當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

2021 關(guān)于未來(lái)安全的幾點(diǎn)思考

 2021-03-04 16:43  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

2020年是不同尋常的一年。這一年,疫情黑天鵝事件突襲,掀起了“新基建”的又一輪熱潮,以5G、大數(shù)據(jù)、人工智能、云計(jì)算等為代表的新技術(shù)備受矚目,遠(yuǎn)程辦公、在線教育、直播帶貨等新興產(chǎn)業(yè)快速崛起。如果說(shuō)過(guò)去幾年,很多企業(yè)還在不緊不慢地探索著數(shù)字化轉(zhuǎn)型升級(jí)之道,那么在疫情影響之下,2020年的企業(yè)則全面按下了信息化建設(shè)的加速鍵。

在此背景之下,網(wǎng)絡(luò)信息安全態(tài)勢(shì)也愈加復(fù)雜,不但網(wǎng)絡(luò)安全所覆蓋的維度和領(lǐng)域急劇擴(kuò)張,因信息安全問(wèn)題所引發(fā)的后果也更為嚴(yán)重。據(jù)《金融科技新聞》(Fintech News)報(bào)道,2020年,超過(guò)80%的公司遭受的網(wǎng)絡(luò)攻擊有所增加。而來(lái)自阿科斯實(shí)驗(yàn)室(Arkose Labs)的數(shù)據(jù)顯示,2020年網(wǎng)絡(luò)詐騙數(shù)量飆升了20%,達(dá)到4.45億次。

2021年還會(huì)如同2020年一般動(dòng)蕩嗎?我們都希望不會(huì)。但有一點(diǎn)是確定的:與以往任何一年相同,2021年,我們?nèi)詫⒗^續(xù)面臨新的、不斷演化的網(wǎng)絡(luò)安全威脅與挑戰(zhàn)。

關(guān)于未來(lái)安全的幾點(diǎn)思考

1.0day/Nday漏洞攻擊持續(xù)增加 – 勒索攻擊、后門(mén)木馬植入變本加厲

疫情防控期間可以說(shuō)是中國(guó)數(shù)字化時(shí)代最大規(guī)模的一次集體性遠(yuǎn)程辦公,不僅造就了個(gè)人辦公和業(yè)務(wù)使用的突發(fā)性變化,更帶來(lái)了大量的網(wǎng)絡(luò)攻擊。瑞數(shù)信息安全專家指出遠(yuǎn)程辦公令漏洞曝光的數(shù)量顯著上漲,特別是借助自動(dòng)化工具,網(wǎng)絡(luò)罪犯可以在短時(shí)間內(nèi)以更高效、更隱蔽的方式對(duì)網(wǎng)站進(jìn)行漏洞掃描和探測(cè),尤其是對(duì)于0day/Nday漏洞的全網(wǎng)探測(cè),將會(huì)更為頻繁和高效,首次探測(cè)高峰已經(jīng)由POC發(fā)布后一周,提前到POC發(fā)布之前。利用這些漏洞,在過(guò)去一年大行其道的勒索攻擊很可能在2021年變本加厲,企業(yè)除了要面臨網(wǎng)站數(shù)據(jù)無(wú)法使用的困境,還要做好被迫支付數(shù)以千萬(wàn)計(jì)的贖金、遭遇經(jīng)濟(jì)和名譽(yù)雙重打擊的準(zhǔn)備;同時(shí),植入后門(mén)或木馬對(duì)于黑客來(lái)說(shuō)也將更為容易,但感染大規(guī)模擴(kuò)散后產(chǎn)生的指數(shù)級(jí)安全風(fēng)險(xiǎn)和后續(xù)損失將無(wú)法估計(jì),也更難以應(yīng)對(duì)。

2.“企業(yè)上云”并不代表“安全上云”- 云賬號(hào)安全岌岌可危

盡管由于疫情影響,企業(yè)上云在2020年展現(xiàn)出無(wú)與倫比的增速,但云的安全性仍然是一個(gè)關(guān)鍵問(wèn)題。伴隨企業(yè)上云,對(duì)外云服務(wù)暴露的攻擊面持續(xù)增多,漏洞曝光利用、賬號(hào)盜取與竊密等各種攻擊能夠輕易達(dá)成。同時(shí),疫情也給了黑客更多時(shí)間和精力挖掘漏洞或者開(kāi)發(fā)更多針對(duì)性攻擊工具的機(jī)會(huì),諸如Openbullet等針對(duì)密碼猜測(cè)和撞庫(kù)的通用化工具已經(jīng)被開(kāi)發(fā)并應(yīng)用于Azure cloud等云服務(wù)平臺(tái),針對(duì)賬號(hào)的攻擊門(mén)檻被進(jìn)一步降低。

