2023年已经过去了将近两个月,整体的安全形势相比一年前已经发生了极大的变化,其中很多都是我们所未曾料想到的,比如俄乌冲突对整个世界政经领域的影响,再比如疫情反复对于企业发展和人们生活的影响等等,如果从整个世界的角度看,无论是网络攻击的发起者还是防御一方也都有了一些变化。
成为一名网络攻击者的门槛降低
如果说10年、20年前,要想成为“黑客”是需要强悍的技术能力作为基础,并熟练掌握各种技巧和方法,尽管那个时候安全能力也并未达到当前水平,但要想以拥有高等级资产的组织为目标发动一场攻击,仍不是简单的事情,可以说门槛很高。
随着时代的发展和进步,教育和应用水平的不断提升,如今成为一名黑客的门槛已经大幅降低了,在拥有较为丰富的知识基础下,伴随着各类黑客工具和服务的出现,即使是技能水平相对较低的人,甚至是不懂代码的人通过这些攻击工具和服务也能成为一名攻击者,对组织的网络、数据资产造成破坏,比如PHaaS (网络钓鱼即服务)、RaaS(勒索软件攻击即服务)等,它们不仅有着自己的商业模式,而且提供各类发起攻击所需的工具,配合说明甚至服务,对攻击参与者的技能要求大幅降低。可以看到,这一模式对于整个网络安全威胁趋势的负面影响是较大的,这意味着攻击者数量以及潜在攻击的数量将会或者正在迎来飙升。
远程办公模式带来的安全挑战并未终止
对于企业而言,疫情带来的最大影响就是办公模式的变化,远程办公这一谈不上新的模式迅速在全球风靡,即便是当前疫情正处在消退过程,但这一影响仍然继续存在。尽管远程办公这一模式给企业和员工都带来了一定的好处,比如工作和生活之间的平衡,在部分工种上体现出的生产力提升,有利于降低一些诸如租用专用写字楼、办公室空间所产生的硬成本等等,但我们都清楚,这种办公模式所存在的固有安全风险是很大的。随着大量的企业开始部分甚至是完全采用远程办公模式,再加上云应用水平的不断提高,对这一变化感到最为头疼的恐怕就是企业的安全人员,因为员工几乎可以在任何地方去使用企业内部的业务系统、获取企业内部的各类数据,对于承担着保护敏感信息和资产的他们,将会面临着比此前更为巨大的挑战。
新兴技术发挥更大作用同时也带来更多风险
在2023年,可明确预见的是包括像物联网、人工智能等新兴技术将会在后疫情时代的日常生活中发挥出更突出的作用,在带来更好的工作、生活体验同时,它们也会成为更具吸引力的攻击目标。与此同时,攻击者也很擅长将新技术转化为自身的优势,比如近期非常火爆的ChatGPT,虎符智库的相关专家表示,ChatGPT等GPT-3工具使犯罪分子能够逼真地模拟各种社会环境,从而使任何针对性的通信攻击都更加有效。GPT-3这类语言模型提供支持的工具,使攻击者更易诱骗受害者提供敏感信息或下载恶意软件,加速从网络钓鱼到传播仇恨言论的所有级别和目的的攻击。值得一提的是,ChatGPT在某种程度上同样达到了降低网络犯罪门槛的可能——即使没有技术,也能成为攻击者。此外,其他诸如通过人工智能化的工具去发起自动化的攻击的案例更是比比皆是。
更高级别的目标和更加强大的对手
一年前开始的俄乌冲突给诸多领域带来了深远的影响,网络安全就是其中之一,从某种角度上来看,它甚至改变了网络安全的格局,让网络战达到了一个更高的高度,在双方军事力量差距肉眼可见的情况下发展到当前这一局面,与西方国家在网络战场上的支持不无关系,充分的体现出在网络、信息化战争中取得优势对于整个战局的影响是多么重要,而由此也可以预计,未来这一战场很有可能会进一步扩大到所有领域,无论是明面上还是暗地里的高级别攻防对抗,将会成为不同阵营国家中的常态。在这方面,所有和政治、经济运转相关的关键信息基础设施安全管理人员,都应该做好应对此类攻击的准备。
2023年了 那些熟悉的攻击还会继续流行
虽然各种新的攻击方式层出不穷,但更流行的仍然是我们所熟知的那几种。
1、网络钓鱼。对于各种类型的攻击者来说,网络钓鱼仍然是一种非常有效的方法。根据绿盟科技发布的《2022年度安全事件观察报告》内容显示,钓鱼事件占据了全年安全事件数量的24%,与2021年基本持平,相信在2023年,它仍然会继续流行。
值得注意的是,尽管邮件是大多数钓鱼攻击的载体,但新的载体也正在涌现,如前文所述的ChatGPT就可以被攻击者利用,发动有针对性的大规模钓鱼攻击,不夸张地说,通过这种聊天机器人,攻击者可以在几秒钟的时间内就生成数百万条鱼叉网络钓鱼消息,此外还有包括通过云、SaaS等新兴的钓鱼技术,都是值得CISO们关注的对象。
另外,CISO还需关注网络钓鱼的常态化挑战,在前述的绿盟科技发布的报告中,数据显示,在攻防演练期间的钓鱼事件数量极高,但攻击成功率只有14.7%,毫无疑问,几乎所有参与者都在这一时期提高了警惕性,而在攻防演练之外的时间,攻击成功率大幅度增长,达到39.2%。
2、DDoS攻击。这也是一种最为常见的网络威胁,而且仍然会是2023年继续流行的攻击类型之一。根据腾讯安全联合绿盟科技、电信安全联合发布的《2022年DDoS攻击威胁报告》数据显示,2022年DDoS攻击次数相比2021年增长8%,同时大流量攻击次数大幅度增长,同比增幅超过50%,双双创下历史记录。
