對于安全團隊來說,上一個 " 輕松 " 的年份是什麽時候?當然不是去年。這十年、甚至這個本世紀都不輕松。回顧過去,每年都遭遇了值得關注的新穎網絡攻擊。
不需要搬出水晶球就能預測 2023 年還會是同樣的情況。要說有什麽不同的話,那就是越來越多的威脅和挑戰隻會擴大威脅版圖,并比以往任何時候更快地挫敗目前的企業防禦體系。網絡犯罪分子不會懈怠,安全團隊保護網絡、系統、應用程序和數據的工作也不該懈怠。
然而,網絡威脅并不是 2023 年需要注意的唯一安全挑戰。正在采用的新技術也有其自身的弱點需要解決,常年存在的問題每年都登上 " 重大挑戰 " 排行榜。
以下是安全團隊和組織在 2023 年需要注意的七大趨勢和挑戰。
1. 勒索軟件
許多人将 2020 年稱爲 " 勒索軟件元年 ",勒索軟件攻擊在 2019 新冠疫情期間激增 148%。随後是 2021 年。IBM 安全 X-Force 威脅情報指數連續第二年發現,勒索軟件攻擊是最主要的網絡攻擊類型,占 2020 年攻擊總數的 23%,占 2021 年攻擊總數的 21%。雖然 2022 年的攻擊數量有所減少,但勒索軟件仍是切實存在的重大威脅。
勒索軟件在 2023 年會繼續是一大問題,尤其是在雙重勒索攻擊和勒索軟件即服務變得更突出的情況下。
2. 物聯網安全
物聯網旨在讓生活更輕松、更方便,無論是個人生活還是職場生活,但這些聯網設備極大地擴大了攻擊面,其中許多設備在設計時并沒有考慮到安全性。
物聯網同樣存在安全問題。2016 年的 Mirai 僵屍網絡攻擊利用了一個常見的物聯網安全漏洞:硬編碼密碼。随後發布的 Mirai 源代碼導緻了多種變體,如今依然爲非作歹。
立法處于應對這類可預防的問題和随後攻擊的最前沿。《2020 年物聯網網絡安全改進法案》爲政府機構使用的任何物聯網設備制定了安全指導方針。2022 年 12 月,美國白宮宣布竭力保護消費級物聯網設備免受網絡威脅。一項針對物聯網的國家網絡安全标記計劃預計于 2023 年春季啓動。
其他國家也出台了物聯網安全法規。比如,2022 年 12 月 6 日獲得英國皇家批準的《2022 年産品安全和電信基礎設施法案》将要求對所有物聯網設備采取安全措施,比如禁止使用默認密碼,并确保制造商按規定披露漏洞。
3. 人工智能(AI)用于正道和歪道
2023 年,消費級和企業級 AI 的使用預計會進一步增長——這對網絡安全來說可能既是好事又是壞事。
好消息是,安全團隊可以将 AI 納入到日常工作中,比如助力安全運營中心的分析師、檢測和緩解威脅以及執行欺詐管理和檢測。
然而,AI 會給安全團隊帶來很多工作。使用 AI 的企業團隊必須意識到其隐私和安全問題。
AI 也可能被威脅分子濫用。攻擊者可以在 AI 上運行惡意軟件來測試功效,用不準确的數據毒害 AI 模型,并摸清正規的企業 AI 使用情況,以提高攻擊成功率。深度僞造等基于 AI 的攻擊越來越經常應用于社會工程攻擊中。而基于 AI 的惡意軟件(通過機器學習訓練并能獨立思考的惡意軟件)可能會在不久的将來出現。
4. 削減預算
通脹、利率和國内生産總值(GDP)上升讓許多人預測 2023 年将不可避免地出現經濟衰退。即将到來的經濟衰退可能會給任何行業形形色色、大大小小的組織帶來災難,尤其是如果導緻預算削減和員工裁員的話。
雖然由于很重要,安全常常被認爲很安全,不會受到預算和人員削減的影響,但同樣不能幸免。此外,安全曆來被視爲成本中心,因爲投資回報率不容易計算。面臨預算削減和支出削減的 CISO 和安全團隊必須慎重規劃,以确保公司和同事的安全,同時花更少的錢做更多的事,又避免讓自己精疲力竭。
