2021 年是網絡攻擊破紀錄的一年，去年的黑客攻擊和違規事件比以往任何一年都多。盡管聯邦政府制定了新的網絡安全標準來解決這一問題，但仍創下了記錄，并且由于遠程辦公的持續擴散而加劇了這一記錄的產生。2021 年，遠程辦公的美國員工比以往任何時候都多，根據一項對美國企業的調查發現，近 70% 的企業永久關閉了部分或全部辦公空間。但是，面臨安全威脅風險卻在不斷增加。

今年，我們預計網絡攻擊將持續增加，并希望看到更多的企業采用零信任架構及規范來應對以下威脅。

盡管有政府干預，但供應鏈漏洞依然存在

從硬件和軟件的角度來看，2022 年可能會出現重大的供應鏈漏洞。隨著疫情的蔓延，更多用于遠程辦公的個人硬件，如筆記本電腦和無線路由器，可能會使用過時的固件或弱密碼，從而為黑客提供了輕松訪問網絡的機會。

與此同時，Log4j 漏洞的爆發，提醒了全世界應注意開源軟件的安全風險。

5 月行政命令中的“軟件物料清單”(SBOM)指令是提高可見性和防止此類攻擊的良好開端。然而，漏洞依然存在。與聯邦機構合作的承包商要遵守復雜的指導方針，他們可能難以準確一致地提交證明其軟件組件安全且無缺陷的認證。此外，雖然為新軟件生成 SBOM 很簡單，但對于已安裝的軟件來說，這個過程比較困難?，F有軟件的漏洞可能會帶來看不見的供應鏈問題。

雇傭軍發起的隱蔽的國家級網絡攻擊將日益增加

雖然今年 IT 人員對供應鏈問題印象深刻，但出于對國家安全的考慮，針對爭奪網絡霸權開展的國家級網絡攻擊將變得更加突出。在過去的幾年里，出于政治和間諜目的的網絡攻擊已經從秘密到半公開，再到肆無忌憚。

今年各國將繼續加大力度，利用網絡雇傭軍來實施更多的攻擊，并毫不掩飾的進行否認。這種增長遲早會發生，專家預測烏克蘭與俄羅斯的沖突將成為一個爆發點。

美國政府似乎對此表示贊同，國土安全部警告稱，俄羅斯可能會對美國發起網絡攻擊。

并購將帶來更大風險

2021年，并購交易打破了紀錄，全球交易額首次超過5萬億美元。在此期間，我們花費了無數的時間進行財務盡職調查，以幫助企業了解每一個潛在的風險。

隨著未來一年并購交易可能再創歷史新高，企業面臨的違規和黑客攻擊風險增加。企業在整合網絡和數據的過程中，存在著繼承安全隱患的風險。近些年最著名的在合并期間未進行徹底網絡安全分析而受影響的例子是，2017年，Verizon對雅虎(Yahoo)的收購大幅縮水3.5億美元，原因是數據泄露影響了雅虎，并損害了逾10億個客戶賬戶。

并購交易可以被視為供應鏈攻擊的另一個載體，隨著并購的增加，安全事件也會發生。2022年，企業必須對網絡安全盡職調查給予同等考慮，否則就會將自己暴露于風險之中。

零信任將發揮更大作用，但可能發生失誤

拜登政府的行政命令要求聯邦機構迅速采用零信任架構，以防止近年來發生的此類重大泄密事件。雖然這些規定適用于政府機構，但NIST 800-207的要求目前正逐步滲透到聯邦承包商那里，網絡安全標準已被納入合同條款。

這是良性的發展，但也存在風險。如果這些承包商沒有投入正確實施零信任架構及規范所需的時間和精力，他們可能會以無效或易受攻擊的不完整的模型而告終，一些企業認為零信任僅意味著多因素身份驗證，但他們還需要保護通信和關鍵資源。

這項任務并不簡單，企業必須有充分的時間構建一個實質性的解決方案。如果實施得當，零信任將確保資源（包括應用程序、數據和服務）受到保護，只授予被批準的用戶訪問這些資源的權限。

雖然 2022 年將延續去年出現的趨勢和威脅，但政府對零信任和供應鏈報告的指導令人鼓舞。有了新的承諾，我們有望看到公共和私人組織能有所轉機，并減少未來的事件數量。