3.線上交易屢創(chuàng)新高 – 業(yè)務(wù)欺詐風(fēng)險(xiǎn)飆升

2020年,新冠病毒大流行極大地加速了企業(yè)業(yè)務(wù)向線上虛擬化轉(zhuǎn)移的步伐,直播帶貨等新模式的興起更使得線上交易異?;钴S。然而,在限量秒殺、百億補(bǔ)貼、消費(fèi)券發(fā)放等各類營(yíng)銷活動(dòng)層出不窮,各大平臺(tái)業(yè)績(jī)屢創(chuàng)新高的同時(shí),業(yè)務(wù)欺詐風(fēng)險(xiǎn)也隨之飆升。薅羊毛、刷單刷量、虛假賬號(hào)、虛假流量、電信詐騙等業(yè)務(wù)欺詐行為在各行業(yè)繁榮生長(zhǎng)。以某銀行網(wǎng)申信用卡業(yè)務(wù)為例,據(jù)瑞數(shù)信息觀察,業(yè)務(wù)開(kāi)放第一天的短短一小時(shí)之內(nèi)就收到近3萬(wàn)次的信用卡申請(qǐng),其中75%的申請(qǐng)都是自動(dòng)化工具發(fā)起的虛假申請(qǐng)。據(jù)統(tǒng)計(jì),電商行業(yè)在全行業(yè)欺詐流量中占比21.7%,15.2%欺詐流量流向了航空、鐵路等出行行業(yè),金融、游戲等行業(yè)都是欺詐的重災(zāi)區(qū)。

4.5G加速 - 移動(dòng)端應(yīng)用安全內(nèi)憂外患

過(guò)去一年中,伴隨5G的加速普及和“宅家”新生活模式的影響,短視頻娛樂(lè)、直播、云上互動(dòng)等場(chǎng)景的火爆帶來(lái)了移動(dòng)端設(shè)備用戶規(guī)模及流量的爆發(fā)性增長(zhǎng),許多平臺(tái)甚至放棄PC端轉(zhuǎn)而專注移動(dòng)端的開(kāi)發(fā)應(yīng)用,移動(dòng)端消費(fèi)市場(chǎng)正迎來(lái)持續(xù)的擴(kuò)大時(shí)期。然而移動(dòng)端應(yīng)用真的安全嗎?據(jù)報(bào)道,目前只有大約36%的移動(dòng)應(yīng)用完全集成了安全,大部分的移動(dòng)應(yīng)用安全系數(shù)很低或根本不安全。瑞數(shù)信息安全專家指出針對(duì)移動(dòng)端的網(wǎng)絡(luò)欺詐迅速增長(zhǎng),控制量更大、隱蔽性更強(qiáng)、更穩(wěn)定的云控軟件正加速取代群控工具,成為網(wǎng)絡(luò)罪犯的得力助手。除了傳統(tǒng)的漏洞掃描、注入攻擊、跨站腳本以及 APP客戶端逆向、調(diào)試等問(wèn)題,還有非法第三方APP請(qǐng)求、中間人攻擊、API接口濫用、撞庫(kù)、批量注冊(cè)、刷單、爬蟲(chóng)、通過(guò)外掛程序或群控設(shè)備薅羊毛等業(yè)務(wù)安全隱患。對(duì)企業(yè)平臺(tái)的正常運(yùn)營(yíng)造成了嚴(yán)重的經(jīng)濟(jì)和業(yè)務(wù)影響,對(duì)企業(yè)商譽(yù)造成的負(fù)面影響,更是不可估量。

