信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

2023年即將過半，在這個地緣戰(zhàn)爭和技術(shù)革命同時爆發(fā)的特殊時期，全球網(wǎng)絡(luò)安全威脅態(tài)勢發(fā)生了哪些重大變化？呈現(xiàn)何種發(fā)展趨勢？

近日Forrester發(fā)布了《2023年重大網(wǎng)絡(luò)安全威脅報告》，對2023年的主要網(wǎng)絡(luò)安全威脅進行了分析和研判，并向CISO及其團隊提供了應(yīng)威脅的建議。

報告指出，網(wǎng)絡(luò)攻擊的性質(zhì)正在迅速變化。生成式人工智能、云環(huán)境的復(fù)雜性和地緣政治緊張局勢是2023年攻擊者武器庫中的最新武器和有利因素。攻擊者正在積極將生成式AI武器化，并用AI微調(diào)其勒索軟件和社會工程技術(shù)。

四分之三（74%）的安全決策者表示過去12個月中其所在企業(yè)的敏感數(shù)據(jù)“可能遭到攻擊或泄露”。對于任何一位CISO來說，如此高的數(shù)據(jù)泄露比例都是足以令人高度緊張的“網(wǎng)絡(luò)安全基線”。

隨著攻擊者加速推進生成式人工智能的武器化，積極尋找新的方法來利用云端環(huán)境的復(fù)雜性，并利用地緣政治緊張局勢發(fā)起更復(fù)雜的攻擊，全球網(wǎng)絡(luò)安全態(tài)勢正在不斷惡化。

CISO陷入兩線作戰(zhàn)困境

CISO正面臨兩線作戰(zhàn)的困境，一方面需要應(yīng)對長期威脅的壓力，同時又沒有準(zhǔn)備好阻止新出現(xiàn)的威脅。

勒索軟件和基于商業(yè)電子郵件入侵（BEC）實施的社會工程攻擊是CISO多年來重點防御的長期威脅。然而，盡管安全團隊已投入數(shù)百萬美元來加強其技術(shù)堆棧、端點和身份管理系統(tǒng)以對抗勒索軟件，但此類網(wǎng)絡(luò)攻擊的數(shù)量不減反增。

為了提高贖金收入規(guī)模和支付速度，越來越多的勒索軟件組織開始將供應(yīng)鏈、醫(yī)療提供商和醫(yī)院作為主要目標(biāo)。因為此類目標(biāo)對業(yè)務(wù)停頓極為敏感，無法承受長期停機的（生命和財產(chǎn)）損失。

此外，F(xiàn)orrester的預(yù)測和調(diào)查結(jié)果還顯示隨著新威脅的發(fā)展，數(shù)據(jù)泄露事件的瞞報比例在不斷提高。CISO和企業(yè)不想承認(rèn)自己的安全防御不到位。12%的安全和風(fēng)險專業(yè)人員表示，他們的公司在過去12個月中發(fā)生了6-25次數(shù)據(jù)泄露事件（下圖），主要原因是BEC、社會工程攻擊和勒索軟件攻擊。隨著生成式人工智能技術(shù)的濫用加速，新的、更致命的攻擊策略即將到來。

2022年70%的企業(yè)遭受了至少一次數(shù)據(jù)泄露

數(shù)據(jù)來源：Forrester

那些未能及時升級到AI防御體系的基于邊界防護的遺留系統(tǒng)最容易受到攻擊。新一波網(wǎng)絡(luò)攻擊即將到來，攻擊者將能大規(guī)模針對性地探尋和利用任何企業(yè)薄弱環(huán)節(jié)，包括復(fù)雜的云配置，數(shù)據(jù)泄露事件的瞞報率（包括未檢測到的泄露）也將進一步上升。

2023年五大網(wǎng)絡(luò)安全威脅態(tài)勢

隨著新一波威脅的到來，F(xiàn)orrester預(yù)計會有更多致命的攻擊，因為攻擊者正積極掌握人工智能專業(yè)知識以擊敗最新一代的網(wǎng)絡(luò)安全防御，端點和身份保護之間的安全差距是攻擊者關(guān)注的重點薄弱環(huán)節(jié)。

