一、网络犯罪专业化趋势将会进一步加强
不可否认的是,绝大多数的网络攻击是为了财务上的收益,国家背景的网络攻击在过去几年中虽然愈演愈烈,但总体来说,他们选择的目标往往更有指向性和针对性,对于以逐利为目的的攻击者而言,几乎所有企业都可以是他们的目标。
正因为这样,当攻击者想要获取更高收益时,除了要保证自己持续拥有更好的技术能力和不断丰富攻击手法之外,还有一点正变得愈加重要——专业化,而这个专业化从某种角度来看正是由市场所推动的,就像充满活力的市场经济一样,当网络犯罪逐步形成一种商业模式的时候,我们会看到网络犯罪团伙会变得更加专业,包括工具研发、销售分发、吸收更多攻击者、收益抽成等等都形成一系列的有组织行为,推动一浪又一浪的参与者发起连绵不断的攻击。
这里最典型的就是勒索软件攻击,在我们看来,勒索软件的专业化趋势形成的主要原因在于规模经济,提供RaaS服务的勒索软件团伙要想赚到更多的钱,扩大规模是一种简单直接的方式,于是他们会开始以更接近传统商业模式的方式去运营,以实现规模扩大与收益增长。对于大多数专业的勒索软件组织来说,赚钱是一种动机,而专业化的运营和操作可以让他们赚取更多的收益。据此前了解到的情况显示,一些专业组织很有可能已经拥有自己的发展路线图,包括软件的功能研发路线,比如支持更多设备的操作系统等,以及其他一些面向未来的能力。毫无疑问,用于勒索软件攻击的恶意软件开发也会因此而受到一些刺激,比如开发迭代的速度会更快,更好的维护能力等等,就像一家软件公司一样,有专人负责开发,也有专人负责销售,更有专人负责服务。
当这些网络犯罪行为变得愈加专业化之后,整体网络威胁无论在数量上还是在程度上都会相比以往有进一步加剧的趋势,这也会给我们带来极为严峻的挑战,因为对手不光武装起来了,而且组织起来了。
二、供应链攻击将会进一步加剧
在数字化进程不断深入推进的当下,组织所依赖的供应链正变得愈加复杂,而攻击者则正在积极的利用这一特点发动攻击,造成极大的威胁。近年来,全球软件供应链攻击事件频发,且影响面也越来越大,与其相关的安全问题也被越来越多的国家、机构、企业提至前所未有的高度,予以极高的重视,但这并不意味着针对供应链的攻击增长趋势得到逆转,实际上,众多网络安全专业机构都认为,供应链攻击在2023年将会愈演愈烈,相关威胁也呈加剧态势。
据Gartner此前发布的相关预测数据显示,到2025年,将会有45%的组织遭受供应链攻击,而目前的发展趋势也的确是在朝这个方向演进,如果说初期的供应链攻击主要针对的都是一些大型企业、机构等组织,那么当前正在朝着“遍地开花”的方式发展。
根据此前腾讯安全所发布的2022年云安全态势内容中,涉及软件供应链的著名漏洞相关数据可供参考:2021年12月曝出的Log4j 2漏洞,至今已经被侦测到与其相关的攻击数亿次攻击尝试;2022年3月曝出的Spring框架远程代码执行漏洞,与其相关的全网攻击次数达到千万级;2022年10月曝出的Apache Commons Text任意代码执行漏洞,在不到两个月的时间内,侦测到与其有关的攻击数量已超30万次。
这还仅仅只是涉及到一些开源组件的软件供应链攻击部分,还有其他包括利用社会工程学的方式发动入侵并植入恶意代码等等。因此,我们有理由相信,由于供应链攻击本身所具备的特点,将会令攻击者不断扩大攻击范围,越来越多的组织将会面临此类威胁,这不会仅仅是在2023年,甚至再向后较长一段时间内,都会成为组织需要重点关注的威胁领域。
与此同时,为应对此类风险,业内也给出了很多的建议和相应的解决方案,比如通过SBOM、SCA等等工具,并对所有第三方软件供应商制订并实施严格的安全管理制度,同时,也应积极引入和利用当前主流的专业安全工具、产品和解决方案,安全419于今年推出了《软件供应链安全解决方案》系列选题,对国内有代表性的软件供应链安全解决方案做了较为细致的梳理,可供企业在进行相关安全建设时参考。
三、人的因素将继续成为企业要面临的首要安全问题
这个问题是一个共识,但在未得到扭转之前,相信会一直不断地出现在各类预测或趋势判断之中。相比之下,人仍然是任何组织中网络安全风险的重要源头。尽管进行了所有的培训,但员工仍有可能被攻击者以社工、网络钓鱼或包括共享密码和登录凭证在内的失误,为攻击者提供入口。威瑞森此前发布的报告数据显示,82%的数据泄露关键驱动因素源自“人为”; Proofpoint在今年早些时候发布的《2022年内部威胁成本全球报告》显示,因内部人员导致的安全事件数量正在显著增长,在这些事件当中,有56%的比例是源自于员工疏忽,凭证管理问题是员工最容易出现的安全问题之一,有18%的威胁是源自于这一点。
伴随网络攻击数量的增长,社会工程学攻击的技术、工具、手法不断进化,包括深度仿冒技术的应用等等,都能够令攻击者诱骗更多的用户上当,而包括打开不明邮件、点击恶意链接的行为等也是高居不下,随着企业数字化程度的不断提高,员工可以接触到企业信息系统的概率也同样在大幅提升,从而在未来较长一段时间内,“人”始终都会是企业面临网络威胁的主要源头之一。
那么针对这一问题,如何才能有效地应对呢?安全419此前曾专门撰文讨论,安全意识教育对员工的影响到底是如何的?怎样才能保证花费资金、时间投入的安全培训能够达到预期中的效果,降低企业安全风险呢?
