Forrester：2023年五大安全威脅態勢

2023年即將過半，在這個地緣戰爭和技術革命同時爆發的特殊時期，全球網絡安全威脅態勢發生了哪些重大變化？呈現何種發展趨勢？

近日Forrester發布了《2023年重大網絡安全威脅報告》，對2023年的主要網絡安全威脅進行了分析和研判，并向CISO及其團隊提供了應威脅的建議。

報告指出，網絡攻擊的性質正在迅速變化。生成式人工智能、云環境的復雜性和地緣政治緊張局勢是2023年攻擊者武器庫中的最新武器和有利因素。攻擊者正在積極將生成式AI武器化，并用AI微調其勒索軟件和社會工程技術。

四分之三（74%）的安全決策者表示過去12個月中其所在企業的敏感數據“可能遭到攻擊或泄露”。對于任何一位CISO來說，如此高的數據泄露比例都是足以令人高度緊張的“網絡安全基線”。

隨著攻擊者加速推進生成式人工智能的武器化，積極尋找新的方法來利用云端環境的復雜性，并利用地緣政治緊張局勢發起更復雜的攻擊，全球網絡安全態勢正在不斷惡化。

CISO陷入兩線作戰困境

CISO正面臨兩線作戰的困境，一方面需要應對長期威脅的壓力，同時又沒有準備好阻止新出現的威脅。

勒索軟件和基于商業電子郵件入侵（BEC）實施的社會工程攻擊是CISO多年來重點防御的長期威脅。然而，盡管安全團隊已投入數百萬美元來加強其技術堆棧、端點和身份管理系統以對抗勒索軟件，但此類網絡攻擊的數量不減反增。

為了提高贖金收入規模和支付速度，越來越多的勒索軟件組織開始將供應鏈、醫療提供商和醫院作為主要目標。因為此類目標對業務停頓極為敏感，無法承受長期停機的（生命和財產）損失。

此外，Forrester的預測和調查結果還顯示隨著新威脅的發展，數據泄露事件的瞞報比例在不斷提高。CISO和企業不想承認自己的安全防御不到位。12%的安全和風險專業人員表示，他們的公司在過去12個月中發生了6-25次數據泄露事件（下圖），主要原因是BEC、社會工程攻擊和勒索軟件攻擊。隨著生成式人工智能技術的濫用加速，新的、更致命的攻擊策略即將到來。

2022年70%的企業遭受了至少一次數據泄露 

那些未能及時升級到AI防御體系的基于邊界防護的遺留系統最容易受到攻擊。新一波網絡攻擊即將到來，攻擊者將能大規模針對性地探尋和利用任何企業薄弱環節，包括復雜的云配置，數據泄露事件的瞞報率（包括未檢測到的泄露）也將進一步上升。

2023年五大網絡安全威脅態勢

隨著新一波威脅的到來，Forrester預計會有更多致命的攻擊，因為攻擊者正積極掌握人工智能專業知識以擊敗最新一代的網絡安全防御，端點和身份保護之間的安全差距是攻擊者關注的重點薄弱環節。

CrowdStrike總裁Michael Sentonas在最近的一次采訪指出：縮小端點保護和身份保護之間的差距是“今天企業要應對的最大安全挑戰之一”。RSA 2023大會展示了身份和復雜性方面的一些挑戰，這也是為什么我們將端點與身份，以及用戶正在訪問的數據聯系起來，這是企業網絡安全今天面臨的關鍵問題。

以下，是Forrester報告給出的2023年網絡安全威脅五大趨勢：

一、人工智能威脅浮出水面

使用生成式AI（例如ChatGPT及其他大型語言模型），攻擊者可以以前所未有的速度和復雜度實施規模化攻擊。Forrester預測，AI增強攻擊案例將繼續激增，唯一限制攻擊者殺傷力的是其想象力。

一個早期AI威脅用例是通過“數據投毒”導致算法漂移的技術，這種攻擊技術會降低電子郵件安全檢測效率或電子商務推薦引擎的收入（以及準確性）。這曾經是一個小眾話題，但現如今已經成為亟需預測和應對的最緊迫的威脅之一。Forrester指出，雖然許多組織不會面臨這種威脅的直接風險，但了解哪些安全供應商可以抵御對AI模型和算法的攻擊至關重要。Forrester在報告中建議，“如果你需要保護企業的人工智能系統，可以考慮像HiddenLayer、CalypsoAI和Robust Intelligence這樣的供應商。”

二、云計算復雜性持續增加

今天，有94%的企業使用云服務，75%的企業表示云安全是首要關注的問題。三分之二的企業擁有云基礎架構。Gartner去年曾預測，云遷移將影響今年超過1.3萬億美元的企業IT支出，到2025年將影響近1.8萬億美元。到2025年，51%的IT支出將轉移到公共云（2022年為41%）。到2025年，云技術將占應用軟件支出的65.9%，高于2022年的57.7%。

