當前位置:首頁 >  IDC >  安全 >  正文

2023年值得關注的八大網絡安全趨勢

 2023-01-13 10:15  來源: 互聯網   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

過去的一年里,百年變局和世紀疫情交織疊加,全球產業(yè)鏈供應鏈沖擊持續(xù)加大,網絡空間安全面臨的形勢日益復雜多變,大規(guī)模針對性網絡攻擊行為增加,安全漏洞、數據泄露、網絡詐騙等風險突出。

隨著創(chuàng)新技術的不斷興起,以及網絡犯罪的日益專業(yè)化,網絡安全攻擊風險仍在持續(xù)增長??梢灶A見,2023年的網絡安全形勢依然嚴峻,需要國家不斷完善網絡安全政策和法規(guī),網絡安全企業(yè)積極創(chuàng)新網絡安全防護技術。

瑞數信息作為國內前沿的互聯網應用安全防護企業(yè),日前對2023年的網絡安全攻擊趨勢進行了簡要預測。以下是企業(yè)需要關注的七個網絡安全趨勢:

趨勢一:API威脅復雜化

無處不在的API,為創(chuàng)新技術和業(yè)務發(fā)展提供強力支撐的同時,也增加了企業(yè)風險的暴露面和攻擊面,近幾年因API安全問題導致的攻擊和數據泄漏事件頻頻發(fā)生。OpinionMatters在2022年發(fā)布的調研報告顯示,超過四分之三的英美高級網絡安全專業(yè)人員表示,過去12個月里,其所在企業(yè)經歷了至少一次API相關的安全事件。而在數十家全球頂級汽車制造商生產的車輛和車聯網服務中,更發(fā)現了許多API應用缺陷,利用這些缺陷,攻擊者可以進行廣泛的惡意活動,從非法竊取車主個人隱私信息,到遠程解鎖車輛、監(jiān)控車輛等。

由于API防護的缺失,企業(yè)對于暴露了哪些API、對誰開放API、API通信中攜帶了哪些敏感數據、對方如何使用這些數據等問題都未給予應有的重視。攻擊者可以通過后端業(yè)務系統(tǒng)漏洞、接口暴露、安全配置缺陷等直接攻擊API進行數據竊取,還可以利用API的參數組合及各參數值類型相對固定進行注入類攻擊,或通過參數與用戶身份進行關聯進行越權類攻擊。

面對API安全威脅不斷復雜化、多樣化的快速發(fā)展趨勢,企業(yè)在威脅認知、管控手段上相對滯后的探索形成了鮮明的差距,企業(yè)的數字化系統(tǒng)正在面臨嚴峻的安全挑戰(zhàn)?;诖耍WoAPI應用安全將成為2023年企業(yè)安全運營的重要任務。

趨勢二:應用數據安全迎來持續(xù)關注

近年來,全球數據安全形勢愈發(fā)嚴峻,層出不窮的泄密事件嚴重影響著企業(yè)數字化轉型的進程。據IBM Security的“數據泄露成本報告”顯示,2021年-2022年間,數據泄露的全球平均成本從424萬美元增加至435萬美元,同比增長2.6%,創(chuàng)歷史新高。

由于企業(yè)互聯網化進程的不斷深入,使得越來越多的業(yè)務被遷移到互聯網上,大量的應用數據被產生、傳輸、公開、共享。與此同時,新一代應用通過 Web、H5、App、API、微信和小程序等多種業(yè)務渠道接入,導致應用敞口風險和鏈條管控難度加大,各類變化多端的撞庫攻擊、暴力破解、爬蟲攻擊、API接口濫用,也導致企業(yè)數據泄露風險加劇。

隨著我國《網絡安全法》《數據安全法》《個人信息保護法》《數據出境安全評估辦法》等法律法規(guī)相繼頒布實施,預計2023年企業(yè)對于數據安全合規(guī)的管理將越來越嚴格,基于數據的傳輸、提供、公開等全生命周期進行保障的應用數據安全技術會迎來企業(yè)的持續(xù)關注。

