随著(zhe)創新技術的(de)不斷興起,以及網絡犯罪的(de)日益專業化(huà),網絡安全攻擊風險仍在持續增長(cháng)。可(kě)以預見,2023年的(de)網絡安全形勢依然嚴峻,需要國家不斷完善網絡安全政策和(hé)法規,網絡安全企業積極創新網絡安全防護技術。
趨勢一:API威脅複雜(zá)化(huà)
無處不在的(de)API,爲創新技術和(hé)業務發展提供強力支撐的(de)同時(shí),也(yě)增加了(le)企業風險的(de)暴露面和(hé)攻擊面,近幾年因API安全問題導緻的(de)攻擊和(hé)數據洩漏事件頻(pín)頻(pín)發生。OpinionMatters在2022年發布的(de)調研報告顯示,超過四分(fēn)之三的(de)英美(měi)高(gāo)級網絡安全專業人(rén)員(yuán)表示,過去12個(gè)月(yuè)裏,其所在企業經曆了(le)至少一次API相關的(de)安全事件。而在數十家全球頂級汽車制造商生産的(de)車輛和(hé)車聯網服務中,更發現了(le)許多(duō)API應用(yòng)缺陷,利用(yòng)這(zhè)些缺陷,攻擊者可(kě)以進行廣泛的(de)惡意活動,從非法竊取車主個(gè)人(rén)隐私信息,到遠(yuǎn)程解鎖車輛、監控車輛等。
由于API防護的(de)缺失,企業對(duì)于暴露了(le)哪些API、對(duì)誰開放API、API通(tōng)信中攜帶了(le)哪些敏感數據、對(duì)方如何使用(yòng)這(zhè)些數據等問題都未給予應有的(de)重視。攻擊者可(kě)以通(tōng)過後端業務系統漏洞、接口暴露、安全配置缺陷等直接攻擊API進行數據竊取,還(hái)可(kě)以利用(yòng)API的(de)參數組合及各參數值類型相對(duì)固定進行注入類攻擊,或通(tōng)過參數與用(yòng)戶身份進行關聯進行越權類攻擊。
面對(duì)API安全威脅不斷複雜(zá)化(huà)、多(duō)樣化(huà)的(de)快(kuài)速發展趨勢,企業在威脅認知、管控手段上相對(duì)滞後的(de)探索形成了(le)鮮明(míng)的(de)差距,企業的(de)數字化(huà)系統正在面臨嚴峻的(de)安全挑戰。基于此,保護API應用(yòng)安全将成爲2023年企業安全運營的(de)重要任務。
趨勢二:應用(yòng)數據安全迎來(lái)持續關注
近年來(lái),全球數據安全形勢愈發嚴峻,層出不窮的(de)洩密事件嚴重影(yǐng)響著(zhe)企業數字化(huà)轉型的(de)進程。據IBM Security的(de)“數據洩露成本報告”顯示,2021年-2022年間,數據洩露的(de)全球平均成本從424萬美(měi)元增加至435萬美(měi)元,同比增長(cháng)2.6%,創曆史新高(gāo)。
由于企業互聯網化(huà)進程的(de)不斷深入,使得(de)越來(lái)越多(duō)的(de)業務被遷移到互聯網上,大(dà)量的(de)應用(yòng)數據被産生、傳輸、公開、共享。與此同時(shí),新一代應用(yòng)通(tōng)過 Web、H5、App、API、微信和(hé)小程序等多(duō)種業務渠道接入,導緻應用(yòng)敞口風險和(hé)鏈條管控難度加大(dà),各類變化(huà)多(duō)端的(de)撞庫攻擊、暴力破解、爬蟲攻擊、API接口濫用(yòng),也(yě)導緻企業數據洩露風險加劇。
随著(zhe)我國《網絡安全法》《數據安全法》《個(gè)人(rén)信息保護法》《數據出境安全評估辦法》等法律法規相繼頒布實施,預計2023年企業對(duì)于數據安全合規的(de)管理(lǐ)将越來(lái)越嚴格,基于數據的(de)傳輸、提供、公開等全生命周期進行保障的(de)應用(yòng)數據安全技術會迎來(lái)企業的(de)持續關注。
