美智庫研究認為兩類網絡安全問題值得關注
2023年2月美國兩黨政策中心(Bipartisan Policy Center)發布了題為《網絡安全中最大的風險2023》的報告,以期為企業和政府決策者提供識別并管理網絡安全風險的框架。
一、宏觀網絡安全風險
兩黨政策中心提出了最主要的八項宏觀網絡安全風險,并認為這八項風險是最具影響力的網絡安全風險。
一是不斷變化的地緣政治環境。受到國際沖突加劇和民族主義的廣泛影響,全球多邊地緣政治格局加速演變。俄羅斯和烏克蘭的戰爭導致網絡攻擊和對關鍵基礎設施的破壞日益增多,并且這場戰爭有蔓延到沖突地區以外的風險。
二是網絡軍備競賽加速。網絡安全的基本性質正在發生變化,但幾十年前的網絡攻擊方式仍然有效,隨著攻擊者的每一次創新,防御者必須找出針對過去、現在和未來網絡攻擊的防御方法,在攻擊者和防御者之間展開“軍備競賽”。隨著技術的進步和數字化的發展,2023年網絡安全專業人員要重點保護的領域將呈現指數級增長。
三是全球經濟不穩定。股市波動和高通脹影響了全球需求,并引發了對全球供應鏈和世界經濟關鍵要素的沖擊。對2023年市場繼續波動和利率上升的預期加劇了不穩定的地緣政治環境,并給整個網絡安全部門帶來了風險,包括人員、預算等方面。
四是重疊、沖突和主觀化的合規要求。在美國乃至全球范圍,美國公司需要遵守不同的地方當局、州政府、聯邦政府發布的網絡安全、數據安全要求,不同地方的法律要求各不相同。隨著法律法規的增加,可能會給本地的跨國公司帶來更大合規挑戰。
五是公司治理滯后。盡管大型公司已在公司董事會和高級領導職位中增加網絡安全人才,但許多公司仍未設立此類職位。公司管理人員缺乏足夠的專業知識來有效管理網絡安全,使得公司處于一個不確定和充滿挑戰的經營環境中。其中,中小企業面臨更大的網絡安全風險。
六是缺乏投資、準備和韌性。目前,公共部門和私營部門都沒有對重大網絡安全事故進行充分準備和投資,在2023年仍然是一個巨大的漏洞。為危機準備的自滿心態也可能導致不利的財務后果或者機密信息的丟失,可能會導致數據泄露、網絡釣魚攻擊和其他風險。對第三方和第四方運營商的依賴也可能給網絡系統帶來額外的風險。
七是脆弱的基礎設施。美國關鍵基礎設施尤其面臨著網絡安全威脅,美國CISA將關鍵基礎設施定義為“社會賴以維持國家安全、經濟活力以及公共健康和安全的資產、系統、設施、網絡和其他要素”。關鍵基礎設施中很多系統都嚴重依賴國家和地方機構以及可能缺乏必要網絡安全控制的第三方和第四方供應商,這種依賴性可能導致巨大的網絡安全風險。
八是人才短缺。“大辭職”、遠程工作、云計算、人工智能、消費者通脹壓力以及其他因素導致很多機構難以留住網絡安全人才。目前,安全運營中心需要不斷雇傭熟練的員工來抵御云存儲和智能驅動中的網絡攻擊威脅。如果沒有掌握熟練技能的網絡安全人員來應對這些新挑戰,相關機構的安全防御能力將很快下降。
二、顯著網絡安全風險
顯著網絡安全風險是宏觀網絡安全風險之外值得重點關注的風險類型,其又分為戰略層面風險和操作層面風險。戰略層面風險是代表網絡安全問題宏觀層面的已識別風險,雖然沒有與其相關的具體威脅,但隨著時間的推移此類風險可能會成倍增加。操作層面風險代表網絡安全運營的微觀威脅,來自實踐部門的直接經驗。
(一)戰略層面風險
1、個人可識別信息(PII)的第三方保護仍需加強。PII是指可用于識別個人身份的任何信息,數據控制者通常會出于各種目的與第三方(如服務提供商或合作伙伴)共享PII,因此保護個人隱私安全的立法和措施仍需加強和完善。
2、缺乏統一定義的安全標準。在網絡安全背景下,安全標準被定義為合理和謹慎的網絡安全做法。但由于各行業和經濟體的安全需求廣泛,因此并沒有產生公認的標準。該標準包括定期更新軟件和安全系統,培訓員工,采用防止未經授權訪問敏感信息的政策和程序等。
3、違約規模和嚴重程度增加。網絡犯罪統計數據表明,網絡攻擊的數量每年增加15%,并且,遠程工作也為網絡安全帶來的新的挑戰,數據泄露可能危及家庭網絡和個人設備。隨著全球威脅的增長,幾乎每個行業都必須實施新的戰略并迅速適應,否則,攻擊者可能會調整方法以應對新措施。
4、投資者安全透明度規則需落實。2022年,美國證券交易委員會提出了新的網絡安全風險管理規則,要求投資顧問和上市公司披露網絡事件。美國兩黨政策中心支持這一行動,并認為需要更清楚地說明事件可報告的閾值,以及事件發生的時間、被發現的時間和達到可報告閾值的時間差。
