2023年網(wǎng)絡安全市場十大預測

距離2023年只有一周多的時間，權(quán)威市場研究機構(gòu)如普華永道、Gartner、麥肯錫、貝恩以及網(wǎng)絡安全巨頭如微軟、Okta、谷歌等紛紛發(fā)布了2023年網(wǎng)絡安全市場的預測，GoUpSec要整理了十點如下：

根據(jù)Gartner的預測，零信任網(wǎng)絡接入（ZTNA）將成為全球增長最快的網(wǎng)絡安全細分市場。預計2022年將增長36%，2023年將增長31%。預計在2021年至2026年間，零信任市場的全球復合年增長率（CAGR）將從6.33億美元躍升至21億美元。

美國的零信任軟件和服務收入的增長反映了這一強勁的市場勢頭，從2021年的3.189億美元增加到2026年的10.4億美元。

Markets and Markets的另一項預測顯示，全球在基于零信任的軟件和服務上的支出將從2022年的274億美元增長到2027年的607億美元，復合年增長率為17.3%。

Okta的報告顯示，97%的公司要么已經(jīng)實施了零信任計劃，要么將在未來12到18個月內(nèi)實施零信任計劃。該調(diào)查基于對700名主管級及以上級別的安全決策者的采訪，結(jié)果遠高于四年前的16%和2020年的41%。

Gartner認為遠程辦公和“去VPN化”趨勢是零信任市場增長的主要動力。Gartner預測，到2025年，至少有70%的新遠程訪問部署將主要由ZTNA而不是VPN服務提供服務，而2021年底這一比例還不到10%。

根據(jù)Okta的報告，云基礎架構(gòu)的特權(quán)訪問（PAM）、API安全訪問和基于上下文的訪問策略將是2023年福布斯全球2000強企業(yè)零信任方案的最高優(yōu)先級項目，2023年全球身份訪問管理（IAM）軟件和解決方案支出規(guī)模將達到207.5億美元。CISO們已經(jīng)部署以及未來12-18個月即將部署的零信任項目如下（數(shù)據(jù)來自Okta）：

根據(jù)普華永道的報告，2022年，16%的企業(yè)已經(jīng)從投資云安全、安全意識培訓和端點安全中獲益，半數(shù)受訪企業(yè)已經(jīng)開始實施或者計劃實施零信任，并規(guī)劃和實施企業(yè)范圍的信息治理網(wǎng)絡。

Gartner預測，到2023年，40%的企業(yè)工作負載將部署在云基礎設施和平臺服務（集成和獨立）中，高于2020年的20%。預計到2023年，信息安全和風險管理產(chǎn)品和服務的支出將增長11.3%，達到1883億美元以上。

Gartner預測，未來兩年云安全是增長最快的網(wǎng)絡安全市場之一，到2023年將達到26.8%的增長率。Gartner高級總監(jiān)分析師Ruggero Contu表示：“疫情加速了混合工作和向云的轉(zhuǎn)變，給首席信息安全官帶來了挑戰(zhàn)，以確保日益分散的企業(yè)的安全。安全服務，包括咨詢、硬件支持、實施和外包服務，是最大的網(wǎng)絡安全支出類別，2022年接近720億美元，預計到2023年將達到765億美元。2021-2023年全球信息安全與風險管理投資優(yōu)先級熱點統(tǒng)計如下（數(shù)據(jù)來自Gartner）：

根據(jù)麥肯錫的調(diào)查評估，全球網(wǎng)絡安全市場總規(guī)模在1.5萬億美元至2萬億美元之間，但市場滲透率很低（下圖），目前只有10%由安全解決方案供應商提供服務。

麥肯錫最近的調(diào)查定義了比供應商可以解決的規(guī)模大得多的網(wǎng)絡安全市場潛在需求總量（TAM），這是由于網(wǎng)絡攻擊的指數(shù)級增長和嚴重性增加。麥肯錫估計，只有30%到35%的數(shù)據(jù)保護和治理、風險和合規(guī)市場得到了安全廠商的服務。