趨勢三:針對(duì)數據庫的(de)勒索軟件攻擊持續增長(cháng)
數據作爲一種有利可(kě)圖的(de)資産,是網絡犯罪的(de)重要目标,而勒索軟件已成爲數據盜竊的(de)一個(gè)重要途徑,讓攻擊者通(tōng)過威脅公開企業數據來(lái)獲取勒索贖金。
2023年預計對(duì)數據庫的(de)勒索攻擊将繼續有增無減,尤其針對(duì)雲數據庫的(de)勒索攻擊将大(dà)幅增加,因爲越來(lái)越多(duō)的(de)企業和(hé)政府将關鍵數據存儲在雲端,勒索軟件也(yě)已進入雲環境。
值得(de)注意的(de)是,與傳統的(de)惡意軟件在文件系統層面加密文件不同,數據庫勒索軟件能夠在數據庫内部加密數據。這(zhè)意味著(zhe)企業在及時(shí)發現數據庫加密行爲方面将面臨嚴峻挑戰,積極主動地保護數據将更加至關重要。因此,企業不僅應盡快(kuài)制定DR或RR(滾動恢複)計劃,還(hái)應加強針對(duì)備份數據的(de)勒索行爲檢測與恢複演練,這(zhè)樣才能确保在發生勒索軟件攻擊時(shí)及時(shí)恢複安全幹淨的(de)數據。
趨勢四:關鍵基礎設施進一步成爲攻擊重點
随著(zhe)網絡空間軍事化(huà)、網絡武器平民化(huà)、網絡攻擊常态化(huà)日趨明(míng)顯,關鍵信息基礎設施持續成爲網絡攻擊的(de)重點目标。對(duì)于金融、運營商、政府、能源、教育、衛生、交通(tōng)行業等高(gāo)度敏感的(de)行業而言,保護關鍵信息基礎設施安全變得(de)更加緊迫。
當前,關鍵信息基礎設施加速實現數字化(huà)、網絡化(huà)、智能化(huà)升級,網絡入侵、攻擊滲透、遠(yuǎn)程控制等網絡安全風險無處不在。2023年,關鍵信息基礎設施面臨的(de)安全态勢比以往任何時(shí)候都要嚴峻。
雲計算(suàn)和(hé)移動化(huà)的(de)普及,使得(de)政府和(hé)企業的(de)攻擊面進一步擴大(dà),因此在保護關鍵信息基礎設施時(shí),最大(dà)的(de)挑戰之一是能夠評估和(hé)管理(lǐ)攻擊面。政府和(hé)企業需要确定網絡的(de)組成部分(fēn)以及存在的(de)弱點,同時(shí)增加對(duì)可(kě)疑活動的(de)監控,以進一步調查網絡安全事件。同時(shí),随著(zhe)著(zhe)網絡攻擊變得(de)越來(lái)越複雜(zá),在政府和(hé)企業之間建立協作,對(duì)于采取統一戰線應對(duì)關鍵基礎設施威脅至關重要。
趨勢五:供應鏈攻擊數量激增
如今企業嚴重依賴供應鏈,這(zhè)種高(gāo)度的(de)依賴性也(yě)使得(de)供應鏈安全和(hé)風險成爲現代企業必須面對(duì)的(de)重要挑戰。随著(zhe)軟件供應鏈攻擊日益普遍,Gartner将其列爲2022年的(de)第二大(dà)威脅,并預測到2025年全球45%的(de)組織将遭受一次或多(duō)次軟件供應鏈攻擊。
2023年,全球經濟發展存在大(dà)量不确定因素,網絡犯罪的(de)發展趨勢也(yě)将繼續不斷上升。可(kě)以預見,引入到供應鏈中的(de)安全威脅在複雜(zá)性、規模和(hé)頻(pín)率上都将會持續加大(dà),供應鏈攻擊的(de)數量将會快(kuài)速增加。
對(duì)于企業而言,簡單的(de)安全規劃已不足以防禦攻擊者,需要部署更加全面的(de)供應鏈安全防護工具,尤其是Web應用(yòng)中動态加載的(de)第三方前端組件,讓攻擊變得(de)更加複雜(zá)與隐蔽,應采用(yòng)更主動的(de)方法來(lái)觀察和(hé)持續分(fēn)析用(yòng)戶行爲以檢測可(kě)疑訪問,以完善自身供應鏈安全和(hé)風險轉變能力。
趨勢六:車聯網雲端攻擊成爲最大(dà)安全隐患
