預測:2023 年值得關(guān)注的網(wǎng)絡安全趨勢

james_23
近幾年,勒索軟件攻擊激增,受害者支付贖金也增長了兩倍甚至三倍。由于許多受害者不愿意報案,沒有人真正知道事勒索軟件目前發(fā)展的具體趨勢。網(wǎng)絡安全專家聲稱,往后幾年,勒索軟件的攻擊目標會更大,索要的贖金也會更多。

本文來自微信公眾號“FreeBuf”,作者/james_23。

2022年是網(wǎng)絡安全領(lǐng)域動蕩的一年,黑客組織襲擊了微軟、思科、推特和優(yōu)步等科技巨頭,勒索軟件繼續(xù)“蹂躪”醫(yī)療保健、金融、基礎(chǔ)設(shè)施等領(lǐng)域。再加上俄烏沖突期間網(wǎng)絡戰(zhàn)帶來的影響,2022的網(wǎng)絡安全領(lǐng)域“極不平凡”!

QQ截圖20221020133834.png

Information Security Media Group咨詢了一些業(yè)界知名安全專家2023年需要關(guān)注那些安全趨勢。以下是專家對未來一年網(wǎng)絡安全領(lǐng)域的展望。

網(wǎng)絡犯罪分子將加大對API漏洞的攻擊力度

隨著企業(yè)對開源軟件和定制接口來連接云和傳統(tǒng)系統(tǒng)的依賴程度加深,”API經(jīng)濟“正在高速增長。2022年,API層面發(fā)生了幾起備受矚目的違規(guī)事件,其中包括澳大利亞最大的電信公司Optus的違規(guī)事件。專家們預計,網(wǎng)絡犯罪分子在新的一年,會加強對API漏洞的攻擊。

Traceable的CSO理查德-伯德(Richard Bird)表示,Gartner多年來一直在警告API漏洞的風險,并預計其將成為一個主要的攻擊面。后續(xù),業(yè)內(nèi)將會聽到更多關(guān)于這方面的消息,到2023年,美國將出現(xiàn)大規(guī)模API漏洞。

Contrast Security的CSO Tom Kellermann則表示,大多數(shù)公司在保護API方面做得并不好,相比開發(fā)人員的投入來說,安全團隊規(guī)模較小,投入資源匱乏。

攻擊者將盯上電網(wǎng)、石油和天然氣供應商以及其它關(guān)鍵基礎(chǔ)設(shè)施

從以往發(fā)生的往案例來看,關(guān)鍵基礎(chǔ)設(shè)施一直是民族主義攻擊者的首選目標。許多工廠依靠IT和OT系統(tǒng)來保持順利運行,但部分工業(yè)控制系統(tǒng)已經(jīng)運轉(zhuǎn)幾十年,容易受到網(wǎng)絡攻擊。事實上,去年IBM X-Force觀察到針對TCP 502端口的對抗性“偵察”增加了2000%以上,這可能使的黑客輕松控制物理設(shè)備,擾亂企業(yè)運營。

網(wǎng)絡安全專家警告,應當隨時準備好應對針對電網(wǎng)、石油和天然氣供應商以及其它關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡攻擊。

QQ截圖20221020133834.png

Cybereason的CSO Sam Curry指出,盡管CISA肩負著巨大責任,但每個關(guān)鍵基礎(chǔ)設(shè)施部門都有很多工作要做,對于北半球大部分地區(qū)來說,能源生產(chǎn)等領(lǐng)域在冬季中期都非常非常脆弱,需要格外防范網(wǎng)絡安全威脅。

攻擊者將增加對多因素身份認證漏洞的利用

多因素身份認證曾被認為是身份管理的“黃金標準”,為密碼安全提供了一個重要保障。今年,隨著一系列使用MFA繞過技術(shù),成功實施網(wǎng)絡攻擊的案例出現(xiàn),再加上網(wǎng)絡釣魚和社會工程,這一切可能都改變了。接下來,攻擊者肯定會增加對多因素認證漏洞的利用。

