供应链安全、勒索攻击仍是2022年最值得关注的安全挑战

首页 / 业界 / 资讯 /  正文
来源:安全419
发布于:2022-01-05
2021年已经结束,这一年来频繁出现的重大网络安全事件引起了公众的广泛关注并提升了决策者的网络安全意识,尽管有各种各样的理由导致安全建设不足,但至少绝大多数人不会再轻视网络安全风险。

网络犯罪正变得更加专业化、组织化、系统化和多样化,这使得网络安全对于各类组织甚至国家而言至关重要。


来自GitHub 敏感信息泄露的自动化提示平台——GitGuardian的托马斯·塞古拉认为软件供应链安全、勒索软件攻击仍会是2022年最值得关注的趋势。

一、软件供应链安全问题仍将是让人头疼的大麻烦

2021年中,IT服务提供商SolarWinds在成为供应链攻击的受害者之后就频繁的上诸报端,该公司承认旗下产品遭到了恶意代码注入,数以万计的用户遭到感染,其中甚至包括国家政府部门以及军方等。

同年晚些时候, 另一个漏洞影响了代码测试平台Codecov,这是一个在开源社区中非常流行的工具。另一个更为重磅的则是Apache Log4j 2事件。这些都意味着,开源组件越来越多地被用作恶意攻击者的媒介,因为近年来它们在企业环境中得到了巨大的渗透,但在安全标准方面仍然缺乏很多。通过这些开源组件的漏洞发起攻击,攻击者可以从数目庞大的下游用户中捕获敏感数据。同时,代码存储库已成为攻击者的高价值目标,因为它们通常包含非常容易利用的机密,以获取对有价值的系统的访问权限。

2021年可以说是供应链攻击的一年,这一趋势将继续下去:我们甚至可能看到规模较小、不那么明显的供应链攻击,将开发者环境作为门户,特别是在前者变得越来越复杂和相互依赖的情况下。

二、中小企业将成为勒索软件的下一个目标

在整个2021年,勒索软件攻击活动频繁地涉及到政府、制造业和银行业等大型组织。攻击者正在寻找潜在的高额支付,事实证明,这一策略的确是有利可图的——根据美国财政部发布的内容显示,它已将52亿美元的比特币交易与勒索软件攻击的支付赎金绑定在了一起。

然而,随着规模较小的企业正在开启或加速其数字化转型进程,将很有可能成为寻找易受攻击系统的网络犯罪者获得收益的目标。这些所谓“低调”的攻击应该是MSP最关心的问题,因为它们可能很快就会成为影响这些业务的首选方式。

三、应用程序安全仍将是企业的首要任务之一

托马斯·塞古拉表示,可以有信心地说,2022年,企业将再次集中精力在应用程序安全(AppSec)上下功夫。为什么?原因有三点:

1、随着供应链变得越来越复杂,DevOps管道攻击面扩大。风险管理从根本上确保了这些管道的安全。
2、开发者和他们的访问特权仍然是攻击者的完美目标,他们总是试图利用人为错误。
3、虽然安全肯定是重中之重,但没有人愿意因为它而放慢开发周期。安全工具需要关注开发人员的工作效率,因此在这两个目标之间找到完美的平衡将是AppSec策略的核心。

四、零信任架构成熟度将获得提升

零信任已经成为主流,这是有充分理由的。高级攻击、云的采用和远程办公的同步增长让企业意识到,他们迫切需要改变其数字安全态势,首先要实施零信任策略。因此在2022年,应该会看到各个组织在这一方向上不断取得进展,特别是在人和机器的身份验证方面,尽管这确实伴随着不小的挑战。

五、安全即服务将使同类最佳工具管理变得轻松

从云安全态势管理到事件管理,软成分分析等专业的工具不断涌现,在构建一个愈加完善的安全体系同时,安装和维护这么多不同的工具和产品可能很快变得非常困难,即使是对大公司来说也是如此。托马斯·塞古拉则认为,通过界面友好的控制面板、基于角色的访问控制和API来提供灵活性,将这些工具集成到现有工作流中将会变得越来越容易。

六、实时数据可观察性将得到更好的发展

2022年,任何网络安全战略都将重点放在实时数据可见性和可观测性上。获得一家公司正在使用的所有硬件和软件的完整IT资产清单,或其所有第三方供应商的名单已经是一个巨大的挑战,更不用说完整地,去描述与它们相关的可能会出现的网络威胁了。但随着技术能力的不断进步,最终还是会向着更好的检测和补救能力提升迈进,来自网络的威胁将会得到更好的监控。

作者总结道,未来几年,网络安全部门将面临巨大挑战,因为网络犯罪,特别是由国家背景支持的攻击,都将会越来越多地针对公共和私营部门中最脆弱的部分。不幸的是,即使是一些防御最严密的基础设施在2021年也遭到了入侵,这清楚地表明,在所有与网络防御相关的事情上,仍有很长的路要走。

不过托马斯·塞古拉也认为,目前总体上仍朝着正确的方向前进,大多数实体将受益于实施、执行或审查安全最佳实践的加速计划。企业也渴望采用量身定做的网络安全解决方案,前提是它们能够更好地管理未来网络软件供应链的复杂性。