麥肯錫估計，高達25%的組織的身份和訪問管理（IAM）網(wǎng)絡安全要求可以通過當前的供應商服務來滿足，但調(diào)查結(jié)果表明“許多（如果不是大多數(shù)）首席信息安全官（CISO）的預算資金不足。網(wǎng)絡安全提供商必須通過安全能力的現(xiàn)代化和重新思考營銷戰(zhàn)略來應對這種挑戰(zhàn)。“

根據(jù)IDC的市場調(diào)查數(shù)據(jù)，企業(yè)端點安全市場是網(wǎng)絡安全領域增長最快的市場之一，2021年全球企業(yè)端點安全市場增長了29.0%，收入從2020年的80億美元增加到2021年的103億美元，增長了23億美元。

根據(jù)IDC 2021年全球端點安全市場份額統(tǒng)計（上圖），CrowdStrike擁有2021年103億美元企業(yè)端點安全市場的12.6%，同比增長67.9%。CrowdStrike仍然是現(xiàn)代端點安全細分市場中最大的供應商，其市場份額從2020年的12.0%提升至2021年的15.5%。

貝恩公司最近對其網(wǎng)絡安全最佳實踐調(diào)查的分析表明，首席信息安全官和高級安全領導者低估了沒有充分實現(xiàn)網(wǎng)絡安全最佳實踐的風險。貝恩的分析發(fā)現(xiàn)，在1-5分的網(wǎng)絡安全成熟度評分機制中，一家典型的公司的評分可能只有1.5到2.5，遠低于貝恩推薦的風險和安全管理的最佳實踐水平。

事實上，只有3%的首席信息安全官認為他們達到了網(wǎng)絡安全的最佳實踐水平，而達標企業(yè)只有24%。安全成熟度高的企業(yè)的安全支出的收入占比遠高于安全成熟度低的企業(yè)（下圖）：

貝恩還在報告中指出，NIST和ISO 27002等行業(yè)框架是網(wǎng)絡安全的重要組成部分。但是，為了在全球不穩(wěn)定時期充分保護自己，企業(yè)需要跳出上述框架的局限，更加聚焦于零信任戰(zhàn)略和未來的挑戰(zhàn)。

Netwrix的2023年網(wǎng)絡安全趨勢報告指出：長期以來，用戶一直是IT安全的薄弱環(huán)節(jié)，他們?nèi)菀状蜷_受感染的電子郵件附件，點擊惡意鏈接或進行其他危險行為?，F(xiàn)在，社會工程學的快速發(fā)展和易于使用的深度偽造技術(shù)使攻擊者能更容易誘騙更多用戶。

因此，對用戶活動的全面審計對于及時發(fā)現(xiàn)異常行為以防止嚴重事件變得更加重要。此外，實施零長期特權(quán)（ZSP）方法將有助于企業(yè)防止用戶權(quán)限濫用。

谷歌隱私和安全副總裁漢森指出：“勒索軟件仍然是我們面臨的最大威脅之一，并且還在繼續(xù)增長。2022年，勒索軟件攻擊增加了130%以上。”

從國家黑客到網(wǎng)絡犯罪成員，攻擊者使用相同的技術(shù)，因為它們有效。到2023年，我們將看到攻擊者采用人工智能來提高針對關(guān)鍵基礎設施和供應鏈的攻擊速度和準確性。

對于防御者來說，2023將是顛覆性的一年。人員與人工智能驅(qū)動的威脅情報、創(chuàng)新和投資的結(jié)合將使我們能夠更快地采取行動，在攻擊者造成更多損害之前破壞他們的行動，限制他們獲得非法收入并持續(xù)攻擊的能力。

谷歌Chrome瀏覽器副總裁Parisa Tabriz認為：除了密碼管理和帳戶安全改進之外，我們還將看到越來越多的開發(fā)人員甚至普通用戶開始采用密鑰技術(shù)保護賬戶。