此外,黑客成功進行網(wǎng)絡攻擊的新聞也會吸引了下一波想利用最新方法發(fā)動攻擊的“失敗者”和其他潛在攻擊者。

勒索軟件將會針對更大的目標、索要更多的贖金

近幾年,勒索軟件攻擊激增,受害者支付贖金也增長了兩倍甚至三倍。由于許多受害者不愿意報案,沒有人真正知道事勒索軟件目前發(fā)展的具體趨勢。網(wǎng)絡安全專家聲稱,往后幾年,勒索軟件的攻擊目標會更大,索要的贖金也會更多。

全球隱私和網(wǎng)絡安全實踐合伙人兼主席Lisa Sotto強調(diào),毫無疑問,勒索軟件將會繼續(xù)有增無減,環(huán)境比以往任何時候都更加惡劣,雖然每年都這么說,但后續(xù)似乎比以往任何時候都更加惡劣。

QQ截圖20221020133834.png

攻擊者將”瞄準“超大型云計算企業(yè)

數(shù)字化轉(zhuǎn)型促使企業(yè)大規(guī)模將業(yè)務遷移到公共云上,這一趨勢從企業(yè)開始,并逐步擴展到大型政府機構(gòu),創(chuàng)造了一個復雜混合和多云環(huán)境的“大雜燴”。隨著越來越多數(shù)據(jù)轉(zhuǎn)移到云端,攻擊者會把主要目標鎖定在超大規(guī)模的云端企業(yè)。

零信任將被更廣泛地采用

直到過去幾年,網(wǎng)絡安全組織和供應商社區(qū)才接受了最低特權(quán)和持續(xù)驗證防御的概念(零信任理念)。上個月,美國國防部宣布其零信任戰(zhàn)略時,零信任得到了重大推動。隨著組織尋求現(xiàn)代化防御,零信任將得到更廣泛的采用。

QQ截圖20221020133834.png

值得一提的是,ON2IT集團網(wǎng)絡安全戰(zhàn)略高級副總裁John Kindervag和Ericom軟件公司CSO Chase Cunningham稱,他們對采用零信任的聯(lián)邦機構(gòu)數(shù)量感到樂觀。

網(wǎng)絡安全保險的可用性將繼續(xù)”枯竭“

20多年前,出現(xiàn)了第一份網(wǎng)絡安全保險單,但勒索軟件攻擊造成的商業(yè)損失已經(jīng)成倍增長,因此,網(wǎng)絡保險公司正在提高其費率或完全退出該業(yè)務。2023年,網(wǎng)絡保險供應將繼續(xù)枯竭,企業(yè)承擔財務風險也會增加。

很多人都應該聽說過,在過去24個月里發(fā)生的大規(guī)模違規(guī)事件賠付率在零到30%之間,這是在保費和回報方面達成的共識,原因是不僅是整個網(wǎng)絡保險行業(yè)正在重新評估他們所做的事情,他們現(xiàn)在開始根據(jù)所發(fā)現(xiàn)的情況計算其風險。

政府機構(gòu)將對加密貨幣公司進行更嚴格的管控

一系列違規(guī)事件、市場價值的重大損失以及FTX加密貨幣交易所的丑聞,使加密貨幣世界在2022年陷入了困境。網(wǎng)絡安全專家認為政府機構(gòu)將對加密貨幣公司進行更嚴格的控制,以保護投資者,打擊洗錢和提高安全性。

QQ截圖20221020133834.png

企業(yè)將改變內(nèi)部安全培訓模式

多年來,許多大型企業(yè)一直提供網(wǎng)絡安全意識培訓,但似乎并未奏效。接下來幾年,各企業(yè)將改變提供網(wǎng)絡安全培訓的方式,著眼于更多的參與性學習、職業(yè)道路和提高CISO的技能。

參考文章:

https://www.inforisktoday.com/look-ahead-cybersecurity-trends-to-watch-in-2023-a-20749

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論