2024 年願景:針對技術領導者的 10 種預測
預測網路安全和 IT 的未來
我們已經分析了 2023 年最重要的趨勢,以確定組織在 2024 年及以後應該注意的事項。在為您的組織制定未來一年的首要策略和優先事項時,請將此納入考量。
人工智慧是過去一年的決定性趨勢,並且我們完全有理由相信,它將成為 2024 年的主導力量。它將影響您組織的方方面面,從如何提升營運效率,到攻擊者將會針對您組織內部的哪些目標。我們還預計將看到新型的網際網路連線形式、合規性複雜性增加,以及因預算收緊而導致 IT 和安全性發生巨大變化。以下是對網路安全和 IT 未來的十大預測。
1) Starlink 將繞過國家網際網路政策。
Starlink 透過衛星為 60 多個國家/地區提供網際網路接入,但目前需要本地下行鏈路才能運行,因此受到國家電信監管機構的限制。2024 年,SpaceX 將發射 Starship,加快衛星部署步伐,並允許在衛星之間引入光學鏈路。這些發展使得擁有終端的客戶無需本地下行鏈路即可使用網際網路——訊號可以在衛星和世界其他地方的下行鏈路之間傳輸。因此,一些國家/地區將失去對網際網路接入施加限制的籌碼。我們預計,至少將有一個國家/地區會因為 Starlink 的可用性而繞過其國家政策。當考慮將其應用程式部署到特定地區時,組織需要同時考慮國家政策和實際的政治現實。
2) 前端開發人員角色將永久重新定義。
隨著 AI 在為應用程式開發和網站提供程式碼方面變得越來越好,基本的前端開發將變得快速、簡單和商品化。為了跟上產業步伐,前端開發人員需要與 AI 緊密合作。而要在競爭中真正脫穎而出,成功的前端開發人員需要在創造力、問題解決能力、商業洞察力或獨特專業知識等方面具備更多獨特的技能。相比於人工智慧已經深度訓練的成熟框架,使用較新框架的開發人員將更具優勢。前端開��發人員選擇使用的框架以及他們擁有的獨特技能,將影響就業市場以及開發流程的變化方向。
3) 第一次 AI 模型外洩將發生。
威脅執行者經常將成為組織成功關鍵要素的新技術作為目標,AI 也不例外。雖然我們已經遇到了資料外洩等重大的 AI 安全問題,但 2024 年威脅執行者將直接針對 AI 模型本身展開攻擊。組織應該為資料外洩、模型複製和竊取以及模型竄改(即試圖透過改變模型訓練的輸入來操縱 AI 輸出)做好準備。那些希望保護其組織 AI 模型的人應該查看國家網路安全中心 (NCSC) 以及網路安全和基礎架構安全局 (CISA) 的安全 AI 系統開發指南。
4) 成本的上漲將迫使組織在生成式 AI 的防護措施上變得更加聰明。
2024 年,積極實施生成式 AI 的組織將會意識到它的價格並不便宜。由於 AI 晶片的供應鏈問題、有限的 AI 最佳化共置空間以及不斷上漲的能源價格,我們有很多理由預計來年成本將居高不下。這還沒有計算碳排放對社會造成的成本。如果沒有明確的投資回報途徑,CFO 將不會再允許不計量的成本存在。
為此,我們希望組織實施開發人員工具,為 AI 部署提供見解、保護和監控,特別是在實驗階段,以確保成本受到控制。開發人員還將面臨用更少的運算資源完成更多任務的壓力。從基礎模型訓練出來的任務特定模型將是減少所需運算佔用空間的關鍵。解決方案必須能夠利用較小的運算空間來實現,例如伺服器上的單一 GPU、僅有 CPU 的伺服器、筆記型電腦、手機等。
5) 韌性將是 2024 年的首要安全任務。
網際網路現在已成為關鍵基礎架構,可以說在明年,它將比以往任何時候都更容易成為攻擊目標,這一點毫無爭議。隨著越來越多的零時差漏洞、熱門軟體中的缺陷、供應鏈問題以及威脅執行者的策略不斷演變並付諸實施,組織必須高度警惕,採取措施來保持韌性。到了 2024 年,安全性領導者將開始轉變思維模式,將事件管理、修補程式修復以及不斷演進的安全防護轉變為持續性的流程。無論 CISO 的優先事項是什麼或風格如何,負責任的披露都將是維持韌性的一個關鍵支柱。管理像零時差漏洞這類事件並不像「執行修補程式就大功告成」那麼簡單。針對每個漏洞變體的修補程式等緩解措施可能會降低風險,但永遠無法完全消除風險。
6) SASE 將發展成為 Zero Trust 的控制平面。
對於試圖保護不安全網路的組織來說,實施 Zero Trust 一直是一項令人挫敗的工作。要在網路中消除過多的存取權限,並處理資料、應用程式和使用者之間的位置變化,是一項挑戰。我們預計在 2024 年將出現一個轉折點,屆時 Zero Trust 專案將從在網路路徑中插入產品,轉變為透過安全存取服務邊緣 (SASE) 來強化安全控制和基於內容的原則。這實際上建立了一個 Zero Trust 控制平面,該平面位於使用者與資料之間的網路連線之上,而非該網路連線之內。
7) 網路和安全性廠商最終將被迫支援 IPv6。
