负责医院查房的医疗机器人,自行执行的智能合约,数字化正在解决制造问题。新兴技术一直在推动所有行业的创新,改变企业运营和服务客户的方式。然而,新兴行业的网络安全并不总是跟上这些变化的步伐,在全面拥抱这些技术进步之前,组织机构需要知道这些风险。
四大新兴行业值得关注
数字化转型推动了众多行业对新兴技术的需求,但金融科技、医疗技术、物联网 (IoT) 和云计算是值得关注的行业。
金融科技
金融科技是指软件、云计算、大数据等技术与创新商业模式相结合,提供融资、银行、支付处理等金融服务。金融科技市场在 2021 年的投资交易数量创历史新高(全球 1150 亿美元),咨询公司毕马威(KPMG)将其描述为“非凡的一年”。区块链和加密货币领域尤为强劲,甚至万事达等主流机构也在进军加密货币领域。
医疗技术
医疗技术是医疗保健领域中一个快速发展的部分,它利用技术来改善健康和医疗保健服务。医疗技术包括软件和连接的医疗设备等。咨询公司德勤(Deloitte)的数据显示,过去五年,医疗科技领域的风险投资增长了67%。然而,这个市场才刚刚开始显示出它的潜力,94%的医疗技术公司尚未带来收入。
物联网
物联网正在突飞猛进地发展。预计到2025年,仅联网家庭设备的出货量就将超过14亿台。到 2027 年,另一个细分市场工业物联网(或 IIoT)预计将达到近 4780 亿美元。这些只是蓬勃发展的物联网行业的两个例子。
云计算
云计算市场也经历了爆发式增长,特别是由于疫情,企业不得不加快数字化转型。尽管推动云技术采用的一些趋势(例如远程工作)可能在许多公司中失去动力,但其他发展(例如支持云的工业解决方案、5G、大数据和机器学习)继续推动云计算市场成长。
每个新兴行业面临的网络安全风险和挑战
金融科技
由于大多数网络犯罪都是出于经济动机,而金融科技公司则处理金融资产,因此这些公司对威胁参与者极具吸引力。金融科技行业面临的一些主要威胁包括:
数据泄露:根据身份盗窃资源中心(Identity Theft Resource Center)数据,2021年,美国金融行业的数据泄露数量最高。数据泄露对金融科技来说是双重打击。网络犯罪分子锁定金融科技公司,因为这些组织可以获取大量敏感数据,但威胁行为者也利用暗网上的数据冒充消费者,对这些公司进行欺诈。
恶意软件攻击:除了攻击消费者之外,威胁行为者经常直接用恶意软件攻击金融科技公司。他们越来越多地利用供应链,通过软件更新或合作伙伴受损发动恶意软件攻击。
Web 应用程序攻击:根据 Verizon 最新的数据泄露调查报告,Web 应用程序攻击是金融部门数据泄露中最常见的模式。通常,网络犯罪分子使用受损凭据来实施这些攻击。
医疗技术
专注于医疗安全和质量的非营利组织ECRI将网络安全攻击列为医疗技术的头号威胁。ECRI指出,网络安全事件“可能会扰乱患者护理,对身体造成切实的伤害。”影响医疗技术的主要风险和挑战包括:
勒索软件攻击:在过去的几年里,医院一直受到勒索软件攻击的打击。这些攻击可以禁用对患者护理至关重要的医疗技术设备的访问。
数据隐私:医疗技术公司处理越来越多的敏感数据,这带来了隐私挑战。
复杂、相互关联的环境:医疗保健行业由于其环境的复杂、相互关联和异质性而存在固有风险。这种环境带来了诸如互操作性(在组织间共享健康数据的能力)等挑战,由于医疗技术的连通性,这些挑战增加了攻击面。
物联网
针对智能设备的网络攻击正在迅速增长。例如,在2021年上半年,研究人员观察到物联网设备发生151万起入侵事件,是2020年的两倍多。影响物联网网络安全的挑战和风险包括:
有限的功能:与计算机不同,物联网设备的设计具有特定的、狭窄的功能,它们用于网络安全等额外功能的空间有限。因此,物联网设备更容易受到威胁。
设备漏洞:与设备设计相关的另一个挑战是管理漏洞的困难。通常情况下,设备的固件或软件无法更新。即使安全补丁可用,将它们大规模地应用到设备上也是一个巨大的挑战,因为设备制造商没有与计算机制造商相同的更新机制。
不安全的接口:物联网设备传输大量敏感数据,但身份验证和传输协议通常很弱且不安全。这些漏洞可能源于连接到设备的各种接口,包括云、应用程序编程接口 (API) 和移动设备。
云计算
尽管云计算比以上其他新兴技术成熟得多,并且云采用现在已成为主流,但云安全仍然是一个巨大的挑战。2022 年的一项调查发现,公有云事件在过去一年中增长了 10%,超过四分之一的受访组织发生了攻击事件。
许多医疗技术和金融科技风险,如恶意软件攻击和数据隐私都适用于云。其他云威胁和风险包括:
配置错误:由于人为错误或疏忽,云配置错误是大量云安全事件和漏洞背后的罪魁祸首。常见的错误配置包括开放或不受限制的端口、弱身份验证(例如默认密码)和禁用日志记录。
影子 IT:由于许多云应用程序和服务超出了组织的控制范围,因此安全团队通常缺乏对其安全风险和威胁的可见性。
不安全的 API:基于云的解决方案通常依赖第三方服务,而 API 是创建集成和互操作性的流行工具。但是,许多 API 都存在漏洞,例如配置错误的身份验证协议。
如何将网络安全整合到新兴技术中
尽管这四种新兴技术不同,但它们在集成网络安全方面具有许多相同的实践。这些策略可以帮助提高网络安全:
采用 DevSecOps 模式:技术领域的另一个增长趋势是,DevSecOps 将安全性集成到软件开发周期中。在此模型中,DevOps 与安全团队和其他团队密切合作,创建设计安全的应用程序。常见的策略包括静态应用程序安全测试、漏洞管理和自动化。
使用人工智能 (AI)、机器学习和深度学习:人工智能及其子集、机器学习和深度学习本身就是能够解决人类无法解决的网络安全挑战的新兴技术。例如,机器学习算法可以快速处理大量数据以检测模式和异常。算法从过去的经验中学习,这意味着它们会不断改进。
实施零信任:这是一种跨所有部门的增长方法,零信任模型的设计假设没有任何连接请求可以隐式信任,无论它来自何处。零信任安全性要求在用户和设备连接到资源之前动态地进行身份验证、授权和验证。
总结
这四种新兴技术都在不断发展。从网络安全的角度来看,新技术的不断变化会不断引入新的风险和挑战。然而,这种演变也将促使这些技术在发展过程中将网络安全嵌入到其产品设计当中。
来源:
