回顧過去,每年都遭遇了值得關注的新穎網絡攻擊。
要說有什么不同的話,那就是越來越多的威脅和挑戰(zhàn)只會擴大威脅版圖,并比以往任何時候更快地挫敗目前的企業(yè)防御體系。網絡犯罪分子不會懈怠,安全團隊保護網絡、系統(tǒng)、應用程序和數(shù)據(jù)的工作也不該懈怠。
以下是安全團隊和組織在2023年需要注意的七大趨勢和挑戰(zhàn)。
1. 勒索軟件
許多人將2020年稱為“勒索軟件元年”,勒索軟件攻擊在2019新冠疫情期間激增148%。隨后是2021年。IBM安全X-Force威脅情報指數(shù)連續(xù)第二年發(fā)現(xiàn),勒索軟件攻擊是最主要的網絡攻擊類型,占2020年攻擊總數(shù)的23%,占2021年攻擊總數(shù)的21%。雖然2022年的攻擊數(shù)量有所減少,但勒索軟件仍是切實存在的重大威脅。
勒索軟件在2023年會繼續(xù)是一大問題,尤其是在雙重勒索攻擊和勒索軟件即服務變得更突出的情況下。
2. 物聯(lián)網安全
物聯(lián)網旨在讓生活更輕松、更方便,無論是個人生活還是職場生活,但這些聯(lián)網設備極大地擴大了攻擊面,其中許多設備在設計時并沒有考慮到安全性。
物聯(lián)網同樣存在安全問題。2016年的Mirai僵尸網絡攻擊利用了一個常見的物聯(lián)網安全漏洞:硬編碼密碼。隨后發(fā)布的Mirai源代碼導致了多種變體,如今依然為非作歹。
立法處于應對這類可預防的問題和隨后攻擊的最前沿。《2020年物聯(lián)網網絡安全改進法案》為政府機構使用的任何物聯(lián)網設備制定了安全指導方針。2022年12月,美國白宮宣布竭力保護消費級物聯(lián)網設備免受網絡威脅。一項針對物聯(lián)網的國家網絡安全標記計劃預計于2023年春季啟動。
其他國家也出臺了物聯(lián)網安全法規(guī)。比如,2022年12月6日獲得英國皇家批準的《2022年產品安全和電信基礎設施法案》將要求對所有物聯(lián)網設備采取安全措施,比如禁止使用默認密碼,并確保制造商按規(guī)定披露漏洞。
3. 人工智能(AI)用于正道和歪道
2023年,消費級和企業(yè)級AI的使用預計會進一步增長——這對網絡安全來說可能既是好事又是壞事。
好消息是,安全團隊可以將AI納入到日常工作中,比如助力安全運營中心的分析師、檢測和緩解威脅以及執(zhí)行欺詐管理和檢測。
然而,AI會給安全團隊帶來很多工作。使用AI的企業(yè)團隊必須意識到其隱私和安全問題。
AI也可能被威脅分子濫用。攻擊者可以在AI上運行惡意軟件來測試功效,用不準確的數(shù)據(jù)毒害AI模型,并摸清正規(guī)的企業(yè)AI使用情況,以提高攻擊成功率。深度偽造等基于AI的攻擊越來越經常應用于社會工程攻擊中。而基于AI的惡意軟件(通過機器學習訓練并能獨立思考的惡意軟件)可能會在不久的將來出現(xiàn)。
4. 削減預算
通脹、利率和國內生產總值(GDP)上升讓許多人預測2023年將不可避免地出現(xiàn)經濟衰退。即將到來的經濟衰退可能會給任何行業(yè)形形色色、大大小小的組織帶來災難,尤其是如果導致預算削減和員工裁員的話。
雖然由于很重要,安全常常被認為很安全,不會受到預算和人員削減的影響,但同樣不能幸免。此外,安全歷來被視為成本中心,因為投資回報率不容易計算。面臨預算削減和支出削減的CISO和安全團隊必須慎重規(guī)劃,以確保公司和同事的安全,同時花更少的錢做更多的事,又避免讓自己精疲力竭。
5. 技能缺口和人員配備問題
安全行業(yè)對技能短缺問題并不陌生。多年來,一份又一份報告得出了結論:安全員工的需求量超過了求職者的數(shù)量。更糟糕的是,預算削減和裁員可能意味著團隊成員減少,卻無論如何要完成同樣的工作量。
最近的《(ISC)2網絡安全勞動力研究》發(fā)現(xiàn),雖然網絡安全勞動力是(ISC)2這家非營利組織有史以來記錄的數(shù)量最大,但全球安全缺口仍在逐年拉大。目前,網絡安全從業(yè)人員估計有470萬人,比2021年增長11.1%,但要有力地保護和捍衛(wèi)今天的組織,還需要340萬人。然而,招聘并留住擁有必要技能的員工仍然是一大挑戰(zhàn)。即使不考慮潛在的預算削減和裁員,這也是嚴峻的現(xiàn)實。
6. 網絡釣魚
網絡釣魚是形形色色、大大小小的組織都面臨的一個永無止境的挑戰(zhàn)——沒有哪家公司或哪個員工能夠免受這種攻擊。據(jù)《2021年Verizon數(shù)據(jù)泄露調查報告》顯示,25%的數(shù)據(jù)泄露事件涉及某種網絡釣魚或社交工程伎倆。
這些攻擊涉及惡意分子欺騙員工泄露密碼、信用卡號碼及其他敏感數(shù)據(jù),形式多種多樣,包括電子郵件網絡釣魚、魚叉式網絡釣魚、商業(yè)電子郵件入侵(BEC)、鯨釣攻擊、語音釣魚和基于圖像的網絡釣魚。
以下是一些值得注意的網絡釣魚攻擊:
2013年至2015年間,攻擊者冒充Facebook和谷歌的合法合作伙伴,從這兩家公司騙走了1億多美元。網絡釣魚詐騙涉及合同和到期資金的發(fā)票。
2014年,索尼影業(yè)公司高管收到了一個自稱“和平守護者”的組織發(fā)來的網絡釣魚郵件,隨后公司遭到了黑客攻擊。據(jù)稱攻擊者竊取的數(shù)據(jù)超過了100 TB。
2016年,奧地利飛機供應商FACC的一名員工遭到了一名自稱是公司首席執(zhí)行官的攻擊者發(fā)動的釣魚攻擊,要求將錢電匯到攻擊者控制的銀行賬戶,隨后該公司被騙走5400萬美元。
7. 供應鏈攻擊和軟件供應鏈安全
組織需要注意與自己合作的第三方供應商。信任在這里是合作的基石,但組織在審查第三方時也必須做好盡職調查。基于軟件和硬件的供應鏈攻擊會摧毀一家公司。
以2020年12月報道的SolarWinds黑客事件為例,政府撐腰的威脅分子鉆了IT性能監(jiān)控系統(tǒng)SolarWinds Orion的空子。通過Sunburst后門,威脅分子能夠訪問30000多家SolarWinds客戶和合作伙伴,包括美國財政部、商務部和國土安全部等政府機構,以及英特爾、VMware和思科等民間企業(yè)。
這次黑客攻擊只是表明供應鏈攻擊范圍之廣、危害之大的一個例子。簡而言之,組織必須仔細審查供應鏈和第三方合作伙伴。
及時掌握網絡安全態(tài)勢 盡在傻蛋網絡安全監(jiān)測系統(tǒng)
本文來源:互聯(lián)網
如涉及侵權,請及時與我們聯(lián)系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明