瑞數信息:2022年網絡安全的六大趨勢預測
回顧過去一年,網絡安全形勢已然變得更加復雜。隨著云計算、大數據、物聯網、人工智能等技術的發展,網絡威脅持續進化,變得更加棘手、難以應對。同時,網絡攻擊手段更為多樣,數據泄露、勒索軟件、APT攻擊等安全事件頻發。
在疫情常態化的趨勢下,可以預見2022年的網絡安全形勢依然嚴峻。人類社會高度互連,網絡攻擊并非遙不可及之物,這就需要對現有的和潛在的風險有所了解,并且知曉如何做才能降低這些風險。對此,瑞數信息作為國內前沿的互聯網應用安全防護企業,對2022年的網絡安全攻擊趨勢進行了簡要預測,并給出了相應的防護建議。
2022年網絡攻擊將呈現六大趨勢
趨勢1:安全漏洞攻擊持續增加——攻擊者加強0day漏洞偵查能力,內網Web應用保護不足
網絡空間中,大部分的安全問題都源自內網。攻擊者普遍會利用Web應用漏洞對內網進行滲透,以達到控制整個內網、獲取大量有價值信息的目的。
據國家信息安全漏洞共享平臺(CNVD)統計,2020年共收錄安全漏洞20704個,繼續呈上升趨勢,同比增長27.9%,2016年以來年均增長率為17.6%。其中,0day漏洞數量為8902個(占 43.0%),同比增長56.0%。
2022年,企業內網的安全漏洞數量還將不斷增加,甚至變得越來越復雜。由于內網Web應用的保護嚴重不足,攻擊者利用安全漏洞的攻擊行為將變本加厲,尤其借助自動化的工具,在短時間內以更高效、隱蔽的方式對Web進行漏洞掃描和探測,使得企業面臨更為嚴重的安全風險和損失。
同時,攻擊者會進一步加大事前的努力,在攻擊準備階段花費更多的時間和精力來搜尋0day漏洞,并利用新的技術將攻擊擴展到更廣泛的網絡環境,無疑加大了企業應用防護的難度。
趨勢2:勒索軟件數量繼續上升——勒索軟件成為最大的安全威脅,對醫療行業的攻擊加劇
近幾年,勒索軟件攻擊態勢愈發嚴重,不僅數量有了較大增長,贖金、企業修復成本等也翻倍增長,勒索軟件成為當今社會最普遍的安全威脅之一。據Cybersecurity Ventures研究表明,2021年全球勒索軟件的損失成本預計將達到200億美元,比2015年高出57倍。此外,據劍橋大學研究表明,勒索軟件攻擊的保險索賠在過去五年中以驚人的速度增長,2020年,在所有的網絡攻擊保險索賠中,勒索軟件以54%的占比高居第一。
可以預見,2022年勒索軟件數量還將顯著增長,攻擊者的數量也將達到空前的程度。同時,勒索軟件攻擊也將迅速蔓延至整個攻擊面,勒索軟件威脅將無處不在。
從行業影響看,勒索軟件攻擊對金融、教育、醫療等各行各業構成了嚴重威脅,但醫療機構因其豐富的醫療設備和患者信息成為了攻擊者的最佳目標。據FBI發布的安全通告顯示,在過去一年內至少發現了16起針對美國醫療和應急響應機構的Conti勒索軟件攻擊,該勒索軟件在全球攻擊了超過400家醫療和應急響應機構。
2022年,勒索軟件對醫療行業的攻擊還將持續加劇。在這種形勢下,醫療機構的IT團隊將面臨空前挑戰。
趨勢3:數據安全風險加劇——數據泄露的規模更大、成本更高,應用數據安全面臨更大挑戰
據Canalys發布的《網絡安全的下一步》報告顯示,2020年數據泄露呈現爆炸式增長,短短12個月內泄露的記錄比過去15年的總和還多。
進入2022年,數據泄露還將繼續增加,規模會更大,各國政府和企業將付出更多的代價來進行恢復,損失的成本不僅限于事件響應成本、數據備份成本、系統升級成本,還包括聲譽損失成本、法律風險成本等隱性成本,其損失甚至數倍、數十倍于顯性損失。
數據泄露的主要原因源于Web應用程序攻擊、網絡釣魚和勒索軟件。其中,對Web應用程序的攻擊仍是黑客行為的主要攻擊方向。2022年,應用安全依然面臨挑戰,尤其是數據在應用中的安全值得企業重點關注。
趨勢4:API攻擊成為惡意攻擊首選——利用API欺詐是黑產首選,API濫用是最常見攻擊方式
在萬物互聯的數字時代,API承載著企業核心業務邏輯和敏感數據,支撐著用戶早已習慣的互動式數字體驗。根據Akamai的一項統計,API請求已占所有應用請求的83%,預計2024年API請求命中數將達到42萬億次。與此同時,針對API的攻擊成為了惡意攻擊者的首選,相對于傳統Web窗體,API的性能更高、攻擊成本更低,越來越多的黑客開始利用API進行業務欺詐。
事實上,很多企業并不清楚自己擁有多少API,也并不能保證每個API都具有良好的訪問控制,被遺忘的影子API和僵尸API會帶來重大的未知風險。據Gartner預測,到2022年API濫用將是最常見的攻擊方式,為API構建安全防護體系勢在必行。
趨勢5:業務欺詐變本加厲——AI技術廣泛用于欺詐,新型團伙欺詐頻出