谷歌平臺和生態(tài)系統(tǒng)高級總監(jiān)Mark Risher則指出：“隨著如此多的泄露數(shù)據(jù)在暗網(wǎng)上流傳，針對個人賬戶的攻擊將激增，黑客不僅會嘗試利用重復使用的密碼，還會利用泄露的秘密問題字段（出生日期，SSN，街道地址或其他）。

此外，隨著個人信息的大量泄露，針對短信/一次性密碼（OTP）的雙因素認證的網(wǎng)絡釣魚也將繼續(xù)增長，因此，越來越多的網(wǎng)站和應用程序?qū)⒏锌赡転槊嫦蛳M者的應用和內(nèi)部管理工具部署密鑰。

“在混合企業(yè)環(huán)境中，隨著網(wǎng)絡上發(fā)生更多工作，瀏覽器將成為企業(yè)安全更具戰(zhàn)略意義的資產(chǎn)。在勞動力方面，私營和公共部門對網(wǎng)絡安全經(jīng)驗和能力的需求將繼續(xù)超過現(xiàn)有人才供應。這強調(diào)了未來對多學科網(wǎng)絡安全技能發(fā)展進行投資的必要性。”

微軟威脅情報執(zhí)行副總裁約翰蘭伯特指出：預防仍然是最佳方法，但下一個最成功的策略是專注于早期發(fā)現(xiàn)和疫情控制，這有助于限制違規(guī)的規(guī)模。

確保組織能夠跨數(shù)據(jù)、基礎架構(gòu)、身份和應用程序（尤其是IT、OT和IoT）了解從客戶端到云的數(shù)字資產(chǎn)，這一點至關(guān)重要。就像對他們的基礎設施采取“由外而內(nèi)”的視圖，以了解攻擊者暴露的內(nèi)容以及如何鎖定這些資產(chǎn)一樣。

2023年在防御端，我們將看到將人工智能和威脅情報的力量相結(jié)合的創(chuàng)新，以便大規(guī)模應用威脅情報來檢測和阻止攻擊的傳播。我們還將看到安全業(yè)界部更深入的伙伴關(guān)系和情報共享，以加強我們的集體理解。

主動防御網(wǎng)絡威脅是一項全球使命，全球網(wǎng)絡安全人士需要共同解決這個當今最具挑戰(zhàn)性的問題。

微軟網(wǎng)絡安全政策與保護總經(jīng)理兼副總法律顧問Amy Hogan-Burney指出：Emotet，Conti和Trickbot等惡意軟件的回歸表明網(wǎng)絡犯罪服務的壯大。而勒索軟件即服務的增長使沒有技術(shù)技能的犯罪分子也能實施勒索軟件攻擊，暗網(wǎng)上向受害者或其競爭對手出售被盜數(shù)據(jù)來賺錢。

到2023年，我們將繼續(xù)看到網(wǎng)絡犯罪分子適應并找到實施其技術(shù)的新方法，從而增加他們托管活動運營基礎設施的方式和位置的復雜性。

網(wǎng)絡犯罪經(jīng)濟的商業(yè)化使任何技能水平的攻擊者都更容易執(zhí)行入侵、泄露數(shù)據(jù)和部署勒索軟件。

這導致越來越多的在線服務助長了各種網(wǎng)絡犯罪，包括商業(yè)電子郵件泄露和人為操作的勒索軟件。基本安全衛(wèi)生可抵御98%的攻擊，但由于網(wǎng)絡犯罪沒有國界，我們必須繼續(xù)通過公共和私人伙伴關(guān)系共同應對這一威脅。

2023年企業(yè)需要為網(wǎng)絡釣魚活動的增長做好準備：重要的防御策略包括及時修補和更新軟件，以及部署多因素身份驗證（MFA）和特權(quán)訪問管理（PAM）解決方案來鎖定網(wǎng)絡訪問。

文章來源：GoUpSec