5.業(yè)務(wù)應(yīng)用交互頻繁 – API數(shù)據(jù)安全問(wèn)題嚴(yán)峻

API 已成為數(shù)字業(yè)務(wù)生態(tài)系統(tǒng)的支柱,是加速企業(yè)業(yè)務(wù)創(chuàng)新和應(yīng)用開(kāi)發(fā)的動(dòng)力。隨著遠(yuǎn)程辦公、線上辦公等工作方式的迅速上升,企業(yè)依賴API調(diào)用來(lái)整合大量的系統(tǒng)和實(shí)現(xiàn)業(yè)務(wù)彼此之間的交互。據(jù)調(diào)查,目前每個(gè)企業(yè)平均管理超過(guò)350種不同的API,其中69%的企業(yè)會(huì)將這些API開(kāi)放給公眾和他們的合作伙伴,在金融和零售業(yè)的API應(yīng)用調(diào)查中發(fā)現(xiàn),API 流量占比超過(guò)83%。雖然開(kāi)放API承擔(dān)了拓寬企業(yè)技術(shù)和服務(wù)生態(tài)系統(tǒng)的責(zé)任,但同時(shí)也給了攻擊者可乘之機(jī)。以金融行業(yè)為例,盡管開(kāi)放API 推動(dòng)了銀行業(yè)服務(wù)能力和服務(wù)渠道的全面對(duì)外賦能,但隨著API調(diào)用數(shù)量的增多和自動(dòng)化工具的興起,其涉及的數(shù)據(jù)泄漏和欺詐風(fēng)險(xiǎn)正對(duì)金融業(yè)務(wù)安全構(gòu)成新的挑戰(zhàn)。Gartner也預(yù)測(cè),到2022年,API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用數(shù)據(jù)泄漏最為常見(jiàn)的攻擊方式。

6.業(yè)務(wù)應(yīng)用形態(tài)多樣化 - 企業(yè)呼喚整合型的安全防護(hù)機(jī)制

隨著企業(yè)數(shù)字化進(jìn)程的不斷遞進(jìn)和業(yè)務(wù)向云端遷移的大趨勢(shì),移動(dòng)服務(wù)、開(kāi)放銀行等愈加廣泛與多樣的業(yè)務(wù)應(yīng)用形態(tài),正促使當(dāng)前Web應(yīng)用架構(gòu)向服務(wù)化(API、可編程)架構(gòu)邁進(jìn),攻擊場(chǎng)景也由傳統(tǒng)的漏洞利用逐漸轉(zhuǎn)向業(yè)務(wù)欺詐,各類智能化、擬人化的Bots自動(dòng)工具則使得黑客攻擊手段得到了迅速升級(jí)。顯然,傳統(tǒng)的面向漏洞防護(hù)的WAF能力已經(jīng)無(wú)法滿足企業(yè)的實(shí)際場(chǎng)景需求,整合型的安全防護(hù)機(jī)制建立勢(shì)在必行。Gartner指出,到2023年,30%以上面向公眾的Web應(yīng)用程序和API將受到云WAF和API防護(hù)服務(wù)(WAAP)的保護(hù),WAAP服務(wù)結(jié)合了分布式拒絕服務(wù)(DDoS)防御、機(jī)器人程序緩解(Bot Mitigation)、API保護(hù)和WAF。

7.AI武器更聰明了 – 自動(dòng)化攻擊防御門(mén)檻提高

2020年,AI人工智能作為前沿科技持續(xù)吸引著網(wǎng)絡(luò)惡意利用者的目光。得益于人工智能的數(shù)據(jù)挖掘和分析能力,攻擊正變得更為聰明和大膽,并逐漸向擬人化和精密化的方向發(fā)展。它們不僅能夠通過(guò)快速查明防御系統(tǒng)或環(huán)境中存在的漏洞,精確針對(duì)特定薄弱區(qū)域定制并發(fā)起大規(guī)模攻擊,還能模擬合法行為模式以繞開(kāi)和躲避安全工具。然而對(duì)于人類來(lái)說(shuō),隨著安全事件接踵而至,大量的安全警報(bào)、潛在的威脅數(shù)量,單單是處理就已經(jīng)很繁瑣了,更何況是面對(duì)AI加持的攻擊武器和再次提高的自動(dòng)化防御門(mén)檻。因此如何利用AI對(duì)抗AI武器,是這場(chǎng)升級(jí)的網(wǎng)站安全戰(zhàn)中防守方應(yīng)當(dāng)著重思考的必須話題。