趨勢三:針對數據庫的勒索軟件攻擊持續(xù)增長

數據作為一種有利可圖的資產,是網絡犯罪的重要目標,而勒索軟件已成為數據盜竊的一個重要途徑,讓攻擊者通過威脅公開企業(yè)數據來獲取勒索贖金。

2023年預計對數據庫的勒索攻擊將繼續(xù)有增無減,尤其針對云數據庫的勒索攻擊將大幅增加,因為越來越多的企業(yè)和政府將關鍵數據存儲在云端,勒索軟件也已進入云環(huán)境。

值得注意的是,與傳統(tǒng)的惡意軟件在文件系統(tǒng)層面加密文件不同,數據庫勒索軟件能夠在數據庫內部加密數據。這意味著企業(yè)在及時發(fā)現數據庫加密行為方面將面臨嚴峻挑戰(zhàn),積極主動地保護數據將更加至關重要。因此,企業(yè)不僅應盡快制定DR或RR(滾動恢復)計劃,還應加強針對備份數據的勒索行為檢測與恢復演練,這樣才能確保在發(fā)生勒索軟件攻擊時及時恢復安全干凈的數據。

趨勢四:關鍵基礎設施進一步成為攻擊重點

隨著網絡空間軍事化、網絡武器平民化、網絡攻擊常態(tài)化日趨明顯,關鍵信息基礎設施持續(xù)成為網絡攻擊的重點目標。對于金融、運營商、政府、能源、教育、衛(wèi)生、交通行業(yè)等高度敏感的行業(yè)而言,保護關鍵信息基礎設施安全變得更加緊迫。

當前,關鍵信息基礎設施加速實現數字化、網絡化、智能化升級,網絡入侵、攻擊滲透、遠程控制等網絡安全風險無處不在。2023年,關鍵信息基礎設施面臨的安全態(tài)勢比以往任何時候都要嚴峻。

云計算和移動化的普及,使得政府和企業(yè)的攻擊面進一步擴大,因此在保護關鍵信息基礎設施時,最大的挑戰(zhàn)之一是能夠評估和管理攻擊面。政府和企業(yè)需要確定網絡的組成部分以及存在的弱點,同時增加對可疑活動的監(jiān)控,以進一步調查網絡安全事件。同時,隨著著網絡攻擊變得越來越復雜,在政府和企業(yè)之間建立協作,對于采取統(tǒng)一戰(zhàn)線應對關鍵基礎設施威脅至關重要。

趨勢五:供應鏈攻擊數量激增

如今企業(yè)嚴重依賴供應鏈,這種高度的依賴性也使得供應鏈安全和風險成為現代企業(yè)必須面對的重要挑戰(zhàn)。隨著軟件供應鏈攻擊日益普遍,Gartner將其列為2022年的第二大威脅,并預測到2025年全球45%的組織將遭受一次或多次軟件供應鏈攻擊。

2023年,全球經濟發(fā)展存在大量不確定因素,網絡犯罪的發(fā)展趨勢也將繼續(xù)不斷上升??梢灶A見,引入到供應鏈中的安全威脅在復雜性、規(guī)模和頻率上都將會持續(xù)加大,供應鏈攻擊的數量將會快速增加。

對于企業(yè)而言,簡單的安全規(guī)劃已不足以防御攻擊者,需要部署更加全面的供應鏈安全防護工具,尤其是Web應用中動態(tài)加載的第三方前端組件,讓攻擊變得更加復雜與隱蔽,應采用更主動的方法來觀察和持續(xù)分析用戶行為以檢測可疑訪問,以完善自身供應鏈安全和風險轉變能力。

趨勢六:車聯網云端攻擊成為最大安全隱患

隨著汽車智能化發(fā)展,車聯網成為車輛進行軟硬件升級、功能上新、應用更新、漏洞修復等必備的基礎功能。然而,車聯網龐大的代碼量、復雜的供應鏈、車路云互聯互通等新特性也引發(fā)了巨大的安全風險,成為黑客的重點攻擊對象,如進行竊聽攻擊、惡意升級、回滾攻擊、DDOS攻擊等,使整車升級面臨多維安全挑戰(zhàn)。

其中,云端安全是目前車聯網最大的安全隱患。一方面,汽車的辦公、生產、銷售甚至運營維護的網絡全都要在云端打通,云端成為高價值目標;另一方面,汽車通過云端控制,意味著無條件接受云端的旨意,一旦攻擊者入侵云端服務器竊取敏感數據,甚至取得控制權后再遠程控制車輛,后果將不堪設想。

