随著(zhe)創新技術的(de)不斷興起，以及網絡犯罪的(de)日益專業化(huà)，網絡安全攻擊風險仍在持續增長(cháng)。可(kě)以預見，2023年的(de)網絡安全形勢依然嚴峻，需要國家不斷完善網絡安全政策和(hé)法規，網絡安全企業積極創新網絡安全防護技術。

趨勢一：API威脅複雜(zá)化(huà)

無處不在的(de)API，爲創新技術和(hé)業務發展提供強力支撐的(de)同時(shí)，也(yě)增加了(le)企業風險的(de)暴露面和(hé)攻擊面，近幾年因API安全問題導緻的(de)攻擊和(hé)數據洩漏事件頻(pín)頻(pín)發生。OpinionMatters在2022年發布的(de)調研報告顯示，超過四分(fēn)之三的(de)英美(měi)高(gāo)級網絡安全專業人(rén)員(yuán)表示，過去12個(gè)月(yuè)裏，其所在企業經曆了(le)至少一次API相關的(de)安全事件。而在數十家全球頂級汽車制造商生産的(de)車輛和(hé)車聯網服務中，更發現了(le)許多(duō)API應用(yòng)缺陷，利用(yòng)這(zhè)些缺陷，攻擊者可(kě)以進行廣泛的(de)惡意活動，從非法竊取車主個(gè)人(rén)隐私信息，到遠(yuǎn)程解鎖車輛、監控車輛等。

由于API防護的(de)缺失，企業對(duì)于暴露了(le)哪些API、對(duì)誰開放API、API通(tōng)信中攜帶了(le)哪些敏感數據、對(duì)方如何使用(yòng)這(zhè)些數據等問題都未給予應有的(de)重視。攻擊者可(kě)以通(tōng)過後端業務系統漏洞、接口暴露、安全配置缺陷等直接攻擊API進行數據竊取，還(hái)可(kě)以利用(yòng)API的(de)參數組合及各參數值類型相對(duì)固定進行注入類攻擊，或通(tōng)過參數與用(yòng)戶身份進行關聯進行越權類攻擊。

面對(duì)API安全威脅不斷複雜(zá)化(huà)、多(duō)樣化(huà)的(de)快(kuài)速發展趨勢，企業在威脅認知、管控手段上相對(duì)滞後的(de)探索形成了(le)鮮明(míng)的(de)差距，企業的(de)數字化(huà)系統正在面臨嚴峻的(de)安全挑戰。基于此，保護API應用(yòng)安全将成爲2023年企業安全運營的(de)重要任務。

趨勢二：應用(yòng)數據安全迎來(lái)持續關注

近年來(lái)，全球數據安全形勢愈發嚴峻，層出不窮的(de)洩密事件嚴重影(yǐng)響著(zhe)企業數字化(huà)轉型的(de)進程。據IBM Security的(de)“數據洩露成本報告”顯示，2021年-2022年間，數據洩露的(de)全球平均成本從424萬美(měi)元增加至435萬美(měi)元，同比增長(cháng)2.6%，創曆史新高(gāo)。

由于企業互聯網化(huà)進程的(de)不斷深入，使得(de)越來(lái)越多(duō)的(de)業務被遷移到互聯網上，大(dà)量的(de)應用(yòng)數據被産生、傳輸、公開、共享。與此同時(shí)，新一代應用(yòng)通(tōng)過 Web、H5、App、API、微信和(hé)小程序等多(duō)種業務渠道接入，導緻應用(yòng)敞口風險和(hé)鏈條管控難度加大(dà)，各類變化(huà)多(duō)端的(de)撞庫攻擊、暴力破解、爬蟲攻擊、API接口濫用(yòng)，也(yě)導緻企業數據洩露風險加劇。

随著(zhe)我國《網絡安全法》《數據安全法》《個(gè)人(rén)信息保護法》《數據出境安全評估辦法》等法律法規相繼頒布實施，預計2023年企業對(duì)于數據安全合規的(de)管理(lǐ)将越來(lái)越嚴格，基于數據的(de)傳輸、提供、公開等全生命周期進行保障的(de)應用(yòng)數據安全技術會迎來(lái)企業的(de)持續關注。

趨勢三：針對(duì)數據庫的(de)勒索軟件攻擊持續增長(cháng)

