2022 年网络攻击预示着艰难的 2023 年

2022年年底，针对 Twitter、Rackspace 和其他公司的一系列关于勒索软件、DDoS、大规模渗透、网络钓鱼攻击，攻击暴露了网络安全人员在压力下的局限性，人手不足，有大约 340 万个空缺席位。

最近，Twitter、洛杉矶住房管理局、卫报、Rackspace、非洲的金融机构和其他几家公司造成了损失，而这一些列攻击幕后的操控者就是Royal、Play 和 Bluebottle 在内的威胁行为者。

Twitter 的安全性是如何遭到破坏的？

据称有2.3 亿 Twitter 用户的私人约会记录被泄露是由于攻击者的零日应用程序编程接口缺陷，该攻击者可能被称为 Ryushi，也可能不被称为 Ryushi。

这次攻击还表明，有时付出是值得的。从 Twitter 获得了数百万个电子邮件地址和电话号码后，犯罪分子声称在遭到拒绝之前已向Twitter索要200,000美元。随后他们在12月下旬公开了私人信息。

Abnormal Security 威胁情报主管 Crane Hassold 表示，该事件凸显了确保发送和接收有关用户帐户的潜在敏感信息的 API 安全的重要性，这样威胁行为者就无法利用它们进行恶意攻击。

这起事件与其他涉及支付要求的攻击（如勒索软件）之间存在重大差异。

“有一种道德权利和责备受害者的感觉，而不是出于纯粹的经济利益，这是我们在类似攻击中通常看到的，”他说。

SQA 认可的数字技能学院CodeClan的首席交付官 Ceri Shaw表示，注意到可疑活动（例如密码重置电子邮件、设备上的异常弹出窗口和有针对性的网络钓鱼电子邮件）的 Twitter 用户应该检查安全设置并定期更新他们的密码包含与个人信息无关的特殊字符、字母和数字。

这是 Twitter 的又一次领导混乱吗？

The Dawn Project 的创始人丹·奥多德 (Dan O'Dowd) 表示，在伊隆·马斯克 (Elon Musk) 接管之后，数据泄露事件引发了人们对 Twitter 安全级别的担忧。

他认为：“鉴于马斯克对监管的漫不经心的态度以及他最近对 Twitter 的疯狂解雇，使这种严重性变成了不可避免的。现在必须对 Twitter 的数据保护能力提出紧急问题，因为该网站的流行使其成为黑客的主要目标。”

在谈到特斯拉自动驾驶技术最近出现的问题时，他补充说，考虑到马斯克在 Twitter 雇佣了大量特斯拉工程师，数据泄露可能并不令人惊讶。

2022 年学术和公共部门遭受攻击的频率如何？

EmiSoft 的年度美国勒索软件状况报告详细说明，去年有 106 个地方政府、44 所学院和大学、45 个学区和 25 个医疗保健提供者遭到勒索赎金攻击。在后一个领域，该组织表示，今年最重大的事件发生在 CommonSpirit Health 上，该公司经营着近 150 家医院。

该报告还指出，自 2019 年公司记录到 113 次攻击和 2022 年记录到 106 次攻击以来，针对美国州和地方政府的勒索软件攻击次数一直保持平稳。教育领域也是如此，2019 年至 2022 年期间的年度攻击次数仍保持在80年代的高位。

EmiSoft 的另一项观察：攻击已经从巴尔的摩和亚特兰大等大城市转向较小的政府。

“这可能表明，较大的政府现在正在更好地利用其较大的网络安全预算，而预算较小的较小政府仍然容易受到攻击，”该组织表示。

网络安全人才劳动力准备好了吗？

2022 年全球网络安全劳动力状况调查中指出，负责人人数太少无法满足所有职位空缺。该公司的2022 年网络安全劳动力研究基于对约 11,779 名国际安全从业者和领导者的调查，发现全球 470 万网络劳动力仍不足约 340 万。在北美，缺口超过 436,000 人。

虽然网络安全劳动力正在快速增长，但需求增长更快。尽管在过去一年中增加了 464,000 多人，但网络安全劳动力缺口的增长是劳动力缺口的两倍多报告称，同比增长 26.2%，这也使其成为一了个急需更多人的职业。