Quest 对 2024 年的预测！一如既往，我们希望您会发现它们在来年增强您组织的安全性、生产力和网络弹性方面很有用。