數據作爲一種有利可(kě)圖的(de)資産，是網絡犯罪的(de)重要目标，而勒索軟件已成爲數據盜竊的(de)一個(gè)重要途徑，讓攻擊者通(tōng)過威脅公開企業數據來(lái)獲取勒索贖金。

2023年預計對(duì)數據庫的(de)勒索攻擊将繼續有增無減，尤其針對(duì)雲數據庫的(de)勒索攻擊将大(dà)幅增加，因爲越來(lái)越多(duō)的(de)企業和(hé)政府将關鍵數據存儲在雲端，勒索軟件也(yě)已進入雲環境。

值得(de)注意的(de)是，與傳統的(de)惡意軟件在文件系統層面加密文件不同，數據庫勒索軟件能夠在數據庫内部加密數據。這(zhè)意味著(zhe)企業在及時(shí)發現數據庫加密行爲方面将面臨嚴峻挑戰，積極主動地保護數據将更加至關重要。因此，企業不僅應盡快(kuài)制定DR或RR（滾動恢複）計劃，還(hái)應加強針對(duì)備份數據的(de)勒索行爲檢測與恢複演練，這(zhè)樣才能确保在發生勒索軟件攻擊時(shí)及時(shí)恢複安全幹淨的(de)數據。

趨勢四：關鍵基礎設施進一步成爲攻擊重點

随著(zhe)網絡空間軍事化(huà)、網絡武器平民化(huà)、網絡攻擊常态化(huà)日趨明(míng)顯，關鍵信息基礎設施持續成爲網絡攻擊的(de)重點目标。對(duì)于金融、運營商、政府、能源、教育、衛生、交通(tōng)行業等高(gāo)度敏感的(de)行業而言，保護關鍵信息基礎設施安全變得(de)更加緊迫。

當前，關鍵信息基礎設施加速實現數字化(huà)、網絡化(huà)、智能化(huà)升級，網絡入侵、攻擊滲透、遠(yuǎn)程控制等網絡安全風險無處不在。2023年，關鍵信息基礎設施面臨的(de)安全态勢比以往任何時(shí)候都要嚴峻。

雲計算(suàn)和(hé)移動化(huà)的(de)普及，使得(de)政府和(hé)企業的(de)攻擊面進一步擴大(dà)，因此在保護關鍵信息基礎設施時(shí)，最大(dà)的(de)挑戰之一是能夠評估和(hé)管理(lǐ)攻擊面。政府和(hé)企業需要确定網絡的(de)組成部分(fēn)以及存在的(de)弱點，同時(shí)增加對(duì)可(kě)疑活動的(de)監控，以進一步調查網絡安全事件。同時(shí)，随著(zhe)著(zhe)網絡攻擊變得(de)越來(lái)越複雜(zá)，在政府和(hé)企業之間建立協作，對(duì)于采取統一戰線應對(duì)關鍵基礎設施威脅至關重要。

趨勢五：供應鏈攻擊數量激增

如今企業嚴重依賴供應鏈，這(zhè)種高(gāo)度的(de)依賴性也(yě)使得(de)供應鏈安全和(hé)風險成爲現代企業必須面對(duì)的(de)重要挑戰。随著(zhe)軟件供應鏈攻擊日益普遍，Gartner将其列爲2022年的(de)第二大(dà)威脅，并預測到2025年全球45%的(de)組織将遭受一次或多(duō)次軟件供應鏈攻擊。

2023年，全球經濟發展存在大(dà)量不确定因素，網絡犯罪的(de)發展趨勢也(yě)将繼續不斷上升。可(kě)以預見，引入到供應鏈中的(de)安全威脅在複雜(zá)性、規模和(hé)頻(pín)率上都将會持續加大(dà)，供應鏈攻擊的(de)數量将會快(kuài)速增加。

對(duì)于企業而言，簡單的(de)安全規劃已不足以防禦攻擊者，需要部署更加全面的(de)供應鏈安全防護工具，尤其是Web應用(yòng)中動态加載的(de)第三方前端組件，讓攻擊變得(de)更加複雜(zá)與隐蔽，應采用(yòng)更主動的(de)方法來(lái)觀察和(hé)持續分(fēn)析用(yòng)戶行爲以檢測可(kě)疑訪問，以完善自身供應鏈安全和(hé)風險轉變能力。