上述預測凸顯了日益復雜龐大的云計算和存儲基礎設施蘊含的重大安全風險。Forrester指出，不安全的IaaS基礎架構配置、無惡意軟件攻擊和權限提升以及配置漂移是CISO及其團隊需要了解和強化的眾多威脅面中的一小部分。

該報告建議企業實施彈性、強大的云治理，并使用安全工具（例如IaaS平臺的本機安全功能、云安全態勢管理和SaaS安全態勢管理）來檢測和修復威脅和攻擊嘗試。

報告指出：基礎設施即代碼（IaC）掃描正在通過集成IaC安全性（例如Checkmarx的KICS和Palo Alto Networks的Bridgecrew）來檢測terraform、helm和Kubernetes清單文件中的錯誤配置（例如，未加密的存儲桶或弱密碼策略），加入CI/CD部署管道，甚至集成到更早期的編碼開發環境中。

三、地緣政治威脅迫在眉睫

Forrester的報告指出，俄烏戰爭伴生的網絡攻擊具有全球影響力，民族國家行為者將繼續出于地緣政治目的對私營公司進行網絡攻擊，如間諜活動、談判杠桿、資源控制和知識產權盜竊，以獲得技術優勢。

報告還聲稱，中美之間持續的外交和貿易緊張局勢是另一個爆發點，可能會增加對企業的攻擊。該報告引用了美國在2022年底限制向中國的半導體芯片出口和通信設備進口，以及中國于2023年初制裁了美國國防承包商。俄羅斯也正面臨歐洲貿易禁令和出口管制，這些沖突可能會影響私營公司。朝鮮黑客從日本竊取了價值7.41億美元的加密貨幣，這是地緣政治威脅波及國家金融的另一個例子。

四、勒索軟件仍是最大威脅

根據Forrester的報告，2023年勒索軟件仍然是最大的網絡威脅，攻擊者通常會采用雙重勒索策略（用泄露數據來勒索企業）來提高贖金支付率。

針對關鍵基礎設施和供應鏈的勒索軟件攻擊正在增長，此類攻擊造成的系統停頓可能造成數百萬美元的損失。攻擊者知道，只要能夠破壞供應鏈，那些無法承受長期停機的企業將很快滿足他們的贖金要求。

報告中最令人不安的發現是，在2016年至2021年期間，針對醫院的勒索軟件攻擊翻了一番，甚至危及生命。

作為回應，30多個國家于2021年10月聯合發布反勒索軟件倡議（CRI），以打擊全球勒索軟件。作為CRI戰略的一部分的國際反勒索軟件工作組（ICRTF）目前由澳大利亞領導。Forrester建議企業也“同樣優先考慮勒索軟件防御，并訂閱針對勒索軟件威脅的外部威脅情報服務。”

該報告還提醒美國的關鍵基礎設施企業的安全和風險管理團隊，根據2022年《關鍵基礎設施網絡事件報告法》，他們必須在網絡事件的72小時內，贖金支付的24小時內向CISA報告。

五、BEC社會工程造成損失超過勒索軟件

美國聯邦調查局犯罪投訴中心的報告稱，2022年BEC社會工程給企業造成的損失為24億美元。2021年，BEC攻擊造成的欺詐性資金轉移索賠超過了所有其他類型的索賠，甚至超過了勒索軟件攻擊。BEC社會工程攻擊主要利用人員錯誤，例如使用網絡釣魚來竊取憑據和濫用帳戶。

Forrester指出，BEC社會工程活動正在進入一個新階段，試圖結合多種溝通渠道（包括生成式AI技術）來說服受害者采取行動。一些攻擊活動還包含驗證碼流程以提高其合法性和可信度。該報告建議，僅采用基于域的郵件身份驗證、報告和一致性（DMARC）進行電子郵件身份驗證是不夠的。企業應采用數據驅動的方法來改變和評估員工行為，通過額外的（安全意識）培訓和技術來糾正人員錯誤，降低社會工程攻擊的風險。

總結：安全團隊需要做好準備應對下一代網絡攻擊

Forrester的2023年網絡安全威脅報告向全球組織發出了嚴厲警告，為迫在眉睫的新攻擊和新威脅做好準備。攻擊者正在不斷完善攻擊技術，包括將生成式人工智能武器化、利用云復雜性和利用地緣政治緊張局勢發動更復雜的攻擊的新策略。

雖然企業仍在投入網絡安全預算以遏制BEC社會工程和勒索軟件攻擊，但他們還需要開始計劃如何預測、識別和應對針對AI模型、算法和數據的威脅。為了改進（內生）威脅情報能力，企業安全團隊還必須統一分散的安全計劃和策略，以阻止下一代網絡攻擊。