在过去的一年里,公钥基础设施(PKI)和网络安全市场发生了一系列事件,为企业重新评估和更新其安全态势带来了催化剂,包括;新法规和变化、围绕证书有效期的讨论、不断发展的人工智能网络威胁,以及安全事件可能对当今数字环境中的IT团队和组织产生破坏性影响的现实例子。
GlobalSign的首席产品官Lila Kee谈到了市场是如何变化的,以及企业如何适应未来几年的进一步发展:“在PKI和网络安全行业,重新关注数据和数字身份安全的承诺已经发生了重大转变,这可以从关键参与者提出的变化得到证明,如CA/B [Certificate Authority/Browser]论坛和互联网浏览器。这些变化将影响组织在各个层面的运作方式,以及他们如何使用各种解决方案来导航。”
在这篇博客中,我们看看诱导事件的催化剂是如何塑造未来一年可能发生的事情的。
1. 人工智能的进化
2. 新的法规正在出现,并且正在变得全球化
3. 基于后量子计算的未来数字信任
4. 区块链和PKI的融合即将到来吗?
5. 证书寿命可能会(再次)减少,而数字证书的使用正在增加
6. 安全应该是每个人的责任
7. PKI和网络安全领域技能短缺
1. 人工智能的进化
如果不考虑今年的技术进步——人工智能(AI),我们就无法看到市场即将到来的趋势。
人工智能已经存在了一段时间,悄悄地积累了知识和复杂性,但今年早些时候使用激增,当我们引入ChatGPT平台时,在线对话以这个主题为主。随着人工智能席卷世界,在整个一年里,随着好处和缺点的出现,组织内部对这项技术既有欢迎又有保留。
人工智能不再是一个遥远的梦想,它正在现代技术中迅速找到自己的位置,提供了重新定义什么是可能的机会,并有潜力提高组织内的效率和生产力。但是关于它在网络安全和PKI市场中的影响和作用有很多故事;一方面,它展示了人工智能如何被用于加强网络攻击,如商业电子邮件妥协和网络钓鱼,使它们更难发现和缓解,但另一方面,研究表明人工智能可以减少解决漏洞或应用补丁所需的时。
随着数据泄露的平均成本增加了15%(自2020年以来),人工智能在PKI和网络安全市场中的未来角色仍有待完全确定,但随着人工智能技术的不断学习和进步,让我们拭目以待。
2. 新的法规正在出现,并且正在变得全球化
在几十年的时间里,制定并完善了标准、法规和协议,目的是提供更好的在线保护和透明度,特别是在数据保护和在线交易方面。eIDAS法规多年来在很大程度上引领了这条道路,eIDAS 2.0和EUDI钱包(欧洲数字身份钱包)的引入带来了巨大的机会,不仅在欧洲市场,而且在全球范围内,因为其他国家期待监管和使用数字身份验证作为一个框架,潜在地采用或适应自己的使用。
今年早些时候,白宫公布了其国家网络安全战略,其他国家如果还没有这样做,预计也会效仿。随着网络安全在政治议程上的上升,组织机构应该意识到,无论是在其运营区域还是在全球范围内,都要遵守相关的贸易领域。
供应商要适应监管的变化
由于许多现有法规已经到位,而且全球范围内预计会发生变化,因此选择一个提供商来支持和指导组织是很重要的。GlobalSign是一家合格的信任服务提供商,提供一系列服务,旨在为企业提供各种满足eIDAS法规的解决方案,但我们也提供支持支付服务指令(PSD2)的解决方案。
3. 基于后量子计算的未来数字信任
量子计算的进展和研究正在进行,尽管主要是在后台进行,虽然明年不太可能取得重大进展,但它是一个越来越多的公司意识到的威胁。面对量子技术的发展,数字证书的安全性问题已经被提出,说实话,现在下结论还为时过早,然而,正如我们在今年早些时候的博客中讨论的那样,后量子计算是旨在开发抵抗量子计算机攻击的密码算法的回应。
不管你怎么看,量子计算正在到来,随之而来的是新的未知威胁和挑战。如果没有新的公钥密码标准,配备量子计算机的黑客可以窃听和干扰依赖信任的系统。关于量子计算机的讨论可能会进一步发展到2024年,因此选择一个积极研究加密方法的证书颁发机构,如GlobalSign,意味着你可以有信心,随着形势的发展,你的证书将保持安全。
4. 区块链和PKI的融合即将到来吗?
