NEWS

2023十大网络安全威胁. 2023-03-10


01

恶意软件



恶意软件是多种恶意程序的统称,包括病毒、蠕虫、网络注入等。IT部门通常使用防病毒软件和防火墙进行监控和拦截,但网络攻击者通过不断地制造恶意软件变种来逃避安全防御。因此,维护安全软件和防火墙的最新更新至关重要。用户还可以部署专业安全厂商的安全解决方案来阻止恶意软件。此外,还有一些安全厂商推出硬件解决方案来应对恶意软件,例如Gryphon公司推出的Guardian网状路由器,可以有效防范恶意软件攻击。

 

02

勒索软件



相关统计数据显示,2022年,针对企业的勒索软件攻击比2021年高出33%。许多受害企业在支付赎金后,却再次遭到同样的勒索软件的其他攻击,即多重勒索。因此,减少攻击者在目标系统内的停留时间是关键。网络安全厂商Mandiant的一份安全报告显示,外部第三方发现并向受害者披露的入侵事件的平均停留时间从2020年的73天降至28天。此外,2021年,供应链安全事件占据了入侵攻击事件的17%,而2020年这一比例还不到1%,这也凸显了软件供应链安全威胁在急剧增加。

 

03

供应链安全



供应链安全近年来因SolarWinds攻击和Log4j2漏洞事件而受到广泛关注。另一方面,企业使用开源软件和组件越来越多,其中涉及到的不安全来源难以研判,从而造成软件供应链风险。

ISACA发布的《供应链安全差距:2022年全球研究报告》显示,25%的受访者所在组织机构在过去一年中遭到供应链攻击。受访人员担心的五大供应链风险包括:勒索攻击(73%),供应商的不良信息安全实践(66%),软件安全漏洞(65%),第三方数据存储(61%),对信息系统、软件代码或IP具有物理或虚拟访问权限的第三方服务提供商或厂商(55%)。

企业可以通过审核其供应商使用的安全措施即SBOM(软件物料清单),以确保端到端的供应链安全。SBOM中包含数据字段、自动化支持、实践和流程。应为SBOM使用者提供其所需的信息,以管理漏洞、清点软件组件,并监管许可证合规性。


 

 

04

网络钓鱼



事到如今,网络钓鱼依然是对企业的一大威胁,因为毫无戒心的员工很容易打开虚假邮件或包含恶意附件的钓鱼链接而中招。通过与社会工程学相结合,网络钓鱼这种“古老”的攻击方式依然“屡试不爽”。因此,培训员工如何识别虚假邮件、不明链接等,对企业的安全建设极其重要。也有许多安全厂商为此提供专业的安全解决方案。

 

05

物联网安全



2020年,有61%的公司正在使用物联网,未来这一比例将只增不减。随着物联网的扩展,安全风险也在增加,特别是5G+物联网的场景极大延展,其安全问题也将呈指数级增加。以往物联网供应商在其设备制造上几乎不实施安全策略,物联网设备通常包含易于猜解的凭据或默认密码。通过在开发过程中加强对物联网供应商的安全审查,以及重置物联网设备上的安全默认项,使其符合安全标准,可以改善当前的安全现状。

 

06

内部员工



坚固的堡垒往往是从内部被攻克。心怀不满的员工可能会破坏网络,窃取知识产权或其他敏感信息,而安全习惯不佳的员工也可能无意中共享密码或错误配置。因此,再强大的安全防御技术体系在薄弱的内部威胁面前也无济于事。如今,许多企业开始使用社会工程审计来检查员工的安全状况和程序运行情況。2023年,使用社会工程申计的企业将继续增加,以防范来自内部的安全威胁。

 

07

数据中毒



IBM在2022年的一项研究发现,35%的公司在业务中使用人工智能技术。但与此同时,人工智能带来的安全问题也不应忽视。人工智能系统中的数据中毒风险正在上升。恶意攻击者找到了一种方法,通过将损坏的数据或被精心设计的恶意数据注入人工智能系统,从而扭曲人工智能查询的结果,将错误的结果反馈给公司决策者。数据中毒是侵入企业系统的一种新的攻击向量,防范该威胁的一种方法是持续监测人工智能结果,如果突然发现某个系统的趋势与过去所揭示的明显不同,那么就要仔细检查该数据的完整性。

 

08

新技术风险



生物识别等新技术给身份认证带来了巨大好处,但也带来新的安全风险。生物识别包括人脸、语音、指纹、虹膜,甚至是某些行为特征。与传统密码不同,某些生物特征是不可变的。因此,这些生物特征一旦被窃取或被非法利用,将造成难以预料的后果。上下文身份验证(或自适应身份验证)是一种基于行为的身份验证,其本质是:基于用户行为知道用户是谁,一旦看到了用户有不正常的行为,就立即采取行动。为此,严格遵循相关法律,釆集生物特征信息和实施生物识别技术是至关重要的。为确保安全,企业需要在签署采购协议之前仔细审查每项新技术及其供应商。

 

09

多层安全下的短板



部署了防火墙和安全监控软件,并进行安全更新,实施了多因素身份登录和数据加密,这样就够了吗?一旦在某个细节存在短板,安全防线依然可能轻易被攻破,多重防御至关重要。企业必须加强和监控多个安全层,并通过为工作流中的每个安全漏洞创建检查表来加强安全性。密码是一个关键层,但两端的数据加密是下一层,以此类推。但实施多层次的安全防护的唯一障碍就是成本,对于中小企业来说将难以承受。实施“永不信任,持续验证’的零信任策路能够有效避免这些安全短板的出现。

 

10

云安全



因某个配置错误的云存储导致的用户数据泄露事件屡见不鲜。时至今日,云安全问题依旧是云用户关注的头等大事。随着相关法律法规对数据安全的监管日趋严格,云环境下的合规问题不可忽视。许多网络安全和相关监管框架要求在静止和传输过程中进行数据加密。从技术角度来看,这很容易做到。但真正风险是,用户希望得到一份证明,证明云供应商正在监控其所有云存储的加密信息,这种不信任也是云安全问题的一个缩影。未来,来自云安全的风险很多都将是在监管层面。

 

本文转自《苏说安全》微信公众号



上一篇:没有上一篇了!
下一篇:国家网信办等五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》