Forrester:2023年五大安全威脅態(tài)勢

近日Forrester發(fā)布了《2023年重大網(wǎng)絡(luò)安全威脅報告》,對2023年的主要網(wǎng)絡(luò)安全威脅進(jìn)行了分析和研判,并向CISO及其團(tuán)隊提供了應(yīng)威脅的建議。

360截圖16251112669372.png

本文來自微信公眾號“GoUpSec”。

2023年即將過半,在這個地緣戰(zhàn)爭和技術(shù)革命同時爆發(fā)的特殊時期,全球網(wǎng)絡(luò)安全威脅態(tài)勢發(fā)生了哪些重大變化?呈現(xiàn)何種發(fā)展趨勢?

近日Forrester發(fā)布了《2023年重大網(wǎng)絡(luò)安全威脅報告》,對2023年的主要網(wǎng)絡(luò)安全威脅進(jìn)行了分析和研判,并向CISO及其團(tuán)隊提供了應(yīng)威脅的建議。

報告指出,網(wǎng)絡(luò)攻擊的性質(zhì)正在迅速變化。生成式人工智能、云環(huán)境的復(fù)雜性和地緣政治緊張局勢是2023年攻擊者武器庫中的最新武器和有利因素。攻擊者正在積極將生成式AI武器化,并用AI微調(diào)其勒索軟件和社會工程技術(shù)。

四分之三(74%)的安全決策者表示過去12個月中其所在企業(yè)的敏感數(shù)據(jù)“可能遭到攻擊或泄露”。對于任何一位CISO來說,如此高的數(shù)據(jù)泄露比例都是足以令人高度緊張的“網(wǎng)絡(luò)安全基線”。

隨著攻擊者加速推進(jìn)生成式人工智能的武器化,積極尋找新的方法來利用云端環(huán)境的復(fù)雜性,并利用地緣政治緊張局勢發(fā)起更復(fù)雜的攻擊,全球網(wǎng)絡(luò)安全態(tài)勢正在不斷惡化。

CISO陷入兩線作戰(zhàn)困境

CISO正面臨兩線作戰(zhàn)的困境,一方面需要應(yīng)對長期威脅的壓力,同時又沒有準(zhǔn)備好阻止新出現(xiàn)的威脅。

勒索軟件和基于商業(yè)電子郵件入侵(BEC)實(shí)施的社會工程攻擊是CISO多年來重點(diǎn)防御的長期威脅。然而,盡管安全團(tuán)隊已投入數(shù)百萬美元來加強(qiáng)其技術(shù)堆棧、端點(diǎn)和身份管理系統(tǒng)以對抗勒索軟件,但此類網(wǎng)絡(luò)攻擊的數(shù)量不減反增。

為了提高贖金收入規(guī)模和支付速度,越來越多的勒索軟件組織開始將供應(yīng)鏈、醫(yī)療提供商和醫(yī)院作為主要目標(biāo)。因為此類目標(biāo)對業(yè)務(wù)停頓極為敏感,無法承受長期停機(jī)的(生命和財產(chǎn))損失。

此外,F(xiàn)orrester的預(yù)測和調(diào)查結(jié)果還顯示隨著新威脅的發(fā)展,數(shù)據(jù)泄露事件的瞞報比例在不斷提高。CISO和企業(yè)不想承認(rèn)自己的安全防御不到位。12%的安全和風(fēng)險專業(yè)人員表示,他們的公司在過去12個月中發(fā)生了6-25次數(shù)據(jù)泄露事件(下圖),主要原因是BEC、社會工程攻擊和勒索軟件攻擊。隨著生成式人工智能技術(shù)的濫用加速,新的、更致命的攻擊策略即將到來。

360截圖16251112669372.png

2022年70%的企業(yè)遭受了至少一次數(shù)據(jù)泄露

數(shù)據(jù)來源:Forrester

那些未能及時升級到AI防御體系的基于邊界防護(hù)的遺留系統(tǒng)最容易受到攻擊。新一波網(wǎng)絡(luò)攻擊即將到來,攻擊者將能大規(guī)模針對性地探尋和利用任何企業(yè)薄弱環(huán)節(jié),包括復(fù)雜的云配置,數(shù)據(jù)泄露事件的瞞報率(包括未檢測到的泄露)也將進(jìn)一步上升。

