对于安全团队来说,上一个 " 轻松 " 的年份是什么时候?当然不是去年。这十年、甚至这个本世纪都不轻松。回顾过去,每年都遭遇了值得关注的新颖网络攻击。
不需要搬出水晶球就能预测 2023 年还会是同样的情况。要说有什么不同的话,那就是越来越多的威胁和挑战只会扩大威胁版图,并比以往任何时候更快地挫败目前的企业防御体系。网络犯罪分子不会懈怠,安全团队保护网络、系统、应用程序和数据的工作也不该懈怠。
然而,网络威胁并不是 2023 年需要注意的唯一安全挑战。正在采用的新技术也有其自身的弱点需要解决,常年存在的问题每年都登上 " 重大挑战 " 排行榜。
以下是安全团队和组织在 2023 年需要注意的七大趋势和挑战。
1. 勒索软件
许多人将 2020 年称为 " 勒索软件元年 ",勒索软件攻击在 2019 新冠疫情期间激增 148%。随后是 2021 年。IBM 安全 X-Force 威胁情报指数连续第二年发现,勒索软件攻击是最主要的网络攻击类型,占 2020 年攻击总数的 23%,占 2021 年攻击总数的 21%。虽然 2022 年的攻击数量有所减少,但勒索软件仍是切实存在的重大威胁。
勒索软件在 2023 年会继续是一大问题,尤其是在双重勒索攻击和勒索软件即服务变得更突出的情况下。
2. 物联网安全
物联网旨在让生活更轻松、更方便,无论是个人生活还是职场生活,但这些联网设备极大地扩大了攻击面,其中许多设备在设计时并没有考虑到安全性。
物联网同样存在安全问题。2016 年的 Mirai 僵尸网络攻击利用了一个常见的物联网安全漏洞:硬编码密码。随后发布的 Mirai 源代码导致了多种变体,如今依然为非作歹。
立法处于应对这类可预防的问题和随后攻击的最前沿。《2020 年物联网网络安全改进法案》为政府机构使用的任何物联网设备制定了安全指导方针。2022 年 12 月,美国白宫宣布竭力保护消费级物联网设备免受网络威胁。一项针对物联网的国家网络安全标记计划预计于 2023 年春季启动。
其他国家也出台了物联网安全法规。比如,2022 年 12 月 6 日获得英国皇家批准的《2022 年产品安全和电信基础设施法案》将要求对所有物联网设备采取安全措施,比如禁止使用默认密码,并确保制造商按规定披露漏洞。
3. 人工智能(AI)用于正道和歪道
2023 年,消费级和企业级 AI 的使用预计会进一步增长——这对网络安全来说可能既是好事又是坏事。
好消息是,安全团队可以将 AI 纳入到日常工作中,比如助力安全运营中心的分析师、检测和缓解威胁以及执行欺诈管理和检测。
然而,AI 会给安全团队带来很多工作。使用 AI 的企业团队必须意识到其隐私和安全问题。
AI 也可能被威胁分子滥用。攻击者可以在 AI 上运行恶意软件来测试功效,用不准确的数据毒害 AI 模型,并摸清正规的企业 AI 使用情况,以提高攻击成功率。深度伪造等基于 AI 的攻击越来越经常应用于社会工程攻击中。而基于 AI 的恶意软件(通过机器学习训练并能独立思考的恶意软件)可能会在不久的将来出现。
4. 削减预算
通胀、利率和国内生产总值(GDP)上升让许多人预测 2023 年将不可避免地出现经济衰退。即将到来的经济衰退可能会给任何行业形形色色、大大小小的组织带来灾难,尤其是如果导致预算削减和员工裁员的话。
虽然由于很重要,安全常常被认为很安全,不会受到预算和人员削减的影响,但同样不能幸免。此外,安全历来被视为成本中心,因为投资回报率不容易计算。面临预算削减和支出削减的 CISO 和安全团队必须慎重规划,以确保公司和同事的安全,同时花更少的钱做更多的事,又避免让自己精疲力竭。
5. 技能缺口和人员配备问题
安全行业对技能短缺问题并不陌生。多年来,一份又一份报告得出了结论:安全员工的需求量超过了求职者的数量。更糟糕的是,预算削减和裁员可能意味着团队成员减少,却无论如何要完成同样的工作量。
最近的《(ISC)2 网络安全劳动力研究》发现,虽然网络安全劳动力是(ISC)2 这家非营利组织有史以来记录的数量最大,但全球安全缺口仍在逐年拉大。目前,网络安全从业人员估计有 470 万人,比 2021 年增长 11.1%,但要有力地保护和捍卫今天的组织,还需要 340 万人。然而,招聘并留住拥有必要技能的员工仍然是一大挑战。即使不考虑潜在的预算削减和裁员,这也是严峻的现实。
6. 网络钓鱼
网络钓鱼是形形色色、大大小小的组织都面临的一个永无止境的挑战——没有哪家公司或哪个员工能够免受这种攻击。据《2021 年 Verizon 数据泄露调查报告》显示,25% 的数据泄露事件涉及某种网络钓鱼或社交工程伎俩。
这些攻击涉及恶意分子欺骗员工泄露密码、信用卡号码及其他敏感数据,形式多种多样,包括电子邮件网络钓鱼、鱼叉式网络钓鱼、商业电子邮件入侵(BEC)、鲸钓攻击、语音钓鱼和基于图像的网络钓鱼。
以下是一些值得注意的网络钓鱼攻击:
2013 年至 2015 年间,攻击者冒充 Facebook 和谷歌的合法合作伙伴,从这两家公司骗走了 1 亿多美元。网络钓鱼诈骗涉及合同和到期资金的发票。
2014 年,索尼影业公司高管收到了一个自称 " 和平守护者 " 的组织发来的网络钓鱼邮件,随后公司遭到了黑客攻击。据称攻击者窃取的数据超过了 100 TB。
2016 年,奥地利飞机供应商 FACC 的一名员工遭到了一名自称是公司首席执行官的攻击者发动的钓鱼攻击,要求将钱电汇到攻击者控制的银行账户,随后该公司被骗走 5400 万美元。
7. 供应链攻击和软件供应链安全
组织需要注意与自己合作的第三方供应商。信任在这里是合作的基石,但组织在审查第三方时也必须做好尽职调查。基于软件和硬件的供应链攻击会摧毁一家公司。
以 2020 年 12 月报道的 SolarWinds 黑客事件为例,政府撑腰的威胁分子钻了 IT 性能监控系统 SolarWinds Orion 的空子。通过 Sunburst 后门,威胁分子能够访问 30000 多家 SolarWinds 客户和合作伙伴,包括美国财政部、商务部和国土安全部等政府机构,以及英特尔、VMware 和思科等民间企业。
这次黑客攻击只是表明供应链攻击范围之广、危害之大的一个例子。简而言之,组织必须仔细审查供应链和第三方合作伙伴。
了解第三方和服务提供商使用的软件和软件组件也很重要,2021 年 Log4Shell 漏洞事件就是一个佐证。基于 Java 的 Apache Log4j 库中的一个缺陷使恶意分子得以发起远程代码执行攻击,并可能控制目标系统。任何使用这个高危库的软件都可能受到攻击。虽然许多公司可以快速更新自己使用的库版本,但它们的供应商和合作伙伴(以及各自的供应商和合作伙伴)使用的库需要更新,以免容易受到攻击。
