对于安全团队来说,上一个“轻松”的年份是什么时候?当然不是去年。这十年、甚至这个本世纪都不轻松。回顾过去,每年都遭遇了值得关注的新颖网络攻击。
不需要搬出水晶球就能预测2023年还会是同样的情况。要说有什么不同的话,那就是越来越多的威胁和挑战只会扩大威胁版图,并比以往任何时候更快地挫败目前的企业防御体系。网络犯罪分子不会懈怠,安全团队保护网络、系统、应用程序和数据的工作也不该懈怠。
然而,网络威胁并不是2023年需要注意的唯一安全挑战。正在采用的新技术也有其自身的弱点需要解决,常年存在的问题每年都登上“重大挑战”排行榜。
以下是安全团队和组织在2023年需要注意的七大趋势和挑战。
1. 勒索软件
许多人将2020年称为“勒索软件元年”,勒索软件攻击在2019新冠疫情期间激增148%。随后是2021年。IBM安全X-Force威胁情报指数连续第二年发现,勒索软件攻击是最主要的网络攻击类型,占2020年攻击总数的23%,占2021年攻击总数的21%。虽然2022年的攻击数量有所减少,但勒索软件仍是切实存在的重大威胁。
勒索软件在2023年会继续是一大问题,尤其是在双重勒索攻击和勒索软件即服务变得更突出的情况下。
2. 物联网安全
物联网旨在让生活更轻松、更方便,无论是个人生活还是职场生活,但这些联网设备极大地扩大了攻击面,其中许多设备在设计时并没有考虑到安全性。
物联网同样存在安全问题。2016年的Mirai僵尸网络攻击利用了一个常见的物联网安全漏洞:硬编码密码。随后发布的Mirai源代码导致了多种变体,如今依然为非作歹。
立法处于应对这类可预防的问题和随后攻击的最前沿。《2020年物联网网络安全改进法案》为政府机构使用的任何物联网设备制定了安全指导方针。2022年12月,美国白宫宣布竭力保护消费级物联网设备免受网络威胁。一项针对物联网的国家网络安全标记计划预计于2023年春季启动。
其他国家也出台了物联网安全法规。比如,2022年12月6日获得英国皇家批准的《2022年产品安全和电信基础设施法案》将要求对所有物联网设备采取安全措施,比如禁止使用默认密码,并确保制造商按规定披露漏洞。
3. 人工智能(AI)用于正道和歪道
2023年,消费级和企业级AI的使用预计会进一步增长——这对网络安全来说可能既是好事又是坏事。
好消息是,安全团队可以将AI纳入到日常工作中,比如助力安全运营中心的分析师、检测和缓解威胁以及执行欺诈管理和检测。
然而,AI会给安全团队带来很多工作。使用AI的企业团队必须意识到其隐私和安全问题。
AI也可能被威胁分子滥用。攻击者可以在AI上运行恶意软件来测试功效,用不准确的数据毒害AI模型,并摸清正规的企业AI使用情况,以提高攻击成功率。深度伪造等基于AI的攻击越来越经常应用于社会工程攻击中。而基于AI的恶意软件(通过机器学习训练并能独立思考的恶意软件)可能会在不久的将来出现。
4. 削减预算
通胀、利率和国内生产总值(GDP)上升让许多人预测2023年将不可避免地出现经济衰退。即将到来的经济衰退可能会给任何行业形形色色、大大小小的组织带来灾难,尤其是如果导致预算削减和员工裁员的话。
虽然由于很重要,安全常常被认为很安全,不会受到预算和人员削减的影响,但同样不能幸免。此外,安全历来被视为成本中心,因为投资回报率不容易计算。面临预算削减和支出削减的CISO和安全团队必须慎重规划,以确保公司和同事的安全,同时花更少的钱做更多的事,又避免让自己精疲力竭。
5. 技能缺口和人员配备问题
安全行业对技能短缺问题并不陌生。多年来,一份又一份报告得出了结论:安全员工的需求量超过了求职者的数量。更糟糕的是,预算削减和裁员可能意味着团队成员减少,却无论如何要完成同样的工作量。
最近的《(ISC)2网络安全劳动力研究》发现,虽然网络安全劳动力是(ISC)2这家非营利组织有史以来记录的数量最大,但全球安全缺口仍在逐年拉大。目前,网络安全从业人员估计有470万人,比2021年增长11.1%,但要有力地保护和捍卫今天的组织,还需要340万人。然而,招聘并留住拥有必要技能的员工仍然是一大挑战。即使不考虑潜在的预算削减和裁员,这也是严峻的现实。
6. 网络钓鱼
网络钓鱼是形形色色、大大小小的组织都面临的一个永无止境的挑战——没有哪家公司或哪个员工能够免受这种攻击。据《2021年Verizon数据泄露调查报告》显示,25%的数据泄露事件涉及某种网络钓鱼或社交工程伎俩。
这些攻击涉及恶意分子欺骗员工泄露密码、信用卡号码及其他敏感数据,形式多种多样,包括电子邮件网络钓鱼、鱼叉式网络钓鱼、商业电子邮件入侵(BEC)、鲸钓攻击、语音钓鱼和基于图像的网络钓鱼。
以下是一些值得注意的网络钓鱼攻击:
2013年至2015年间,攻击者冒充Facebook和谷歌的合法合作伙伴,从这两家公司骗走了1亿多美元。网络钓鱼诈骗涉及合同和到期资金的发票。
2014年,索尼影业公司高管收到了一个自称“和平守护者”的组织发来的网络钓鱼邮件,随后公司遭到了黑客攻击。据称攻击者窃取的数据超过了100 TB。
2016年,奥地利飞机供应商FACC的一名员工遭到了一名自称是公司首席执行官的攻击者发动的钓鱼攻击,要求将钱电汇到攻击者控制的银行账户,随后该公司被骗走5400万美元。
7. 供应链攻击和软件供应链安全
组织需要注意与自己合作的第三方供应商。信任在这里是合作的基石,但组织在审查第三方时也必须做好尽职调查。基于软件和硬件的供应链攻击会摧毁一家公司。
以2020年12月报道的SolarWinds黑客事件为例,政府撑腰的威胁分子钻了IT性能监控系统SolarWinds Orion的空子。通过Sunburst后门,威胁分子能够访问30000多家SolarWinds客户和合作伙伴,包括美国财政部、商务部和国土安全部等政府机构,以及英特尔、VMware和思科等民间企业。
这次黑客攻击只是表明供应链攻击范围之广、危害之大的一个例子。简而言之,组织必须仔细审查供应链和第三方合作伙伴。
了解第三方和服务提供商使用的软件和软件组件也很重要,2021年Log4Shell漏洞事件就是一个佐证。基于Java的Apache Log4j库中的一个缺陷使恶意分子得以发起远程代码执行攻击,并可能控制目标系统。任何使用这个高危库的软件都可能受到攻击。虽然许多公司可以快速更新自己使用的库版本,但它们的供应商和合作伙伴(以及各自的供应商和合作伙伴)使用的库需要更新,以免容易受到攻击。
遗憾的是,许多公司都不确信自己软件中的组件有无风险,更不用说其软件相连接的其他公司的组件了。如果软件供应链中的某个环节易受攻击,所有人都岌岌可危。
遵循适当的补丁管理是确保任何软件安全可靠、版本最新的关键。使用软件材料清单(SBOM)并向第三方索要这种清单,对于了解合作伙伴使用的软件中的组件是否安全非常重要。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安