随著(zhe)汽車智能化(huà)發展,車聯網成爲車輛進行軟硬件升級、功能上新、應用(yòng)更新、漏洞修複等必備的(de)基礎功能。然而,車聯網龐大(dà)的(de)代碼量、複雜(zá)的(de)供應鏈、車路雲互聯互通(tōng)等新特性也(yě)引發了(le)巨大(dà)的(de)安全風險,成爲黑(hēi)客的(de)重點攻擊對(duì)象,如進行竊聽(tīng)攻擊、惡意升級、回滾攻擊、DDOS攻擊等,使整車升級面臨多(duō)維安全挑戰。
其中,雲端安全是目前車聯網最大(dà)的(de)安全隐患。一方面,汽車的(de)辦公、生産、銷售甚至運營維護的(de)網絡全都要在雲端打通(tōng),雲端成爲高(gāo)價值目标;另一方面,汽車通(tōng)過雲端控制,意味著(zhe)無條件接受雲端的(de)旨意,一旦攻擊者入侵雲端服務器竊取敏感數據,甚至取得(de)控制權後再遠(yuǎn)程控制車輛,後果将不堪設想。
面對(duì)不斷增長(cháng)的(de)智能網聯汽車安全威脅,提升車聯網網絡安全和(hé)數據安全防護能力勢在必行。
趨勢七:遠(yuǎn)程辦公常态化(huà)需持續加強安全防護
後疫情時(shí)代,遠(yuǎn)程辦公将成爲一個(gè)長(cháng)久的(de)趨勢。傳統線下(xià)辦公的(de)網絡邊界逐漸模糊,公司電腦(nǎo)、私人(rén)電腦(nǎo)、移動終端逐漸增多(duō)的(de)設備,通(tōng)過VPN、虛拟化(huà)桌面或辦公軟件接入企業内網,以及分(fēn)支機構、合作夥伴、外包人(rén)員(yuán)訪問公司總部資源,都會爲企業IT資産安全帶來(lái)風險。
因此,遠(yuǎn)程辦公所涉及的(de)企業業務系統暴露、易受攻擊、員(yuán)工遠(yuǎn)程訪問的(de)身份識别、業務訪問違規操作、員(yuán)工終端設備的(de)安全防護等問題,對(duì)公司的(de)安全防護能力發起了(le)極大(dà)的(de)挑戰。從安全角度來(lái)看,遠(yuǎn)程辦公常态化(huà)意味著(zhe)企業需要完全重啓安全策略和(hé)工具,以更好地降低風險。
趨勢八:Web3安全風險漸行漸近
Web3以區(qū)塊鏈技術作爲基礎,構建出了(le)一個(gè)去中心化(huà)的(de)網絡世界,從基礎設施的(de)層面來(lái)看,Web3的(de)确有可(kě)能更難颠覆,但它也(yě)可(kě)能比現有網絡更容易遭受攻擊。
相比傳統應用(yòng),Web3應用(yòng)有開放性的(de)特點,代碼的(de)透明(míng)公開使其擁有更廣的(de)攻擊面,黑(hēi)客不需要滲透任何企業防禦網就能進入。如果攻擊者可(kě)以拿到證書(shū)、根權限或者密匙,尤其是拿到運行于整個(gè)生态系統的(de)關鍵私人(rén)密鑰,整個(gè)Web3就會被颠覆。同時(shí),在Web3代币相當于數量可(kě)觀的(de)金錢,在巨大(dà)的(de)利益面前,黑(hēi)客攻擊Web3的(de)欲望更強烈,會花費大(dà)量精力來(lái)尋找漏洞并攻破它。
此外,網絡釣魚威脅已經在Web3世界中擡頭。在Web3中,用(yòng)戶對(duì)自己的(de)賬戶安全負責,而很多(duō)人(rén)缺乏安全防範意識,這(zhè)就使得(de)在Web3中同樣存在大(dà)量空投詐騙、網絡釣魚等行爲,來(lái)盜竊用(yòng)戶的(de)數字資産。
因此,Web3開發者們必須在安全問題出現之前制定全面的(de)安全策略,需要從協議(yì)部署前到部署後的(de)步驟全面考慮安全性,如智能合約審計、監控和(hé)響應、漏洞賞金、網絡保險等,并采用(yòng)可(kě)靠編碼、人(rén)工智能、機器學習(xí)等功能的(de)安全平台來(lái)實時(shí)檢測和(hé)阻止安全威脅。