2023年五大網(wǎng)絡(luò)安全威脅態(tài)勢

隨著新一波威脅的到來,F(xiàn)orrester預(yù)計會有更多致命的攻擊,因為攻擊者正積極掌握人工智能專業(yè)知識以擊敗最新一代的網(wǎng)絡(luò)安全防御,端點(diǎn)和身份保護(hù)之間的安全差距是攻擊者關(guān)注的重點(diǎn)薄弱環(huán)節(jié)。

CrowdStrike總裁Michael Sentonas在最近的一次采訪指出:縮小端點(diǎn)保護(hù)和身份保護(hù)之間的差距是“今天企業(yè)要應(yīng)對的最大安全挑戰(zhàn)之一”。RSA 2023大會展示了身份和復(fù)雜性方面的一些挑戰(zhàn),這也是為什么我們將端點(diǎn)與身份,以及用戶正在訪問的數(shù)據(jù)聯(lián)系起來,這是企業(yè)網(wǎng)絡(luò)安全今天面臨的關(guān)鍵問題。

以下,是Forrester報告給出的2023年網(wǎng)絡(luò)安全威脅五大趨勢:

一、人工智能威脅浮出水面

使用生成式AI(例如ChatGPT及其他大型語言模型),攻擊者可以以前所未有的速度和復(fù)雜度實(shí)施規(guī)?;簟orrester預(yù)測,AI增強(qiáng)攻擊案例將繼續(xù)激增,唯一限制攻擊者殺傷力的是其想象力。

一個早期AI威脅用例是通過“數(shù)據(jù)投毒”導(dǎo)致算法漂移的技術(shù),這種攻擊技術(shù)會降低電子郵件安全檢測效率或電子商務(wù)推薦引擎的收入(以及準(zhǔn)確性)。這曾經(jīng)是一個小眾話題,但現(xiàn)如今已經(jīng)成為亟需預(yù)測和應(yīng)對的最緊迫的威脅之一。Forrester指出,雖然許多組織不會面臨這種威脅的直接風(fēng)險,但了解哪些安全供應(yīng)商可以抵御對AI模型和算法的攻擊至關(guān)重要。Forrester在報告中建議,“如果你需要保護(hù)企業(yè)的人工智能系統(tǒng),可以考慮像HiddenLayer、CalypsoAI和Robust Intelligence這樣的供應(yīng)商。”

二、云計算復(fù)雜性持續(xù)增加

今天,有94%的企業(yè)使用云服務(wù),75%的企業(yè)表示云安全是首要關(guān)注的問題。三分之二的企業(yè)擁有云基礎(chǔ)架構(gòu)。Gartner去年曾預(yù)測,云遷移將影響今年超過1.3萬億美元的企業(yè)IT支出,到2025年將影響近1.8萬億美元。到2025年,51%的IT支出將轉(zhuǎn)移到公共云(2022年為41%)。到2025年,云技術(shù)將占應(yīng)用軟件支出的65.9%,高于2022年的57.7%。

上述預(yù)測凸顯了日益復(fù)雜龐大的云計算和存儲基礎(chǔ)設(shè)施蘊(yùn)含的重大安全風(fēng)險。Forrester指出,不安全的IaaS基礎(chǔ)架構(gòu)配置、無惡意軟件攻擊和權(quán)限提升以及配置漂移是CISO及其團(tuán)隊需要了解和強(qiáng)化的眾多威脅面中的一小部分。

該報告建議企業(yè)實(shí)施彈性、強(qiáng)大的云治理,并使用安全工具(例如IaaS平臺的本機(jī)安全功能、云安全態(tài)勢管理和SaaS安全態(tài)勢管理)來檢測和修復(fù)威脅和攻擊嘗試。

報告指出:基礎(chǔ)設(shè)施即代碼(IaC)掃描正在通過集成IaC安全性(例如Checkmarx的KICS和Palo Alto Networks的Bridgecrew)來檢測terraform、helm和Kubernetes清單文件中的錯誤配置(例如,未加密的存儲桶或弱密碼策略),加入CI/CD部署管道,甚至集成到更早期的編碼開發(fā)環(huán)境中。

三、地緣政治威脅迫在眉睫

Forrester的報告指出,俄烏戰(zhàn)爭伴生的網(wǎng)絡(luò)攻擊具有全球影響力,民族國家行為者將繼續(xù)出于地緣政治目的對私營公司進(jìn)行網(wǎng)絡(luò)攻擊,如間諜活動、談判杠桿、資源控制和知識產(chǎn)權(quán)盜竊,以獲得技術(shù)優(yōu)勢。