在攻击手段方面,《2022年DDoS攻击威胁报告》表明“短平快”将是此类攻击的重要趋势,而安全公司Link11所发布的研究成果也显示出同样的看法,根据其记录的DDoS攻击事件可以看到,新的DDoS攻击从开始到攻击顶峰的时间已大幅缩短。这意味着攻击流量将会在短时间内达到峰值,而不是一种持续的线性增长方式,这种攻击的危害在于通过“时间差”——在受害组织的安全设备或安全团队从发现到响应之间的过程中就令目标受到严重打击甚至瘫痪。
DDoS攻击在当前已经有了诸多成熟的防御措施和手段,但CISO们仍然需对此类攻击给予一定的重视,毕竟攻击者也在不断地发展和演进攻击方式和手法,成功的攻击仍可以给组织带来极为沉重的后果。
3、勒索软件攻击。此类攻击将会继续流行已经是一种共识。在360、深信服、绿盟科技各自发布的相关报告中,都着重强调了勒索软件攻击已经呈现出产业特征,并且热度持续上升。同时,360、深信服也都特别强调了国内勒索软件攻击事件明显增多,其中因产业化所带来的增量不容忽视,尤其是前文所述的RaaS,可让技能水平一般的人也可以通过工具利用等方式成为一名攻击者,对于整体攻击数量的增长明显起到推动作用。
关于此类攻击方式,安全419已经探讨许多,这里不再赘述,关于2022年的具体相关情况,可以查阅《安全419年度盘点 | 2022年勒索软件攻击趋势总结》文章,同时也可以查阅各大安全企业的相关报告内容了解关于勒索攻击的未来趋势。
另外,针对勒索软件攻击的防护手段及相关解决方案,安全419在去年曾推出过相关的选题,今年仍然将会持续更新,对新变化、新防护方案予以观察,也欢迎读者继续关注。
4、漏洞。这是几乎所有安全管理人员甚至是安全从业者都会关注的名词,新思科技在此前发布的《2022年软件漏洞报告》数据显示,在对2700多个目标软件进行了4300多次安全测试之后,发现95%的目标应用存在某种形式的漏洞,其中20%存在高危漏洞,4.5%存在严重漏洞,数据相比去年有所降低,可仍然不能乐观。
对于组织而言,应用中的漏洞出现是无法避免的,关键在于要将风险管理起来,将其降低到最低限度,比如与漏洞相关的安全补丁更新是否及时等等。根据Palo Alto Unit42发布的数据,2022年上半年被利用最多的漏洞中,普遍都是一些早已被曝光的漏洞,造成这一现象的因素很多,比如漏洞利用难度、影响程度等等,但核心在于这些被曝光的漏洞如今仍被广泛利用,就说明了仍有很多组织未做到及时修复。
2022年上半年被利用最多的漏洞(图片来自Palo Alto Unit42)
新的趋势正逐渐形成 安全优先应成为企业发展战略要务随着攻击行为的不断演进和发展,作为防御一方的安全团队在应对这些威胁方面也在不断进步,根据当下趋势看,以下几个方面将会成为值得注意的要点:
1、自动化和人工智能
人工智能越来越多地被攻击者利用,但如果使用得当,与此同时,它也可以成为一种强大的防御工具。人工智能算法非常擅长分析巨大的数据集,并准确预测攻击将在何时何地发生,这给安全团队带来了宝贵的优势。
根据IBM的研究,使用人工智能和自动化来防御数据泄露的组织比不使用人工智能和自动化的组织平均节省305万美元,相差65.2%。通过新兴技术的利用不仅可以大幅提高效率,从长期来看也有利于降低成本。
不过,人工智能一词在国内的确有被滥用的情况出现,此前在采访国内部分将人工智能应用于安全领域的厂商(如金睛云华、四维创智等)时,我们能够体会到人工智能和安全之间要形成融合,是需要两方面的专业人才共同作用发力的情况下才能做好,因此在看一家打着人工智能安全标签的企业时,应着重看一下其内部是否有专业的人工智能技术团队,如果连这一领域的专家都没有,那它的“人工智能”水平也就可想而知了。
2、云上安全以及网络安全云化服务
即便是没有疫情影响,企业上云也是不可逆转的趋势,而疫情的出现更是对这一趋势起到了强大的推动作用。根据Radware此前发布的《2022年多云应用安全报告》内容显示,大约40%的生产应用程序部署在公有云中(其中有58%的组织现在在多个公有云环境中部署应用),另外还有30%部署在私有云环境中。由此可见,云已经成为当下主流的基础设施之一。
与之伴随而来的,就是云上资产的数量也在迅猛增长,在这一情况下,企业的安全关注点也应同步转移到云上,并对这一领域的防御能力建设予以不断的投入。可以说,更严格的安全管理、更严格的访问控制是做好云上安全的起点。
3、安全优先
这也是我们要说的最后一点,无论对新兴的安全理念、技术是多么的重视和关注,还是对始终强调安全的重要性,重点还要体现在行动上,安全优先必须要成为当前企业在数字化时代中发展的重要战略之一,一方面是在安全方面的投入要与企业的发展之间相平衡,以保证在面对风险时有较强的应对能力;另一方面则是在人员的安全意识培养和教育上,也需要常态化的定期进行,尤其是通过近乎于实战的方式将演练常态化,才能有效降低企业内部人员因社工攻击导致的网络风险。
在可见的趋势影响下,作为组织的安全管理人员,2023年仍然不会太好过,但我们也深知,网络威胁的演进从未停止,而与之对抗的安全管理者也好,身处一线的安全专家也好,在未来很长一段时间内,又有谁敢说今年会比去年更轻松呢?