趨勢六：車聯網雲端攻擊成爲最大(dà)安全隐患

随著(zhe)汽車智能化(huà)發展，車聯網成爲車輛進行軟硬件升級、功能上新、應用(yòng)更新、漏洞修複等必備的(de)基礎功能。然而，車聯網龐大(dà)的(de)代碼量、複雜(zá)的(de)供應鏈、車路雲互聯互通(tōng)等新特性也(yě)引發了(le)巨大(dà)的(de)安全風險，成爲黑(hēi)客的(de)重點攻擊對(duì)象，如進行竊聽(tīng)攻擊、惡意升級、回滾攻擊、DDOS攻擊等，使整車升級面臨多(duō)維安全挑戰。

其中，雲端安全是目前車聯網最大(dà)的(de)安全隐患。一方面，汽車的(de)辦公、生産、銷售甚至運營維護的(de)網絡全都要在雲端打通(tōng)，雲端成爲高(gāo)價值目标；另一方面，汽車通(tōng)過雲端控制，意味著(zhe)無條件接受雲端的(de)旨意，一旦攻擊者入侵雲端服務器竊取敏感數據，甚至取得(de)控制權後再遠(yuǎn)程控制車輛，後果将不堪設想。

面對(duì)不斷增長(cháng)的(de)智能網聯汽車安全威脅，提升車聯網網絡安全和(hé)數據安全防護能力勢在必行。

趨勢七：遠(yuǎn)程辦公常态化(huà)需持續加強安全防護

後疫情時(shí)代，遠(yuǎn)程辦公将成爲一個(gè)長(cháng)久的(de)趨勢。傳統線下(xià)辦公的(de)網絡邊界逐漸模糊，公司電腦(nǎo)、私人(rén)電腦(nǎo)、移動終端逐漸增多(duō)的(de)設備，通(tōng)過VPN、虛拟化(huà)桌面或辦公軟件接入企業内網，以及分(fēn)支機構、合作夥伴、外包人(rén)員(yuán)訪問公司總部資源，都會爲企業IT資産安全帶來(lái)風險。

因此，遠(yuǎn)程辦公所涉及的(de)企業業務系統暴露、易受攻擊、員(yuán)工遠(yuǎn)程訪問的(de)身份識别、業務訪問違規操作、員(yuán)工終端設備的(de)安全防護等問題，對(duì)公司的(de)安全防護能力發起了(le)極大(dà)的(de)挑戰。從安全角度來(lái)看，遠(yuǎn)程辦公常态化(huà)意味著(zhe)企業需要完全重啓安全策略和(hé)工具，以更好地降低風險。

趨勢八：Web3安全風險漸行漸近

Web3以區(qū)塊鏈技術作爲基礎，構建出了(le)一個(gè)去中心化(huà)的(de)網絡世界，從基礎設施的(de)層面來(lái)看，Web3的(de)确有可(kě)能更難颠覆，但它也(yě)可(kě)能比現有網絡更容易遭受攻擊。

相比傳統應用(yòng)，Web3應用(yòng)有開放性的(de)特點，代碼的(de)透明(míng)公開使其擁有更廣的(de)攻擊面，黑(hēi)客不需要滲透任何企業防禦網就能進入。如果攻擊者可(kě)以拿到證書(shū)、根權限或者密匙，尤其是拿到運行于整個(gè)生态系統的(de)關鍵私人(rén)密鑰，整個(gè)Web3就會被颠覆。同時(shí)，在Web3代币相當于數量可(kě)觀的(de)金錢，在巨大(dà)的(de)利益面前，黑(hēi)客攻擊Web3的(de)欲望更強烈，會花費大(dà)量精力來(lái)尋找漏洞并攻破它。

此外，網絡釣魚威脅已經在Web3世界中擡頭。在Web3中，用(yòng)戶對(duì)自己的(de)賬戶安全負責，而很多(duō)人(rén)缺乏安全防範意識，這(zhè)就使得(de)在Web3中同樣存在大(dà)量空投詐騙、網絡釣魚等行爲，來(lái)盜竊用(yòng)戶的(de)數字資産。

因此，Web3開發者們必須在安全問題出現之前制定全面的(de)安全策略，需要從協議(yì)部署前到部署後的(de)步驟全面考慮安全性，如智能合約審計、監控和(hé)響應、漏洞賞金、網絡保險等，并采用(yòng)可(kě)靠編碼、人(rén)工智能、機器學習(xí)等功能的(de)安全平台來(lái)實時(shí)檢測和(hé)阻止安全威脅。