8.攻防對(duì)抗能力持續(xù)升級(jí) – 防護(hù)重心從“人防”到“技防”

網(wǎng)絡(luò)空間安全的本質(zhì)是對(duì)抗,隨著攻擊者技術(shù)實(shí)力的不斷提高和網(wǎng)絡(luò)攻擊面的不斷擴(kuò)大,攻擊事件也不斷增加,企業(yè)不斷涌現(xiàn)出對(duì)網(wǎng)絡(luò)攻防對(duì)抗的建設(shè)需求。加以近年來(lái)《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》等一系列政策法規(guī)、標(biāo)準(zhǔn)的持續(xù)落地,網(wǎng)絡(luò)安全攻防演習(xí)活動(dòng)已經(jīng)逐漸成為慣例。2021年,隨著企業(yè)對(duì)網(wǎng)絡(luò)安全的愈加重視和新一代信息技術(shù)的深度應(yīng)用,網(wǎng)絡(luò)安全向更深層次的滲透,網(wǎng)絡(luò)安全攻防演習(xí)活動(dòng)的重要性勢(shì)必還將繼續(xù)提高,企業(yè)防護(hù)重心應(yīng)逐漸從“人防”過(guò)渡到“技防”,通過(guò)人技結(jié)合,更好地解決批量自動(dòng)化攻擊和人為的定點(diǎn)攻擊,為企業(yè)提供應(yīng)用安全與業(yè)務(wù)安全的雙重保障,實(shí)現(xiàn)網(wǎng)絡(luò)空間攻防對(duì)抗能力的持續(xù)升級(jí)。

瑞數(shù)安全專家建議

加強(qiáng)企業(yè)自動(dòng)化威脅管理與防護(hù)

隨著自動(dòng)化威脅發(fā)展的愈演愈烈,加強(qiáng)自動(dòng)化威脅管理與防護(hù)在企業(yè)應(yīng)用和業(yè)務(wù)威脅管理架構(gòu)中的地位與能力,通過(guò)Bots識(shí)別、提高攻擊成本、可視化展示等多維度手段對(duì)各類Bots進(jìn)行管理與威脅防護(hù),是企業(yè)的必須配備。

配置與部署整合性的安全防護(hù)機(jī)制

選擇支持WAF、Bot管理、API防護(hù)等多種安全能力的整合性防御機(jī)制,通過(guò)不同組件在不同場(chǎng)景下的獨(dú)立或聯(lián)合部署,幫助企業(yè)形成分層遞進(jìn)的防護(hù)策略與能力,令企業(yè)能夠安全地將各類Web業(yè)務(wù)和應(yīng)用交付在混合架構(gòu)中,實(shí)現(xiàn)Web安全一體化防御。

對(duì)用戶行為進(jìn)行相應(yīng)的審計(jì)

遠(yuǎn)距工作已成為常態(tài),員工終端缺乏在辦公環(huán)境的層層防護(hù),更容易遭到惡意代碼感染與釣魚(yú)詐騙,大幅降低了賬戶盜用的門(mén)檻;同時(shí),企業(yè)應(yīng)用向云端遷移已成為不可逆的趨勢(shì),不但容易遭到外部入侵者的攻擊,也使得內(nèi)外共謀舞弊變得更為容易。因此,對(duì)合法用戶操作行為進(jìn)行審計(jì),以及早發(fā)現(xiàn)可能的賬號(hào)盜用、權(quán)限濫用與內(nèi)外共謀舞弊等惡意行為,已成為后疫情時(shí)代必要的防護(hù)手段之一。

升級(jí)防護(hù)手段,構(gòu)建更智能的主動(dòng)安全防御機(jī)制

將企業(yè)防護(hù)理念由“被動(dòng)防御”向“主動(dòng)防御”轉(zhuǎn)變,防護(hù)重心由“人防”向“技防”轉(zhuǎn)變,借助AI人工智能技術(shù)、自動(dòng)化響應(yīng)機(jī)制等新手段,實(shí)現(xiàn)網(wǎng)絡(luò)空間攻防對(duì)抗能力的持續(xù)升級(jí),構(gòu)建更智能的主動(dòng)安全防御機(jī)制。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)絡(luò)信息安全

相關(guān)文章

熱門(mén)排行

信息推薦