本文來自微信公眾號“安全牛”。
隨著網(wǎng)絡(luò)安全在企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展中的重要性不斷增長,網(wǎng)絡(luò)安全運(yùn)營工作也得到企業(yè)管理層的高度關(guān)注和重視。日前,卡巴斯基的安全研究人員,分別從外部和內(nèi)部視角,對2023年企業(yè)組織網(wǎng)絡(luò)安全運(yùn)營工作的發(fā)展態(tài)勢和挑戰(zhàn)進(jìn)行了預(yù)測,這些運(yùn)營挑戰(zhàn)將與2023年企業(yè)面臨的安全威脅緊密交織在一起。
1、勒索攻擊從加密數(shù)據(jù)轉(zhuǎn)向破壞數(shù)據(jù)
(外部因素)
網(wǎng)絡(luò)安全已經(jīng)成為國家安全的重要組成部分,地緣政治動蕩將會持續(xù)影響著網(wǎng)絡(luò)攻擊面。在2023年,我們可以預(yù)計(jì)網(wǎng)絡(luò)戰(zhàn)的威脅將繼續(xù)存在并進(jìn)一步加劇,其中最常見的攻擊場景有:對組織員工的攻擊(社會工程),對重要企業(yè)IT基礎(chǔ)設(shè)施的攻擊(DDoS),以及對國家關(guān)鍵基礎(chǔ)設(shè)施的攻擊。另一個重要的趨勢始于2022年,并將持續(xù)到2023年,那就是勒索軟件攻擊不僅會加密受害企業(yè)的數(shù)據(jù),還會以破壞數(shù)據(jù)作為攻擊手段。這種威脅對那些因?yàn)檎蝿訖C(jī)遭受攻擊的企業(yè)組織來說將會非常普遍。在未來的一年里,這種勒索攻擊威脅注定會快速上升。
2、基于邊界滲透的攻擊顯著增長
(外部因素)
盡管企業(yè)的網(wǎng)絡(luò)邊界正在不斷的模糊和消失,但是在2021年和2022年,卡巴斯基觀察到通過網(wǎng)絡(luò)邊界成功進(jìn)行初始滲透的攻擊數(shù)量卻在顯著增長。數(shù)據(jù)顯示,這種類型的攻擊數(shù)量在2022年比2021年翻了一番。研究人員發(fā)現(xiàn),攻擊者從邊界滲透所需的攻擊準(zhǔn)備比發(fā)起一次成功的網(wǎng)絡(luò)釣魚要少,而且一些非常老的安全漏洞仍在持續(xù)暴露并可輕松被利用;我們預(yù)計(jì)這種趨勢將在2023年繼續(xù)下去。
【2021-2022年全球公共應(yīng)用程序漏洞利用調(diào)查】
3、針對科技企業(yè)的供應(yīng)鏈攻擊
(外部因素)
據(jù)卡巴斯基觀察,攻擊者對大型科技公司和電信運(yùn)營商的攻擊興趣在不斷提升。根據(jù)卡巴斯基MDR報告數(shù)據(jù)顯示,2021年電信行業(yè)安全事件統(tǒng)計(jì)數(shù)據(jù)為:平均每1萬個應(yīng)用系統(tǒng)中檢測出79起高危事件,42起中危事件,28起低危事件。
2022年,盡管高危事件的比例較低,大約每1萬個系統(tǒng)中有12起高危事件,但中危事件卻有60起,低危事件有22起。研究人員認(rèn)為,入侵者通過攻擊電信運(yùn)營商,可以進(jìn)一步威脅到他們的客戶。在2023年,卡巴斯基預(yù)計(jì)通過電信運(yùn)營商和大型科技企業(yè)進(jìn)行的供應(yīng)鏈攻擊數(shù)量將會增加,這些供應(yīng)商還通常會提供額外的托管服務(wù)。
4、有國家背景組織發(fā)起的網(wǎng)絡(luò)攻擊
(外部因素)
數(shù)據(jù)顯示,過去幾年,從關(guān)鍵基礎(chǔ)設(shè)施企業(yè)到政府機(jī)構(gòu)等行業(yè)都受到更具針對性的網(wǎng)絡(luò)攻擊威脅,曾遭受過針對性攻擊的組織面臨二次攻擊的可能性仍然很高,因?yàn)檫@是威脅行為者的長期目標(biāo)。這一點(diǎn)在政府組織中尤為明顯,它們往往受到有國家支持的非法團(tuán)伙攻擊。
【2021-2022年政府組織中每1萬個系統(tǒng)中的安全事件數(shù)量】