在 2023 年,IPv6 的採用率介於 45% 到 50% 之間。到 2024 年,這一採用率將超過 50%。然而,目前許多網路和安全廠商並未完全支援 IPv6。更糟糕的是,如果沒有明確的 IPv6 專用支援,安全廠商向客戶提供的用於將流量傳輸到雲端執行點且用於終端使用者裝置、應用程式伺服器和本地網路的軟體型連接器將越來越多地被繞過。由於 IPv4 耗盡的持續挑戰和網路位址轉換日益增加的限制,越來越多的 ISP 為訂閱者提供 IPv6 存取,現在是時候開始詢問您的廠商何時、何地以及如何支援 IPv6 了。
8) 爭奪 AI 主導地位的競爭,將推動人工智慧長這一職位的廣泛設立。
所有類型的組織都在積極投資 AI 模型,並依賴它來執行關鍵的業務功能。此外,各組織正在推動 AI 以保持競爭優勢,華爾街提高了 AI 相關公司的股票評級�,並對那些落後於技術潮流的公司予以懲罰。為了在 AI 快速發展的影響下保持領先地位,組織將任命一名人工智慧長 (Chief AI Officer),來推動 AI 策略並整合相關職責。AI 對企業營運、產品開發和使用者體驗的影響越來越重要,因此需要專門的領導層來監督其使用、道德規範並管理相關風險。
9) AI 支援的社交工程攻擊將蓬勃發展。
生成式 AI 讓建立個人化文字變得輕而易舉。這種工具一旦落入攻擊者手中,將大大增強他們發動大規模、個人化網路釣魚攻擊的能力。2024 年,AI 將成為攻擊者工具組的標準部分。我們已經親眼見證了這一趨勢,例如在商業電子郵件入侵 (BEC) 攻擊中,攻擊者利用 AI 產生的郵件來針對高階主管和員工,試圖騙取詐欺性付款。隨著建立語音深度偽造的工具變得更加普遍,以及用於訓練模型的個人錄音資料越來越多,預計語音深度偽造也會增加。
網路釣魚和社交工程攻擊並不新鮮。真正的變化是數量的增加和品質的提高。先進的電子郵件安全功能(例如 ML 驅動的訊息分析和自適性連結隔離),以及用於多重要素驗證 (MFA) 的防網路釣魚硬體金鑰,正在成為對抗網路釣魚的重要手段。AI 驅動的社交工程攻擊將對流程、資源和工具較少的小型組織造成不成比例的傷害。
10) 合規的複雜性和範圍將進一步增加。
遵守資料隱私權以及資訊安全法律和要求從來都不是一件容易的事,而 2024 年新規範的推出以及更嚴格的審查只會讓這一挑戰更加艱難。全球範圍內正在進行重大的監管變革,包括美國於 2023 年 12 月生效的新 SEC 網路安全規則、歐盟擴展的《網路與資訊系統指令》(NIS2) 的實施,以及 2024 年針對 AI 推出的一項具有開創性意義的歐洲框架。合規性團隊將需要最佳化現有的隱私權和安全技術和流程,以幫助履行這些不斷增長的監管合規義務,同時戰略性地投資針對特定合規需求的工具(如專注於合規性的 AI 軟體)。
在安全認證方面,組織將需要優化安全控制措施,以達成日益受歡迎(且通常屬於基本要求)的安全認證標準,同時滿足現有標準的更新要求。我們預計,安全標準將轉向更注重風險導向而非規範性要求的模式,以滿足相關需求。我們已經在多項安全認證中看到了這種趨勢,例如支付卡產業資料安全標準 (PCI-DSS) 更新至 PCI 4.0 的過程。儘管區域認證工作取得了一些進展(例如歐盟雲端服務網路安全認證計劃 (EUCS)),但我們預計政府合規性領域仍將隨著特定國家/地區認證的增加而擴展。
這一切意味著什麼?
2024 年,IT 和安全團隊將面臨新技術、威脅、法規和不斷上升的成本。尤其是 AI,對各類組織而言已重要到不容忽視的地步。那些無法迅速進行徹底變革的組織將會發現自己在競爭中落後於人。然而,在 39% 的 IT 和安全決策者認為其組織已經失去對數位環境的控制的情況下,快速創新實��施起來並不容易。
您如何取回控制權,確保您的組織在保持安全的同時具備創新所需的敏捷性和效率?採用全球連通雲這個統一平台來整合工具並連接所有領域,您可以重新取得控制權、減少成本並降低與保護擴展的網路環境相關的風險。
Cloudflare 是業界領先的全球連通雲公司。它為各种組織提供支援,不僅幫助世界各處的員工、應用程式和網路提升速度和安全性,還降低了複雜性和成本。Cloudflare 的全球連通雲提供了功能最齊全的統一雲端原生產品和開發人員工具平台,因此,任何組織都能獲得高效工作、不斷開發和加速業務所需的控制能力。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
作者
——Cloudflare 資安長 Grant Bourzikas (@rantbourzikas)
John Engates — @jengates
Cloudflare 現場技術長
重點
閱讀本文後,您將能夠瞭解:
為什麼 AI 採用將面臨嚴峻挑戰
組織應考慮在哪些方面對 IT 和網路安全進行投資
新的威脅和合規性要求將如何影響您的組織