区块链技术是作为比特币的创始组件建立的,是一个分布式账本,或去中心化数据库,由使用加密散列形成链的数据块组成,允许信息在商业网络中安全地共享。多年来,许多理论已经发展起来,以证明如何使用区块链通过利用身份通过PKI,同时提供内置的证书透明性来确保数字通信的安全。
直到最近,你可能会说区块链技术和PKI一直都在一起运行,但随着时间的推移,区块链和PKI的融合是否即将到来?
5. 证书寿命可能会(再次)减少,而数字证书的使用正在增加
在过去的十年中,证书的寿命从5年减少到现在的1年(397天),但如果从以前的趋势来看,证书的有效期可能会继续缩短。
今年早些时候,关于缩短SSL / TLS证书寿命的提议在PKI市场和网络安全行业引发了新的讨论。该提案的目的是减少基于证书的网站漏洞,最大限度地减少潜在的漏洞暴露,但同时它也增加了IT团队管理和跟踪证书的数量——这是我们在SSL / TLS之外看到的趋势。
数字证书是一种通用的加密工具,对于任何一个组织都可以用来保护用户、设备或终端的安全。这可以以多种方式跨安全基础设施使用,以防止未知参与者访问公司系统和网络。从物联网(IoT)到开发代码,数字证书的可能性和用例是巨大的,并且还在不断增长。但是,IT团队在应付组织内不同需求时所承受的工作量和压力也随之增加。
自动化可以适应您的要求
为了应对这种增长,企业开始使用工具来自动化PKI操作,包括证书颁发、更新和吊销的过程。自动化解决方案可以适应业务需求,并随着证书数量的增长,确保它们始终符合公司的安全策略和行业法规。
减少手动任务和人为错误的需求,并实时查看证书生命周期,使IT团队能够主动监控证书,并通过自动化及时响应问题。对PKI自动化解决方案的需求不再是一件好事,而是一种必需品。
6. 安全应该是每个人的责任
随着今年许多复杂和人工智能驱动的攻击占据了头条新闻,有一个统计数据非常突出:人为错误仍然占了超过80%的数据泄露事件。这一数字可能多年来有所波动,但仍是市场的趋势,今年也不例外。展望未来一年,安全应是每个人的责任。上述统计数据表明,在降低风险和防止组织数据和信息成为网络攻击的受害者方面,内部可以做得更多。
企业希望通过采用DevOps实践,更快地交付客户价值和大规模的敏捷性,但安全性通常被视为事后考虑。然而,随着行业的转变,这种观点开始发生变化;据Gartner® 称,到2027年,DevSecOps实践预计将嵌入85%的产品开发团队。
在最新的IBM数据泄露成本报告中,最有效的成本缓解方法是采用DevSecOps方法,这对于将安全性构建到组织所依赖的任何工具或平台中至关重要。今年早些时候,针对MOVEit公司的一次零日攻击震惊了网络安全世界,造成了毁灭性的后果,其中一些后果仍在被发现。全球范围内的企业都在修补漏洞,并希望在未来免受类似攻击,但将安全性集成到DevOps生命周期的所有阶段能够持续降低风险。
7. PKI和网络安全领域技能短缺
随着2023年的临近,网络安全和PKI技能的短缺以及企业内部的知识缺口变得越来越明显。例如,在英国,50%的英国企业在基本网络安全技能方面存在差距,而33%的企业在高级网络安全技能方面存在差距。
网络威胁不断演变,强大的安全立场可以建立信任,保障数据访问和完整性。虽然各国正在制定战略和法规,以加强其网络生态系统,但在此期间,组织内部对网络安全和PKI专业知识的需求日益增长。
缩小差距,向您的PKI解决方案提供商寻求信任和专业知识
证书管理的集成和API的使用也在增加,因为组织试图找到方法来尽量减少管理、维护和审计证书的技能短缺的影响。随着新年的临近,这是重新审视你的战略安全目标的最佳时机,并考虑PKI如何在加密、身份验证和访问控制、证书生命周期管理、合规性、法规等方面提供帮助,其中任何一个都可以在过程中的任何时刻成为安全目标。
在GlobalSign,我们有许多针对您的业务设计的解决方案,以减轻风险并保护您的用户、设备和端点。与我们的专家讨论您的PKI需求,以找到最适合您需求的解决方案。