CrowdStrike總裁Michael Sentonas在最近的一次采訪指出：縮小端點保護和身份保護之間的差距是“今天企業(yè)要應(yīng)對的最大安全挑戰(zhàn)之一”。RSA 2023大會展示了身份和復(fù)雜性方面的一些挑戰(zhàn)，這也是為什么我們將端點與身份，以及用戶正在訪問的數(shù)據(jù)聯(lián)系起來，這是企業(yè)網(wǎng)絡(luò)安全今天面臨的關(guān)鍵問題。

以下，是Forrester報告給出的2023年網(wǎng)絡(luò)安全威脅五大趨勢：

一、人工智能威脅浮出水面

使用生成式AI（例如ChatGPT及其他大型語言模型），攻擊者可以以前所未有的速度和復(fù)雜度實施規(guī)?；?。Forrester預(yù)測，AI增強攻擊案例將繼續(xù)激增，唯一限制攻擊者殺傷力的是其想象力。

一個早期AI威脅用例是通過“數(shù)據(jù)投毒”導(dǎo)致算法漂移的技術(shù)，這種攻擊技術(shù)會降低電子郵件安全檢測效率或電子商務(wù)推薦引擎的收入（以及準(zhǔn)確性）。這曾經(jīng)是一個小眾話題，但現(xiàn)如今已經(jīng)成為亟需預(yù)測和應(yīng)對的最緊迫的威脅之一。Forrester指出，雖然許多組織不會面臨這種威脅的直接風(fēng)險，但了解哪些安全供應(yīng)商可以抵御對AI模型和算法的攻擊至關(guān)重要。Forrester在報告中建議，“如果你需要保護企業(yè)的人工智能系統(tǒng)，可以考慮像HiddenLayer、CalypsoAI和Robust Intelligence這樣的供應(yīng)商。”

二、云計算復(fù)雜性持續(xù)增加

今天，有94%的企業(yè)使用云服務(wù)，75%的企業(yè)表示云安全是首要關(guān)注的問題。三分之二的企業(yè)擁有云基礎(chǔ)架構(gòu)。Gartner去年曾預(yù)測，云遷移將影響今年超過1.3萬億美元的企業(yè)IT支出，到2025年將影響近1.8萬億美元。到2025年，51%的IT支出將轉(zhuǎn)移到公共云（2022年為41%）。到2025年，云技術(shù)將占應(yīng)用軟件支出的65.9%，高于2022年的57.7%。

上述預(yù)測凸顯了日益復(fù)雜龐大的云計算和存儲基礎(chǔ)設(shè)施蘊含的重大安全風(fēng)險。Forrester指出，不安全的IaaS基礎(chǔ)架構(gòu)配置、無惡意軟件攻擊和權(quán)限提升以及配置漂移是CISO及其團隊需要了解和強化的眾多威脅面中的一小部分。

該報告建議企業(yè)實施彈性、強大的云治理，并使用安全工具（例如IaaS平臺的本機安全功能、云安全態(tài)勢管理和SaaS安全態(tài)勢管理）來檢測和修復(fù)威脅和攻擊嘗試。

報告指出：基礎(chǔ)設(shè)施即代碼（IaC）掃描正在通過集成IaC安全性（例如Checkmarx的KICS和Palo Alto Networks的Bridgecrew）來檢測terraform、helm和Kubernetes清單文件中的錯誤配置（例如，未加密的存儲桶或弱密碼策略），加入CI/CD部署管道，甚至集成到更早期的編碼開發(fā)環(huán)境中。

三、地緣政治威脅迫在眉睫

Forrester的報告指出，俄烏戰(zhàn)爭伴生的網(wǎng)絡(luò)攻擊具有全球影響力，民族國家行為者將繼續(xù)出于地緣政治目的對私營公司進行網(wǎng)絡(luò)攻擊，如間諜活動、談判杠桿、資源控制和知識產(chǎn)權(quán)盜竊，以獲得技術(shù)優(yōu)勢。