在我们看来,安全培训不能一上来就直接以灌输的方式强加给员工,而是应当分阶段,首先是对所有员工进行安全意识素养的普查,并根据普查结果将员工酌情分级,然后针对不同级别的员工进行有针对性的培训,最终还要强调演练的作用,因为知识学的再多,长期不用也终会遗忘,而网络安全风险的发生往往就是员工在一瞬间不经意的失误造成的。需特别强调的是,培训、演练等内容还应当常态化,以保证员工的安全意识能始终在线,达到预期目的。(扩展阅读:员工缺乏安全意识是种“慢性病” 有效的安全教育培训需分三步走)。
四、安全托管服务将会成为企业的优先选项
前面刚说完关于人的安全意识问题,这里则要说的是安全专业人才的缺失问题,在近几年来,安全人才的确呈现出了冰火相容的状况,一方面是企业裁员导致不少的安全人才被释放到市场中,另一方面则是安全人才需求的总量仍存在较大的缺口,但从总体看,人才缺口的问题更加严重,且目前大家普遍的看法都依然比较悲观,那就是在较长一段时间内,这一缺口问题都不会得到显著的缓解。
一面是网络威胁加剧导致相关安全建设不能止步,否则会导致企业轻则业务受影响,重则生存受影响;另一面是安全问题日趋复杂,管理成本高居不下,即便是无疫情影响的情况下,安全乃至整个IT预算都趋于紧张,而伴随疫情的反复,更是进一步吃紧。因此,建立安全团队或采购大量的安全工具、产品建立完善的安全体系的确捉襟见肘。
在这一情况下,采购安全托管服务(Managed Security Service,简称MSS)或将成为一种新的趋势,结合MSS在海外的成功经验,国内企业正在广泛的借鉴并积极落地,截至目前,国内综合性安全厂商如安恒信息、深信服、腾讯安全等等均推出了各自的MSS方案,通过为企业提供包括安全管理平台、入侵检测与防御、防火墙、漏洞管理以及合规等解决方案。同时,配合安全托管服务提供商(Managed Security Service Provider,简称MSSP)的专家团队所给予的安全支撑,可实现7x24小时全天候的安全监控与管理,能有效缓解当前企业在安全技术能力以及人员不足的现状,从而MSS的确有理由成为未来多数(尤其是中小规模、IT预算较为紧张的)组织的优先选项。
五、安全产品、供应商的进一步整合
网络安全建设从来都不是一件轻松的事情,当看到很多企业仍然在疯狂的堆砌设备、产品,采购大量的安全工具,到最后可能会发现,这些投入最终换来的并不一定是更安全,而由于很多来自于不同供应商的工具彼此之间独立运行,功能上也许会有所重叠,甚至还会彼此之间产生冲突,对于需要面对它们的安全团队而言,更是降低了效率,从而令相关建设并未达到预期。
为了最大程度的减少这种与建设预期之间的安全差距,组织也的确开始考虑更优的技术或解决方案,比如前面所说的MSS就是其中的应对方案之一。
事实上,为了更好的帮助用户应对问题,整个安全行业也在积极的寻找对策,融合多技术的概念或理念成为近几年来一个较为突出的趋势,比如云原生应用保护平台(CNAPP)、攻击面管理(ASM)、扩展威胁检测与响应(XDR)等等,相较于传统的单点产品,它们彼此之间安全数据的共享更为便利,因此整体性更强,安全控制能力更优,从效率和效果上都要优于传统方案。基于这种理念下的解决方案最大的优势就在于简化,一是简化了采购与部署,这些大多通过SaaS订阅制模式提供的产品,从采购到部署几乎都是一键化的;二是简化了操作与控制,整套方案所包含的功能基本可以覆盖解决某一或某几大类安全问题,只需通过一个整合的安全中心即可实现相关的安全控制,对相关人员的操作要求和能力要求也有所降低。相信在未来,这种趋势会体现的更为突出。
京公网安备 11010802033237号
