對(duì)于安全團(tuán)隊(duì)來說,上一個(gè) " 輕松 " 的年份是什么時(shí)候?當(dāng)然不是去年。這十年、甚至這個(gè)本世紀(jì)都不輕松。回顧過去,每年都遭遇了值得關(guān)注的新穎網(wǎng)絡(luò)攻擊。
不需要搬出水晶球就能預(yù)測(cè) 2023 年還會(huì)是同樣的情況。要說有什么不同的話,那就是越來越多的威脅和挑戰(zhàn)只會(huì)擴(kuò)大威脅版圖,并比以往任何時(shí)候更快地挫敗目前的企業(yè)防御體系。網(wǎng)絡(luò)犯罪分子不會(huì)懈怠,安全團(tuán)隊(duì)保護(hù)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用程序和數(shù)據(jù)的工作也不該懈怠。
然而,網(wǎng)絡(luò)威脅并不是 2023 年需要注意的唯一安全挑戰(zhàn)。正在采用的新技術(shù)也有其自身的弱點(diǎn)需要解決,常年存在的問題每年都登上 " 重大挑戰(zhàn) " 排行榜。
以下是安全團(tuán)隊(duì)和組織在 2023 年需要注意的七大趨勢(shì)和挑戰(zhàn)。
1. 勒索軟件
許多人將 2020 年稱為 " 勒索軟件元年 ",勒索軟件攻擊在 2019 新冠疫情期間激增 148%。隨后是 2021 年。IBM 安全 X-Force 威脅情報(bào)指數(shù)連續(xù)第二年發(fā)現(xiàn),勒索軟件攻擊是最主要的網(wǎng)絡(luò)攻擊類型,占 2020 年攻擊總數(shù)的 23%,占 2021 年攻擊總數(shù)的 21%。雖然 2022 年的攻擊數(shù)量有所減少,但勒索軟件仍是切實(shí)存在的重大威脅。
勒索軟件在 2023 年會(huì)繼續(xù)是一大問題,尤其是在雙重勒索攻擊和勒索軟件即服務(wù)變得更突出的情況下。
2. 物聯(lián)網(wǎng)安全
物聯(lián)網(wǎng)旨在讓生活更輕松、更方便,無論是個(gè)人生活還是職場(chǎng)生活,但這些聯(lián)網(wǎng)設(shè)備極大地?cái)U(kuò)大了攻擊面,其中許多設(shè)備在設(shè)計(jì)時(shí)并沒有考慮到安全性。
物聯(lián)網(wǎng)同樣存在安全問題。2016 年的 Mirai 僵尸網(wǎng)絡(luò)攻擊利用了一個(gè)常見的物聯(lián)網(wǎng)安全漏洞:硬編碼密碼。隨后發(fā)布的 Mirai 源代碼導(dǎo)致了多種變體,如今依然為非作歹。
立法處于應(yīng)對(duì)這類可預(yù)防的問題和隨后攻擊的最前沿。《2020 年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》為政府機(jī)構(gòu)使用的任何物聯(lián)網(wǎng)設(shè)備制定了安全指導(dǎo)方針。2022 年 12 月,美國(guó)白宮宣布竭力保護(hù)消費(fèi)級(jí)物聯(lián)網(wǎng)設(shè)備免受網(wǎng)絡(luò)威脅。一項(xiàng)針對(duì)物聯(lián)網(wǎng)的國(guó)家網(wǎng)絡(luò)安全標(biāo)記計(jì)劃預(yù)計(jì)于 2023 年春季啟動(dòng)。
其他國(guó)家也出臺(tái)了物聯(lián)網(wǎng)安全法規(guī)。比如,2022 年 12 月 6 日獲得英國(guó)皇家批準(zhǔn)的《2022 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案》將要求對(duì)所有物聯(lián)網(wǎng)設(shè)備采取安全措施,比如禁止使用默認(rèn)密碼,并確保制造商按規(guī)定披露漏洞。
3. 人工智能(AI)用于正道和歪道
2023 年,消費(fèi)級(jí)和企業(yè)級(jí) AI 的使用預(yù)計(jì)會(huì)進(jìn)一步增長(zhǎng)——這對(duì)網(wǎng)絡(luò)安全來說可能既是好事又是壞事。
好消息是,安全團(tuán)隊(duì)可以將 AI 納入到日常工作中,比如助力安全運(yùn)營(yíng)中心的分析師、檢測(cè)和緩解威脅以及執(zhí)行欺詐管理和檢測(cè)。
然而,AI 會(huì)給安全團(tuán)隊(duì)帶來很多工作。使用 AI 的企業(yè)團(tuán)隊(duì)必須意識(shí)到其隱私和安全問題。
AI 也可能被威脅分子濫用。攻擊者可以在 AI 上運(yùn)行惡意軟件來測(cè)試功效,用不準(zhǔn)確的數(shù)據(jù)毒害 AI 模型,并摸清正規(guī)的企業(yè) AI 使用情況,以提高攻擊成功率。深度偽造等基于 AI 的攻擊越來越經(jīng)常應(yīng)用于社會(huì)工程攻擊中。而基于 AI 的惡意軟件(通過機(jī)器學(xué)習(xí)訓(xùn)練并能獨(dú)立思考的惡意軟件)可能會(huì)在不久的將來出現(xiàn)。
4. 削減預(yù)算