報告還聲稱，中美之間持續(xù)的外交和貿(mào)易緊張局勢是另一個爆發(fā)點，可能會增加對企業(yè)的攻擊。該報告引用了美國在2022年底限制向中國的半導(dǎo)體芯片出口和通信設(shè)備進口，以及中國于2023年初制裁了美國國防承包商。俄羅斯也正面臨歐洲貿(mào)易禁令和出口管制，這些沖突可能會影響私營公司。朝鮮黑客從日本竊取了價值7.41億美元的加密貨幣，這是地緣政治威脅波及國家金融的另一個例子。

四、勒索軟件仍是最大威脅

根據(jù)Forrester的報告，2023年勒索軟件仍然是最大的網(wǎng)絡(luò)威脅，攻擊者通常會采用雙重勒索策略（用泄露數(shù)據(jù)來勒索企業(yè)）來提高贖金支付率。

針對關(guān)鍵基礎(chǔ)設(shè)施和供應(yīng)鏈的勒索軟件攻擊正在增長，此類攻擊造成的系統(tǒng)停頓可能造成數(shù)百萬美元的損失。攻擊者知道，只要能夠破壞供應(yīng)鏈，那些無法承受長期停機的企業(yè)將很快滿足他們的贖金要求。

報告中最令人不安的發(fā)現(xiàn)是，在2016年至2021年期間，針對醫(yī)院的勒索軟件攻擊翻了一番，甚至危及生命。

作為回應(yīng)，30多個國家于2021年10月聯(lián)合發(fā)布反勒索軟件倡議（CRI），以打擊全球勒索軟件。作為CRI戰(zhàn)略的一部分的國際反勒索軟件工作組（ICRTF）目前由澳大利亞領(lǐng)導(dǎo)。Forrester建議企業(yè)也“同樣優(yōu)先考慮勒索軟件防御，并訂閱針對勒索軟件威脅的外部威脅情報服務(wù)。”

該報告還提醒美國的關(guān)鍵基礎(chǔ)設(shè)施企業(yè)的安全和風(fēng)險管理團隊，根據(jù)2022年《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法》，他們必須在網(wǎng)絡(luò)事件的72小時內(nèi)，贖金支付的24小時內(nèi)向CISA報告。

五、BEC社會工程造成損失超過勒索軟件

美國聯(lián)邦調(diào)查局犯罪投訴中心的報告稱，2022年BEC社會工程給企業(yè)造成的損失為24億美元。2021年，BEC攻擊造成的欺詐性資金轉(zhuǎn)移索賠超過了所有其他類型的索賠，甚至超過了勒索軟件攻擊。BEC社會工程攻擊主要利用人員錯誤，例如使用網(wǎng)絡(luò)釣魚來竊取憑據(jù)和濫用帳戶。

Forrester指出，BEC社會工程活動正在進入一個新階段，試圖結(jié)合多種溝通渠道（包括生成式AI技術(shù)）來說服受害者采取行動。一些攻擊活動還包含驗證碼流程以提高其合法性和可信度。該報告建議，僅采用基于域的郵件身份驗證、報告和一致性（DMARC）進行電子郵件身份驗證是不夠的。企業(yè)應(yīng)采用數(shù)據(jù)驅(qū)動的方法來改變和評估員工行為，通過額外的（安全意識）培訓(xùn)和技術(shù)來糾正人員錯誤，降低社會工程攻擊的風(fēng)險。

總結(jié)：安全團隊需要做好準(zhǔn)備應(yīng)對下一代網(wǎng)絡(luò)攻擊

Forrester的2023年網(wǎng)絡(luò)安全威脅報告向全球組織發(fā)出了嚴(yán)厲警告，為迫在眉睫的新攻擊和新威脅做好準(zhǔn)備。攻擊者正在不斷完善攻擊技術(shù)，包括將生成式人工智能武器化、利用云復(fù)雜性和利用地緣政治緊張局勢發(fā)動更復(fù)雜的攻擊的新策略。

雖然企業(yè)仍在投入網(wǎng)絡(luò)安全預(yù)算以遏制BEC社會工程和勒索軟件攻擊，但他們還需要開始計劃如何預(yù)測、識別和應(yīng)對針對AI模型、算法和數(shù)據(jù)的威脅。為了改進（內(nèi)生）威脅情報能力，企業(yè)安全團隊還必須統(tǒng)一分散的安全計劃和策略，以阻止下一代網(wǎng)絡(luò)攻擊。