2023网络安全年度回顾

关键要点

2023年，网络安全专业人士面临了三大重要事件，使得其工作的风险和责任大大提高。

在七月，美国证监会采取了新的规定，要求上市公司在系统遭遇重大的安全漏洞后，必须在四天内向监管机构报告，并在年度公开文件中详细说明其网络安全风险治理的情况。。

这些规定将于2023年12月至2024年7月逐步实施，但在国会受到了抵制，有一项法案试图削弱这些新规定。。

与此同时，一个勒索软件组织在11月利用新规对SEC“报告”了一名遭受攻击的受害者，尽管这些规则尚未生效。一些安全专家担心，这种犯罪报告可能会成为新的敲诈手段，而另一些专家认为新SEC规则其实更有利于投资者，而非公司或CISO们。。

随着人们对ChatGPT及其他人工智能技术的潜力充满期待，几乎所有人都能使用ChatGPT编写网络钓鱼邮件和初级恶意软件。。

到2023年11月，许多人意识到对抗AI驱动的对手的最佳办法是使用AI进行防御。。白宫发布了一项AI行政命令，强化了对快速扩张的AI系统的联邦监管，并推动安全和稳定的AI开发，以降低对消费者和国家安全的风险。。美国和英国也联合发布了AI安全指南，得到了16个国家的支持。。

在2023年，网络勒索事件创下了每月新纪录，并几乎超越了前一年的总支付金额。这一复苏正值面对持续的俄乌战争和美中关系紧张的背景下，国际合作打击网络犯罪的努力遭遇了重大障碍。

俄罗斯外部情报机关的CozyBear威胁组织（即APT29）增加了间谍活动，而FBI局长表示，中国的经济网络间谍活动和知识产权窃取构成了对创新的“前所未有的威胁”。。

针对此类威胁，网络安全买家、供应商、影响者和决策者积极改善其在勒索软件防范、隐私及第三方风险、脆弱性管理、云安全及身份访问管理等方面的实践。。然而，CyberRiskAlliance的多项商业智能调查显示，受访者在实现这些目标时面临不少挑战。

SEC的规则变更和AI行政命令预示着美国政府在私营部门网络安全中的参与度提高。SEC还就SolarWinds在2020年供应链攻击其Orion网络管理软件的事件提出了欺诈指控，联邦贸易委员会对隐私泄露法规的执行也日益严厉，这些话题在以下页面中会有更详细的探讨。

人工智能的潜力在网络安全的各个方面中显得尤为重要。尽管2023年时AI对攻击者和