通脹、利率和國(guó)內(nèi)生產(chǎn)總值(GDP)上升讓許多人預(yù)測(cè) 2023 年將不可避免地出現(xiàn)經(jīng)濟(jì)衰退。即將到來的經(jīng)濟(jì)衰退可能會(huì)給任何行業(yè)形形色色、大大小小的組織帶來災(zāi)難,尤其是如果導(dǎo)致預(yù)算削減和員工裁員的話。
雖然由于很重要,安全常常被認(rèn)為很安全,不會(huì)受到預(yù)算和人員削減的影響,但同樣不能幸免。此外,安全歷來被視為成本中心,因?yàn)橥顿Y回報(bào)率不容易計(jì)算。面臨預(yù)算削減和支出削減的 CISO 和安全團(tuán)隊(duì)必須慎重規(guī)劃,以確保公司和同事的安全,同時(shí)花更少的錢做更多的事,又避免讓自己精疲力竭。
5. 技能缺口和人員配備問題
安全行業(yè)對(duì)技能短缺問題并不陌生。多年來,一份又一份報(bào)告得出了結(jié)論:安全員工的需求量超過了求職者的數(shù)量。更糟糕的是,預(yù)算削減和裁員可能意味著團(tuán)隊(duì)成員減少,卻無論如何要完成同樣的工作量。
最近的《(ISC)2 網(wǎng)絡(luò)安全勞動(dòng)力研究》發(fā)現(xiàn),雖然網(wǎng)絡(luò)安全勞動(dòng)力是(ISC)2 這家非營(yíng)利組織有史以來記錄的數(shù)量最大,但全球安全缺口仍在逐年拉大。目前,網(wǎng)絡(luò)安全從業(yè)人員估計(jì)有 470 萬人,比 2021 年增長(zhǎng) 11.1%,但要有力地保護(hù)和捍衛(wèi)今天的組織,還需要 340 萬人。然而,招聘并留住擁有必要技能的員工仍然是一大挑戰(zhàn)。即使不考慮潛在的預(yù)算削減和裁員,這也是嚴(yán)峻的現(xiàn)實(shí)。
6. 網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)釣魚是形形色色、大大小小的組織都面臨的一個(gè)永無止境的挑戰(zhàn)——沒有哪家公司或哪個(gè)員工能夠免受這種攻擊。據(jù)《2021 年 Verizon 數(shù)據(jù)泄露調(diào)查報(bào)告》顯示,25% 的數(shù)據(jù)泄露事件涉及某種網(wǎng)絡(luò)釣魚或社交工程伎倆。
這些攻擊涉及惡意分子欺騙員工泄露密碼、信用卡號(hào)碼及其他敏感數(shù)據(jù),形式多種多樣,包括電子郵件網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚、商業(yè)電子郵件入侵(BEC)、鯨釣攻擊、語音釣魚和基于圖像的網(wǎng)絡(luò)釣魚。
以下是一些值得注意的網(wǎng)絡(luò)釣魚攻擊:
2013 年至 2015 年間,攻擊者冒充 Facebook 和谷歌的合法合作伙伴,從這兩家公司騙走了 1 億多美元。網(wǎng)絡(luò)釣魚詐騙涉及合同和到期資金的發(fā)票。
2014 年,索尼影業(yè)公司高管收到了一個(gè)自稱 " 和平守護(hù)者 " 的組織發(fā)來的網(wǎng)絡(luò)釣魚郵件,隨后公司遭到了黑客攻擊。據(jù)稱攻擊者竊取的數(shù)據(jù)超過了 100 TB。
2016 年,奧地利飛機(jī)供應(yīng)商 FACC 的一名員工遭到了一名自稱是公司首席執(zhí)行官的攻擊者發(fā)動(dòng)的釣魚攻擊,要求將錢電匯到攻擊者控制的銀行賬戶,隨后該公司被騙走 5400 萬美元。
7. 供應(yīng)鏈攻擊和軟件供應(yīng)鏈安全
組織需要注意與自己合作的第三方供應(yīng)商。信任在這里是合作的基石,但組織在審查第三方時(shí)也必須做好盡職調(diào)查。基于軟件和硬件的供應(yīng)鏈攻擊會(huì)摧毀一家公司。
以 2020 年 12 月報(bào)道的 SolarWinds 黑客事件為例,政府撐腰的威脅分子鉆了 IT 性能監(jiān)控系統(tǒng) SolarWinds Orion 的空子。通過 Sunburst 后門,威脅分子能夠訪問 30000 多家 SolarWinds 客戶和合作伙伴,包括美國(guó)財(cái)政部、商務(wù)部和國(guó)土安全部等政府機(jī)構(gòu),以及英特爾、VMware 和思科等民間企業(yè)。
這次黑客攻擊只是表明供應(yīng)鏈攻擊范圍之廣、危害之大的一個(gè)例子。簡(jiǎn)而言之,組織必須仔細(xì)審查供應(yīng)鏈和第三方合作伙伴。
了解第三方和服務(wù)提供商使用的軟件和軟件組件也很重要,2021 年 Log4Shell 漏洞事件就是一個(gè)佐證。基于 Java 的 Apache Log4j 庫(kù)中的一個(gè)缺陷使惡意分子得以發(fā)起遠(yuǎn)程代碼執(zhí)行攻擊,并可能控制目標(biāo)系統(tǒng)。任何使用這個(gè)高危庫(kù)的軟件都可能受到攻擊。雖然許多公司可以快速更新自己使用的庫(kù)版本,但它們的供應(yīng)商和合作伙伴(以及各自的供應(yīng)商和合作伙伴)使用的庫(kù)需要更新,以免容易受到攻擊。