5. 技能缺口和人員配備問題
安全行業對技能短缺問題并不陌生。多年來,一份又一份報告得出了結論:安全員工的需求量超過了求職者的數量。更糟糕的是,預算削減和裁員可能意味着團隊成員減少,卻無論如何要完成同樣的工作量。
最近的《(ISC)2 網絡安全勞動力研究》發現,雖然網絡安全勞動力是(ISC)2 這家非營利組織有史以來記錄的數量最大,但全球安全缺口仍在逐年拉大。目前,網絡安全從業人員估計有 470 萬人,比 2021 年增長 11.1%,但要有力地保護和捍衛今天的組織,還需要 340 萬人。然而,招聘并留住擁有必要技能的員工仍然是一大挑戰。即使不考慮潛在的預算削減和裁員,這也是嚴峻的現實。
6. 網絡釣魚
網絡釣魚是形形色色、大大小小的組織都面臨的一個永無止境的挑戰——沒有哪家公司或哪個員工能夠免受這種攻擊。據《2021 年 Verizon 數據洩露調查報告》顯示,25% 的數據洩露事件涉及某種網絡釣魚或社交工程伎倆。
這些攻擊涉及惡意分子欺騙員工洩露密碼、信用卡号碼及其他敏感數據,形式多種多樣,包括電子郵件網絡釣魚、魚叉式網絡釣魚、商業電子郵件入侵(BEC)、鲸釣攻擊、語音釣魚和基于圖像的網絡釣魚。
以下是一些值得注意的網絡釣魚攻擊:
2013 年至 2015 年間,攻擊者冒充 Facebook 和谷歌的合法合作夥伴,從這兩家公司騙走了 1 億多美元。網絡釣魚詐騙涉及合同和到期資金的發票。
2014 年,索尼影業公司高管收到了一個自稱 " 和平守護者 " 的組織發來的網絡釣魚郵件,随後公司遭到了黑客攻擊。據稱攻擊者竊取的數據超過了 100 TB。
2016 年,奧地利飛機供應商 FACC 的一名員工遭到了一名自稱是公司首席執行官的攻擊者發動的釣魚攻擊,要求将錢電彙到攻擊者控制的銀行賬戶,随後該公司被騙走 5400 萬美元。
7. 供應鏈攻擊和軟件供應鏈安全
組織需要注意與自己合作的第三方供應商。信任在這裏是合作的基石,但組織在審查第三方時也必須做好盡職調查。基于軟件和硬件的供應鏈攻擊會摧毀一家公司。
以 2020 年 12 月報道的 SolarWinds 黑客事件爲例,政府撐腰的威脅分子鑽了 IT 性能監控系統 SolarWinds Orion 的空子。通過 Sunburst 後門,威脅分子能夠訪問 30000 多家 SolarWinds 客戶和合作夥伴,包括美國财政部、商務部和國土安全部等政府機構,以及英特爾、VMware 和思科等民間企業。
這次黑客攻擊隻是表明供應鏈攻擊範圍之廣、危害之大的一個例子。簡而言之,組織必須仔細審查供應鏈和第三方合作夥伴。
了解第三方和服務提供商使用的軟件和軟件組件也很重要,2021 年 Log4Shell 漏洞事件就是一個佐證。基于 Java 的 Apache Log4j 庫中的一個缺陷使惡意分子得以發起遠程代碼執行攻擊,并可能控制目标系統。任何使用這個高危庫的軟件都可能受到攻擊。雖然許多公司可以快速更新自己使用的庫版本,但它們的供應商和合作夥伴(以及各自的供應商和合作夥伴)使用的庫需要更新,以免容易受到攻擊。
遺憾的是,許多公司都不确信自己軟件中的組件有無風險,更不用說其軟件相連接的其他公司的組件了。如果軟件供應鏈中的某個環節易受攻擊,所有人都岌岌可危。
遵循适當的補丁管理是确保任何軟件安全可靠、版本最新的關鍵。使用軟件材料清單(SBOM)并向第三方索要這種清單,對于了解合作夥伴使用的軟件中的組件是否安全非常重要。