5、白領網絡犯罪研究需加強。白領網絡犯罪是指為獲取經濟利益而在網上進行的非暴力的非法活動,包括知識產權盜竊、計算機黑客、信用卡欺詐、身份盜竊、網絡釣魚等。聯邦法律對這類犯罪規定了嚴厲的懲罰。為了加強對網絡犯罪的應對,需要在恢復數字證據等方面有經驗豐富的計算機專家。由于白領網絡犯罪在刑事司法中是一個相對較新的概念,因此很少有關于技術對白領犯罪的影響以及白領犯罪行為的誘因的研究。
6、強制互操作性要求需落實。美國國會起草了在線平臺的互操作性要求,要求它們通過應用程序編程接口(API)開放服務,以增加市場競爭。盡管這項立法尚未通過,但它表明了該行業新的監管方式的潛力。這種整合可以促進共同標準的實現,從而提高網絡基礎設施的穩定性。
7、無效的信息共享。通過積極主動的信息共享進行跨部門合作,對于提高國家抵御網絡攻擊的能力越來越重要。一些著名的網絡威脅情報報告機制包括結構化威脅信息表達(STIX?)以及MITRE的對抗戰術、技巧和常識框架(ATT&CK?)。在政府機構和公司之間,阻礙信息共享的問題是報告的及時性、數據的相關性和復雜性。
8、社會工程攻擊。社會工程攻擊會利用心理學操縱人們作出共享敏感信息或是允許訪問相關系統的行為。與其說是網絡攻擊,不如說是一場心理游戲,全世界有數百萬人上當受騙,成為受害者。許多欺詐者的目標是網絡安全意識有限的老年人。
9、加密貨幣成為犯罪的輔助手段。加密貨幣在犯罪活動中使用非常普遍,例如比特幣易于轉移和存儲,可以在世界任何地方匿名買賣,并且交易是永久的。在勒索軟件交易中,大多數黑客都要求使用比特幣支付,這種貨幣也用于暗網交易。網絡犯罪在加密貨幣本身也非常普遍,在過去幾年中,加密欺詐激增,隨著加密貨幣作為網絡犯罪支付手段,犯罪靈活性增加,限制了當局追蹤和扣押非法資產的能力。
10、商業監控構成對隱私保護的威脅。使用可追蹤和監控個人活動的商業產品對隱私和網絡安全構成嚴重威脅。行為者可以利用商業上的產品進行間諜活動。目前,商業監控產品的數量已使得當局很難監管和控制使用這些產品的人。
(二)操作層面風險
1、Cookie盜竊。Cookie盜竊是一種中間人攻擊,它捕獲用戶的Cookie,以接管用戶的賬戶。此信息可能包括與特定登錄相關聯的用戶名、密碼或會話ID。這通常發生在公共WIFI網絡上,但也可以通過直接安裝在機器上的惡意軟件或跨站點腳本捕獲。
2、身份驗證。身份驗證在一些重要的系統中用來區分用戶,例如金融、醫療衛生或政府服務。目前的重大挑戰是,不法分子使用遠程身份驗證工具竊取用戶身份,導致了數十億美元的損失。
3、對開源軟件的依賴。在網絡安全方面,開源軟件允許用戶檢查源代碼并識別任何可能存在的漏洞。當發現一個錯誤時,它會影響所有包含該代碼的系統。如果開發人員不積極維護開源軟件,就會導致無法修補的漏洞。開源軟件也容易成為分發惡意軟件的一種方式。
4、內部威脅、勒索、未經驗證的信任。美國網絡安全和基礎設施安全局(CISA)確定了四種類型的內部威脅:疏忽或意外、故意、串通和第三方威脅。除了存在于內部的威脅外,不同類型的合作也可能增加內部勾結的風險,這些操作會導致對資本、敏感信息或專有數據的勒索。未經驗證的信任是指內部人員利用其訪問權限傳播錯誤信息、惡意軟件或實施網絡釣魚詐騙,或者訪問一些薄弱的系統。
5、惡意軟件商業化。許多犯罪分子正轉向惡意軟件即服務和勒索軟件即服務(RaaS)來滿足黑客需求,目前此類程序可以很容易地在暗網上找到。
6、支持內置應用程序安全防范措施。公司和其他人必須在技術開發過程中對安全因素進行事前考慮。雖然內置安全程序可能需要更長的時間,而且代價更高。但目前對網絡安全的日益重視,此種措施將更容易實現。
7、基礎控制失效。基礎控制是指構成組織整體安全態勢基礎的基本安全措施,包括訪問控制、密碼和網絡安全措施。隨著時間推移,需要定期評估基礎控制措施,以確保其有效。雖然基本控制對于計算機系統來說已經足夠復雜,但相關技術在更新系統方面仍面臨挑戰。
8、證書受損。多年來,證書受損的危險主要局限于密碼。但近年來,不法分子也發現了破壞一些多因素身份驗證(MFA)的工具。傳統的密碼攻擊側重于暴力攻擊和憑證填充,現在已經被更復雜的網絡釣魚攻擊所加強。
9、數據解密。數據加密在網絡安全中極其重要。許多用戶認為,如果他們對數據進行加密,數據就是安全的。然而,一些加密算法已經被破壞,一些秘鑰也可以通過暴力強制打開。隨著加密算法被破解,系統必須更新更復雜的加密代碼。