報告還聲稱,中美之間持續(xù)的外交和貿(mào)易緊張局勢是另一個爆發(fā)點(diǎn),可能會增加對企業(yè)的攻擊。該報告引用了美國在2022年底限制向中國的半導(dǎo)體芯片出口和通信設(shè)備進(jìn)口,以及中國于2023年初制裁了美國國防承包商。俄羅斯也正面臨歐洲貿(mào)易禁令和出口管制,這些沖突可能會影響私營公司。朝鮮黑客從日本竊取了價值7.41億美元的加密貨幣,這是地緣政治威脅波及國家金融的另一個例子。

四、勒索軟件仍是最大威脅

根據(jù)Forrester的報告,2023年勒索軟件仍然是最大的網(wǎng)絡(luò)威脅,攻擊者通常會采用雙重勒索策略(用泄露數(shù)據(jù)來勒索企業(yè))來提高贖金支付率。

針對關(guān)鍵基礎(chǔ)設(shè)施和供應(yīng)鏈的勒索軟件攻擊正在增長,此類攻擊造成的系統(tǒng)停頓可能造成數(shù)百萬美元的損失。攻擊者知道,只要能夠破壞供應(yīng)鏈,那些無法承受長期停機(jī)的企業(yè)將很快滿足他們的贖金要求。

報告中最令人不安的發(fā)現(xiàn)是,在2016年至2021年期間,針對醫(yī)院的勒索軟件攻擊翻了一番,甚至危及生命。

作為回應(yīng),30多個國家于2021年10月聯(lián)合發(fā)布反勒索軟件倡議(CRI),以打擊全球勒索軟件。作為CRI戰(zhàn)略的一部分的國際反勒索軟件工作組(ICRTF)目前由澳大利亞領(lǐng)導(dǎo)。Forrester建議企業(yè)也“同樣優(yōu)先考慮勒索軟件防御,并訂閱針對勒索軟件威脅的外部威脅情報服務(wù)。”

該報告還提醒美國的關(guān)鍵基礎(chǔ)設(shè)施企業(yè)的安全和風(fēng)險管理團(tuán)隊,根據(jù)2022年《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法》,他們必須在網(wǎng)絡(luò)事件的72小時內(nèi),贖金支付的24小時內(nèi)向CISA報告。

五、BEC社會工程造成損失超過勒索軟件

美國聯(lián)邦調(diào)查局犯罪投訴中心的報告稱,2022年BEC社會工程給企業(yè)造成的損失為24億美元。2021年,BEC攻擊造成的欺詐性資金轉(zhuǎn)移索賠超過了所有其他類型的索賠,甚至超過了勒索軟件攻擊。BEC社會工程攻擊主要利用人員錯誤,例如使用網(wǎng)絡(luò)釣魚來竊取憑據(jù)和濫用帳戶。

Forrester指出,BEC社會工程活動正在進(jìn)入一個新階段,試圖結(jié)合多種溝通渠道(包括生成式AI技術(shù))來說服受害者采取行動。一些攻擊活動還包含驗證碼流程以提高其合法性和可信度。該報告建議,僅采用基于域的郵件身份驗證、報告和一致性(DMARC)進(jìn)行電子郵件身份驗證是不夠的。企業(yè)應(yīng)采用數(shù)據(jù)驅(qū)動的方法來改變和評估員工行為,通過額外的(安全意識)培訓(xùn)和技術(shù)來糾正人員錯誤,降低社會工程攻擊的風(fēng)險。

總結(jié):安全團(tuán)隊需要做好準(zhǔn)備應(yīng)對下一代網(wǎng)絡(luò)攻擊

Forrester的2023年網(wǎng)絡(luò)安全威脅報告向全球組織發(fā)出了嚴(yán)厲警告,為迫在眉睫的新攻擊和新威脅做好準(zhǔn)備。攻擊者正在不斷完善攻擊技術(shù),包括將生成式人工智能武器化、利用云復(fù)雜性和利用地緣政治緊張局勢發(fā)動更復(fù)雜的攻擊的新策略。

雖然企業(yè)仍在投入網(wǎng)絡(luò)安全預(yù)算以遏制BEC社會工程和勒索軟件攻擊,但他們還需要開始計劃如何預(yù)測、識別和應(yīng)對針對AI模型、算法和數(shù)據(jù)的威脅。為了改進(jìn)(內(nèi)生)威脅情報能力,企業(yè)安全團(tuán)隊還必須統(tǒng)一分散的安全計劃和策略,以阻止下一代網(wǎng)絡(luò)攻擊。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論