地緣政治沖突通常伴隨著信息戰(zhàn),而媒體組織也不可避免地發(fā)揮著重要作用。近年來,卡巴斯基觀察到針對這一領(lǐng)域的攻擊在穩(wěn)步增長,2022年的統(tǒng)計(jì)數(shù)據(jù)證實(shí)了這一趨勢,大眾媒體也是攻擊者的主要目標(biāo)之一。到2023年,媒體和政府組織很可能仍將是最常受到攻擊的領(lǐng)域,高危事件的比例可能會增加。為了有效防范一些有針對性的攻擊,企業(yè)組織可以考慮將主動威脅搜索與MDR結(jié)合使用。
5、安全運(yùn)營團(tuán)隊(duì)如何降本增效
(內(nèi)部因素)
企業(yè)安全運(yùn)營工作發(fā)展的未來在于集約而非粗放的增長,這意味著每個安全運(yùn)營團(tuán)隊(duì)成員的價值產(chǎn)出需要持續(xù)增長。企業(yè)需要不斷開發(fā)安全運(yùn)營團(tuán)隊(duì)的技能,以應(yīng)對2023年企業(yè)可能面臨的安全威脅。這意味著企業(yè)需要加強(qiáng)事件響應(yīng)訓(xùn)練和所有形式的安全運(yùn)營演習(xí),如TTX、安全紅隊(duì)和入侵攻擊模擬,都應(yīng)該成為2023年企業(yè)安全運(yùn)營戰(zhàn)略計(jì)劃制定的重要組成部分。
在實(shí)際安全運(yùn)營中,很多企業(yè)缺乏熟練和有經(jīng)驗(yàn)的安全人員,這種趨勢在2023年將繼續(xù)存在。為了應(yīng)對挑戰(zhàn),企業(yè)需要明確定義規(guī)范合理的安全運(yùn)營流程,優(yōu)化提升安全運(yùn)維人員的工作效率。因此,卡巴斯基預(yù)測,2023年企業(yè)對安全運(yùn)營流程開發(fā)和相關(guān)服務(wù)的需求將越來越大。
6、更高的預(yù)算成本和投入
(內(nèi)部因素)
不斷增長的數(shù)字威脅環(huán)境正在推動企業(yè)組織網(wǎng)絡(luò)安全建設(shè)和安全運(yùn)營預(yù)算飆升。這一趨勢將把企業(yè)管理層的關(guān)注點(diǎn)集中在安全預(yù)算支出上,引發(fā)有關(guān)“為什么?”“效果是什么?”以及“它能帶來什么價值?”等問題的思考。這些問題主要就是針對網(wǎng)絡(luò)安全運(yùn)營團(tuán)隊(duì)的。
在此背景下,企業(yè)應(yīng)該盡快開展安全運(yùn)營效率管理計(jì)劃。企業(yè)需要評估業(yè)務(wù)中斷或違約成本,并將其映射到安全預(yù)算投入上,以減少此類安全事件的發(fā)生。通過開展安全運(yùn)營效率管理,可以讓安全運(yùn)營團(tuán)隊(duì)合理評估他們創(chuàng)造的價值。但在實(shí)施這種方法之前,企業(yè)組織需要制定有效的評價指標(biāo)及分析方法,并建立較完善的安全運(yùn)營流程。
7、更全面的威脅情報支撐和威脅搜索
(內(nèi)部因素)
網(wǎng)絡(luò)攻擊和威脅的增長將提升對攻擊預(yù)測技術(shù)的需求,從而增加網(wǎng)絡(luò)威脅情報(CTI)的應(yīng)用價值。從目前在應(yīng)用實(shí)踐中觀察到的情況來看,許多企業(yè)的CTI應(yīng)用局限于管理妥協(xié)指標(biāo)(IOC)提要,這種方式對防范新興的零日攻擊和APT攻擊幾乎無效。2022年,很多企業(yè)已經(jīng)開始轉(zhuǎn)變,在公司內(nèi)部建立全面的CTI能力,并且在安全運(yùn)營團(tuán)隊(duì)中設(shè)置專門的CTI崗位,這一趨勢將在2023年進(jìn)一步發(fā)展和成熟。
此外,“假設(shè)妥協(xié)范式”(Assume Breach Paradigm)將在2023年繼續(xù)存在,這意味著主動的威脅搜索可能成為一種趨勢,并成為未來企業(yè)安全運(yùn)營戰(zhàn)略的重要組成部分。由于威脅搜索是安全運(yùn)營體系中檢測能力的關(guān)鍵部分,因此企業(yè)組織應(yīng)該考慮定期進(jìn)行威脅搜索,并制定明確的威脅發(fā)現(xiàn)目標(biāo),以了解如何持續(xù)地實(shí)現(xiàn)這些目標(biāo)