2022年網絡安全預測：勒索軟件將蔓延到物聯網

日前，RSA大會的內容策劃Kacy Zurkus基于大會專家委員會的思考，發布了2022年網絡安全預測，內容涵蓋供應鏈安全、勒索軟件、安全人員供給等。安全內參編譯如下：

• 企業對系統依賴項進行大清理
• 勒索軟件將蔓延到物聯網
• 來自朝鮮或者伊朗的勒索軟件數量激增
• 美國政府對安全不佳的供應商進行問責
• 網絡安全專業人員不足將引發一場危機
• 企業和供應商之間關系開始向利他主義轉變

檢查系統依賴項中的薄弱點

2021年10月上旬，Facebook經歷了長達數小時之久的宕機故障。這提醒了我們一個嚴峻的事實： 我們已經將許多依賴項集成進系統，但如果沒有發生宕機事件，我們在很大程度上并不會意識到這些依賴項會產生哪些影響。

RSA大會程序委員會主席休-湯普森（Hugh Thompson）說："社會和依賴關系就像疊樂高積木玩具，在其中一塊積木被拉出之前，我們并不真正知道它的真實面貌。" 這些積木在2022年將不可避免地被移除。我們現在需要考慮每一塊積木對整體的影響，畢竟誰也不想看到塔樓轟然倒塌。

勒索軟件蔓延到物聯網

勒索軟件仍然是人們關注的焦點。Cobalt公司的首席戰略官Caroline Wong預測，我們將看到惡意團體 繼續擴大勒索軟件攻擊規模，并且使之 更加專業化。然而Wong表示，她預計勒索軟件會出現一些變化，特別是 在物聯網方面。

"消費者對勒索軟件并不陌生。雖然他們已經有了心理準備，但還是對其感到緊張和恐懼。雖然從技術層面上講，某些受害者的數據可能還沒到無法恢復的地步，但攻擊者仍將利用社會工程學技術，誘騙恐嚇受害者支付贖金"。 

Wong說，在2022年，我們可能會經常看到惡意行為者利用物聯網設備的漏洞。"在以往的勒索軟件中，黑客會加密受害者的數據，并在收到贖金前扣留其數據。但這種類型的攻擊有所不同，通常是 攻擊者通過物聯網設備接管通信能力，利用受害者的恐懼和焦慮，并通過社會工程學來操縱他們的行為（即迫使他們支付贖金）。"

俄羅斯之外的對手會引發問題

Silverado Policy Accelerator公司主席Dmitri Alperovitch說，"大家都意識到俄羅斯已經成為勒索軟件攻擊者的安全港。而其他國家的敵人，特別是朝鮮，正在密切關注這一點。在接下來的12個月內，我們將看到 來自朝鮮或者伊朗的勒索軟件數量激增。

SANS技術研究所總裁Ed Skoudis表示，我們擔心的是，這些其他國家的經驗會比較少，使得他們更有可能犯錯。"缺少經驗且缺少技巧，" Skoudis說：“我確實認為我們 可能會看到一次（無意或有意的）嚴重勒索軟件攻擊，可能會摧毀一個聯邦政府機構及其行使職能的能力。”

有人會收到法院傳票

問責制是一個影響廣泛的想法，我們希望看到每個人都肩負責任，以此來保護我們賴以生存的大型數字生態系統，而那些沒有滿足安全要求的人將被追究。

Alperovitch表示："明年我們將 可能會看到美國聯邦政府起訴某個聯邦承包商，理由是他們的安全狀況不佳"。

技能不足將引發危機

雖然整個教育領域都在實施網絡安全計劃，但Skoudis預測，

"隨著技術的激增并變得更加復雜和精密，網絡安全專業人員和專業知識的匱乏將愈發嚴重，可能將會引發一場危機。云環境和多云架構的復雜性正變得越來越難以處理，而我們卻缺少足夠數量的優秀人才"。

開始向利他主義轉變

這個預測與我們是否會花時間去識別系統依賴性中的弱點有關。考慮潛在的系統性故障這一行為本身就承認了我們 相互依賴、彼此負責。

思科公司CISO咨詢負責人Wendy Nather說，現在許多圍繞依賴性的討論都把焦點集中在羞辱受害者未盡其責上了。"現在我們在討論立法，促使供應商做好他們的工作。這不僅僅是一個供應鏈的問題，而是'我們彼此應當給予對方什么？'因為這些關系不是單向的。它們不僅僅是供應鏈，而是一個生態系統。"

到2022年，我們希望看到更多人意識到 我們和供應商之間關系的互惠互利。不存在什么階級制度可以讓別人背鍋。"我們彼此腰間都別著上膛的武器，不要擦槍走火，"Nather說。