在社會高度智能化、技術應用門檻越來越低的今天,AI也成為詐騙者的目標和幫兇。偽造郵件、克隆聲音、電話詐騙、人臉偽造等利用AI技術的業務欺詐手段層出不窮,反AI欺詐已經成為一個社會性的問題。
隨著互聯網行業快速發展,新型業務欺詐來勢洶洶,呈現出團伙化、跨境化、精準化、多樣化等特征,出現了如:公共Wi-Fi欺詐、刷單薅羊毛、線下人力資源機構黑產、投資理財類詐騙、虛假交易網站詐騙、虛假中獎類等多種欺詐案例,給企業和個人造成了巨大的損失。據Juniper Research研究發現,在2021年至2025年期間,在線支付欺詐造成的商家損失將累計超過2060億美元,這個數字相當于亞馬遜2020財年凈收入的近10倍。在新的一年里,如何以“魔法打敗魔法”,用技術手段來解決新型業務欺詐問題,將成為市場和行業共同努力的方向。
趨勢6:供應鏈安全告急——第三方組件造成的供應鏈漏洞攻擊加劇,供應鏈惡意軟件數量上升
針對單一供應商的攻擊引發的連鎖反應,可能危及整個供應商網絡。有研究表明,當今平均Web應用程序包含超過1000個代碼依賴項,其中一些突破了2000個標準。從安全角度來看,這些第三方代碼中的每一個,實際上都可以用作將惡意代碼注入應用程序的攻擊媒介。
隨著開源、云原生等技術的大范圍應用,下一代軟件供應鏈威脅也正在逐漸爆發。據Forrester研究表明,應用軟件80%-90%的代碼來自開源組件。全球對開源代碼的旺盛需求,將導致Web應用供應鏈攻擊在2022年進一步成熟,范圍擴大,并且更加復雜,預計使用惡意軟件進行Web應用供應鏈攻擊的數量將不斷攀升。
同時,下一代Web應用供應鏈攻擊正在到來,其顯著特點是刻意針對“上游”開源組件,進行更主動的攻擊,攻擊者會主動將新的漏洞注入為供應鏈提供支持的開源項目中。因此,下一代Web應用供應鏈攻擊將更加隱蔽,也將有更多的時間對下游企業展開攻擊,危險性將更高。
2022年網絡安全三大防護建議
建議1:由WAF走向WAAP
隨著企業數字化進程的不斷加速,更多的門戶網站、核心業務、交易平臺等日益依賴Web、APP、H5、微信等多渠道開展。與此同時,越來越多的開放性API業務也正在蓬勃發展。伴隨流量的提升,API業務帶來的Web敞口風險和風險管控鏈條的擴大,不僅各種利用Web應用漏洞進行攻擊的事件正在與日俱增,各類工具化、智能化、擬人化的Bots攻擊對數字化業務的影響也在快速攀升。
然而,現有的Web安全服務彼此之間常常出現難以融合的局面,無法實現統一的安全服務閉環。Gartner指出,到2023年,30%以上面向公眾的Web應用程序和API將受到云Web應用程序和API保護(WAAP)服務的保護,WAAP服務結合了分布式拒絕服務(DDoS)防御、機器人程序緩解(Bot Mitigation)、API保護和WAF。
瑞數信息專家認為,傳統WAF技術面臨各種挑戰,單一的WAF產品已不足以解決無處不在的安全風險,防御新的威脅需要一種整體的、集成的安全方法,即從WAF走向WAAP,將本地、各類云端充分整合,支持WAF、Bots管理、API防護獨立或聯合部署,提供多層級的聯動防御機制,令企業安全地將各類Web業務和應用交付在混合架構中,實現Web安全一體化防御。
建議2:傳統備份和災備的局限,用戶需要新一代融合安全能力的數據保護技術
數據作為新的生產要素,數據價值的利用已成為數字經濟發展的重要推動力。然而,在勒索軟件攻擊不斷迭代的環境下,傳統的備份與災備面對新興的數據安全威脅已顯得捉襟見肘。
一方面,傳統災備系統不會對備份數據的好壞進行檢測,以至于備份數據中可能因勒索軟件的攻擊,存在大量被損毀的文件,恢復后的系統仍無法正常使用,造成部分企業即使有備份,仍然被迫支付贖金的后果。另一方面,傳統災備系統需要數天甚至數周的恢復時間,無法滿足快速恢復的應急響應需求,將業務中斷的損失降至最低。
因此,新一代數據安全技術的建設已刻不容緩。瑞數信息專家建議,加強備份和復制數據的安全性,保證快速的數據提供和安全的數據恢復,并深化數據處理環節的安全防護,讓企業和行業的數據價值釋放得到安全可靠的保障。
建議3:深化基于AI的行為檢測
傳統安全主要基于攻擊特征與行為規則實行被動式防御,在靈活的黑客面前已逐漸失效,不僅是0day攻擊、各類應用和業務欺詐,在數據泄漏和勒索層面更是堪憂;同時攻防對抗水漲船高,防守方規則的構造和維護門檻高、成本大。
瑞數信息專家認為,基于AI技術對用戶行為模式進行智能分析與識別,將不再受制于復雜繁瑣的攻擊特征與行為規則,應進一步擴大使用場景,不僅應用于攻擊趨勢預判、高隱蔽性異常行為透視、未知威脅行為溯源等更智能的安全分析,也可以加強對于數據的破壞、篡改、加密勒索等數據威脅行為的識別檢測,并通過更實時的安全預警及安全聯防進一步縮短響應時間,提升了攻擊門檻,在攻防格局中處于主動位置。
