当回顾过去一年中需要关注的安全事件、事件和故事时,很明显,引人注目的数据泄露和零日攻击将继续占据头条新闻。似乎几乎一周过去了,某种网络安全事件没有成为头条新闻,随着 CISO 和防御者应对经济恶化和损害安全计划的裁员,将支出预算扩大到极限。
在这篇对 2022 年热点事件的回顾中,《 安全周刊》的编辑们仔细研究了影响 2022 年的五个重大事件,以及它们对未来大规模保护数据可能意味着什么。
Lapsus$ 肆虐
这一年开始时,防御者仍在争先恐后地缓解Log4j 供应链危机,但在表面之下,潜伏着同样危险的东西,并准备对高科技领域的一些知名企业造成大屠杀。
Lapsus$ 是一群出于经济动机的网络犯罪分子的代号,其“勒索和破坏”黑客狂潮引起了人们的注意,这使英伟达、三星、育碧、优步和 Rockstar Games 等知名公司暴露并蒙羞。
Lapsus$ 大屠杀还打击了科技巨头Microsoft 和 Okta,Redmond 公开记录了“大规模的社会工程和勒索活动”,而 Okta 在其违规程度方面严重破坏了与客户的沟通。
“[该组织] 以使用纯粹的勒索和破坏模型而不部署勒索软件有效载荷而闻名,”微软在一份说明中警告说,承认其自己的系统在备受瞩目的突袭中受到损害。
到 2022 年底,Lapsus$ 的妥协非常严重,以至于美国政府注意到并指派其 CSRB(网络安全审查委员会)“审查 Lapsus$ 的网络活动,以分析他们的策略并帮助各种规模的组织保护自己。”
零日漏洞
连续第二年,记录在案的野外零日攻击案例仍然备受关注,新数据显示零日攻击活动已蔓延至低级网络犯罪分子。
到 2022 年底,有 52 起公开记录的零日攻击袭击了广泛的软件产品,最显着的影响来自大型技术供应商 Microsoft、Google 和 Apple 的代码。
更令人担忧的是,已观察到针对思科、Sophos、趋势科技、Atlassian、Magento 和 QNAP Systems 产品中的软件和固件漏洞的零日攻击。在这一年中,包括 Fortinet 和 Citrix 在内的多家供应商被迫发布紧急修复程序以应对零日攻击。
根据SecurityWeek跟踪的数据,2022 年 Microsoft 漏洞约占所有零日漏洞利用的 23%,其次是 Google Chrome (17%) 和 Apple 产品(iOS 和 macOS 零日漏洞合计为 17%)。
在 2022 年期间,美国政府的网络安全机构 CISA 不间断地将“已知被利用的漏洞”添加到其必须修补目录中,VPN、防火墙和固件在受到攻击的产品类别中占据突出地位。
大型科技公司对付雇佣间谍软件供应商
整个 2022 年,随着 Cytrox、Candiru、BellTroX 和 DSIRF 等公司加入臭名昭著的NSO 集团,雇佣间谍软件供应商的公开曝光和点名羞辱继续快速进行hack-for-hire 有针对性的攻击操作。
包括 Facebook 母公司 Meta 提交的法庭文件、微软的公开文件和谷歌在国会的露面在内的大型科技公司打击行动描绘了一幅遍布全球的雇佣监控行业的图景,黑客团队设在美国,欧洲和以色列。
2022 年出现的一些新名称包括 Cobwebs Technologies、Cognate、Black Cube、Bluehawk CI 和 CyberRoot(前身为 BellTroX),因为防御者发现了零日攻击、鱼叉式网络钓鱼活动和复杂的攻击链的迹象。
不断扩大的雇佣监视活动促使网络安全专业人士呼吁美国政府紧急控制这些阴暗的业务。在众议院情报委员会的一次露面中,Google 的Shane Huntley呼吁国会考虑“全面禁止”联邦采购商业间谍软件技术,并敦促扩大对两个臭名昭著的供应商——NSO Group 和 Candiru 的制裁。
2022 年这些故事中出现的一个令人担忧的趋势是使用美国盟友情报部门的退伍军人,以及针对记者、活动家和持不同政见者的专制政府继续滥用软件。
SBOM 和软件供应链安全
为确保软件供应链安全而进行的殊死搏斗在整个 2022 年占据了中心位置,因为美国政府呼吁特别关注固件安全作为“单点故障”,并围绕 SBOM 的强制执行展开了热烈讨论(软件物料清单)。
SBOM 授权包含在白宫行政命令中,是联邦政府推动软件交付生态系统中的供应商和供应商提供安全保证的一部分。
随着安全领导者和 CISO 争先恐后地弄清楚如何使用和交付强制性软件成分列表,大型技术供应商发布了用于 SBOM 生成的开源工具包,风险资本家加倍投资于供应链领域。
然而,在表面之下,一些 IT 和软件交付领域的大腕对政府的 SBOM 授权表示强烈反对。到年底,代表大型科技公司的游说者公开呼吁联邦政府的管理和预算办公室 (OMB) “劝阻机构”要求 SBOM,认为供应商“现在为时过早且效用有限”准确提供构成软件组件的成分的嵌套清单。
这个名为 ITI(信息技术产业委员会)的贸易组织的重要成员包括亚马逊、微软、苹果、英特尔、AMD、联想、IBM、思科、三星、台积电、高通、Zoom 和 Palo Alto Networks 。
网络安全业务越来越大
在攻击面蔓延、与云相关的数据泄露和不断扩大的勒索软件危机持续扩大的一年中,投资者继续寻求投资于网络安全初创公司的利润。
网络安全“独角兽” (估值超过 10 亿美元的初创公司)的步伐在 2022 年明显放缓,但不乏大型融资交易,尤其是对于处理软件供应链或云数据安全的早期初创公司而言。
我们观察到风投们疯狂地将资金投入一些奇怪的类别(安全的企业浏览器就是一个例子),并且稳定的投资流向处理 API 安全、攻击面管理、数据安全态势管理和软件供应链安全的公司。
谷歌以 54 亿美元收购 Mandian t 并以5亿美元收购 Siemplify,这为这家搜索营销巨头提供了令人印象深刻的网络安全堆栈,可将其添加到其企业云产品中,并标志着与竞争对手微软争夺网络安全相关收入的巨大推动力。
微软在 2022 年放弃了大手笔收购,但在网络安全收入达到 150 亿美元的年度大关之际,通过推出新的托管服务继续展示其安全业务实力。
去年,知名私募股权公司积极收购身份和访问管理领域的公司。重大交易包括 Thoma Bravo以 28 亿美元收购 Ping Identity,以总计120亿美元收购SailPoint和ForgeRock;Vista Equity Partners为 KnowBe4支付了 46 亿美元。
