2022 年是网络安全领域动荡的一年,黑客组织袭击了微软、思科、推特和优步等科技巨头,勒索软件继续“蹂躏”医疗保健、金融、基础设施等领域。再加上俄乌冲突期间网络战带来的影响,2022 的网络安全领域“极不平凡”!
Information Security Media Group 咨询了一些业界知名安全专家 2023 年需要关注那些安全趋势。以下是专家对未来一年网络安全领域的展望。
网络犯罪分子将加大对 API 漏洞的攻击力度
随着企业对开源软件和定制接口来连接云和传统系统的依赖程度加深,”API 经济“正在高速增长。2022 年,API 层面发生了几起备受瞩目的违规事件,其中包括澳大利亚最大的电信公司 Optus 的违规事件。专家们预计,网络犯罪分子在新的一年,会加强对 API 漏洞的攻击。
Traceable 的 CSO 理查德-伯德(Richard Bird)表示,Gartner 多年来一直在警告 API 漏洞的风险,并预计其将成为一个主要的攻击面。后续,业内将会听到更多关于这方面的消息,到 2023 年,美国将出现大规模 API 漏洞。
Contrast Security 的 CSO Tom Kellermann 则表示,大多数公司在保护 API 方面做得并不好,相比开发人员的投入来说,安全团队规模较小,投入资源匮乏。
攻击者将盯上电网、石油和天然气供应商以及其它关键基础设施
从以往发生的往案例来看,关键基础设施一直是民族主义攻击者的首选目标。许多工厂依靠 IT 和 OT 系统来保持顺利运行,但部分工业控制系统已经运转几十年,容易受到网络攻击。事实上,去年 IBM X-Force 观察到针对 TCP 502 端口的对抗性“侦察”增加了 2000%以上,这可能使的黑客轻松控制物理设备,扰乱企业运营。
网络安全专家警告,应当随时准备好应对针对电网、石油和天然气供应商以及其它关键基础设施的网络攻击。
Cybereason 的 CSO Sam Curry 指出,尽管 CISA 肩负着巨大责任,但每个关键基础设施部门都有很多工作要做,对于北半球大部分地区来说,能源生产等领域在冬季中期都非常非常脆弱,需要格外防范网络安全威胁。
攻击者将增加对多因素身份认证漏洞的利用
多因素身份认证曾被认为是身份管理的“黄金标准”,为密码安全提供了一个重要保障。今年,随着一系列使用 MFA 绕过技术,成功实施网络攻击的案例出现,再加上网络钓鱼和社会工程,这一切可能都改变了。接下来,攻击者肯定会增加对多因素认证漏洞的利用。
此外,黑客成功进行网络攻击的新闻也会吸引了下一波想利用最新方法发动攻击的“失败者”和其他潜在攻击者。
勒索软件将会针对更大的目标、索要更多的赎金
近几年,勒索软件攻击激增,受害者支付赎金也增长了两倍甚至三倍。由于许多受害者不愿意报案,没有人真正知道事勒索软件目前发展的具体趋势。网络安全专家声称,往后几年,勒索软件的攻击目标会更大,索要的赎金也会更多。
全球隐私和网络安全实践合伙人兼主席 Lisa Sotto 强调,毫无疑问,勒索软件将会继续有增无减,环境比以往任何时候都更加恶劣,虽然每年都这么说,但后续似乎比以往任何时候都更加恶劣。
攻击者将”瞄准“超大型云计算企业
数字化转型促使企业大规模将业务迁移到公共云上,这一趋势从企业开始,并逐步扩展到大型政府机构,创造了一个复杂混合和多云环境的“大杂烩”。随着越来越多数据转移到云端,攻击者会把主要目标锁定在超大规模的云端企业。
零信任将被更广泛地采用
直到过去几年,网络安全组织和供应商社区才接受了最低特权和持续验证防御的概念(零信任理念)。上个月,美国国防部宣布其零信任战略时,零信任得到了重大推动。随着组织寻求现代化防御,零信任将得到更广泛的采用。
值得一提的是,ON2IT 集团网络安全战略高级副总裁 John Kindervag 和 Ericom 软件公司 CSO Chase Cunningham 称,他们对采用零信任的联邦机构数量感到乐观。
网络安全保险的可用性将继续”枯竭“
20 多年前,出现了第一份网络安全保险单,但勒索软件攻击造成的商业损失已经成倍增长,因此,网络保险公司正在提高其费率或完全退出该业务。2023年,网络保险供应将继续枯竭,企业承担财务风险也会增加。
很多人都应该听说过,在过去 24 个月里发生的大规模违规事件赔付率在零到 30% 之间,这是在保费和回报方面达成的共识,原因是不仅是整个网络保险行业正在重新评估他们所做的事情,他们现在开始根据所发现的情况计算其风险。
政府机构将对加密货币公司进行更严格的管控
一系列违规事件、市场价值的重大损失以及 FTX 加密货币交易所的丑闻,使加密货币世界在 2022 年陷入了困境。网络安全专家认为政府机构将对加密货币公司进行更严格的控制,以保护投资者,打击洗钱和提高安全性。
企业将改变内部安全培训模式
多年来,许多大型企业一直提供网络安全意识培训,但似乎并未奏效。接下来几年,各企业将改变提供网络安全培训的方式,着眼于更多的参与性学习、职业道路和提高 CISO 的技能。
参考文章:https://www.inforisktoday.com/look-ahead-cybersecurity-trends-to-watch-in-2023-a-20749