面對不斷增長的智能網聯汽車安全威脅,提升車聯網網絡安全和數據安全防護能力勢在必行。

趨勢七:遠程辦公常態(tài)化需持續(xù)加強安全防護

后疫情時代,遠程辦公將成為一個長久的趨勢。傳統(tǒng)線下辦公的網絡邊界逐漸模糊,公司電腦、私人電腦、移動終端逐漸增多的設備,通過VPN、虛擬化桌面或辦公軟件接入企業(yè)內網,以及分支機構、合作伙伴、外包人員訪問公司總部資源,都會為企業(yè)IT資產安全帶來風險。

因此,遠程辦公所涉及的企業(yè)業(yè)務系統(tǒng)暴露、易受攻擊、員工遠程訪問的身份識別、業(yè)務訪問違規(guī)操作、員工終端設備的安全防護等問題,對公司的安全防護能力發(fā)起了極大的挑戰(zhàn)。從安全角度來看,遠程辦公常態(tài)化意味著企業(yè)需要完全重啟安全策略和工具,以更好地降低風險。

趨勢八:Web3安全風險漸行漸近

Web3以區(qū)塊鏈技術作為基礎,構建出了一個去中心化的網絡世界,從基礎設施的層面來看,Web3的確有可能更難顛覆,但它也可能比現有網絡更容易遭受攻擊。

相比傳統(tǒng)應用,Web3應用有開放性的特點,代碼的透明公開使其擁有更廣的攻擊面,黑客不需要滲透任何企業(yè)防御網就能進入。如果攻擊者可以拿到證書、根權限或者密匙,尤其是拿到運行于整個生態(tài)系統(tǒng)的關鍵私人密鑰,整個Web3就會被顛覆。同時,在Web3代幣相當于數量可觀的金錢,在巨大的利益面前,黑客攻擊Web3的欲望更強烈,會花費大量精力來尋找漏洞并攻破它。

此外,網絡釣魚威脅已經在Web3世界中抬頭。在Web3中,用戶對自己的賬戶安全負責,而很多人缺乏安全防范意識,這就使得在Web3中同樣存在大量空投詐騙、網絡釣魚等行為,來盜竊用戶的數字資產。

因此,Web3開發(fā)者們必須在安全問題出現之前制定全面的安全策略,需要從協議部署前到部署后的步驟全面考慮安全性,如智能合約審計、監(jiān)控和響應、漏洞賞金、網絡保險等,并采用可靠編碼、人工智能、機器學習等功能的安全平臺來實時檢測和阻止安全威脅。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關標簽
網絡安全

相關文章

  • 2023 年 6 月頭號惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時,移動木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領先的網絡安全解決方案提供商CheckPoint?軟件技術有限公司(納斯達克股票代碼

    標簽:
    網絡安全
  • 華順信安榮獲“網絡空間安全產學協同育人優(yōu)秀案例”二等獎

    7月6日,“第三屆網絡空間安全產學協同育人優(yōu)秀案例”評選活動正式公布獲獎名單,華順信安與湘潭大學計算機學院·網絡空間安全學院聯合申報的參選案例獲評優(yōu)秀案例二等獎。本次活動由教育部高等學校網絡空間安全專業(yè)教學指導委員會產學合作育人工作組主辦,四川大學與華中科技大學共同承辦。本次評選,華順信安與湘潭大學

    標簽:
    網絡安全
  • Check Point:攻擊者通過合法email服務竊取用戶憑證信息

    近日,CheckPoint?軟件技術有限公司的研究人員對電子郵件安全展開調研,結果顯示憑證收集仍是主要攻擊向量,59%的報告攻擊與之相關。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時,在2023年一份針對我國電子郵件安全的第三方報告顯示,與證書/憑據釣魚相關的不法活

    標簽:
    網絡安全
  • 百代OSS防勒索解決方案,打造領先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數據泄露調查報告顯示,勒索軟件在2022年同比增長13%,增幅超過過去五年綜合。更危險的是,今年又出現了許多新的勒索軟件即服務(RaaS)團伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運營商REvil的回歸

    標簽:
    網絡安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯“中國網安產業(yè)成長之星

    6月21日,中國網絡安全產業(yè)聯盟(CCIA)正式發(fā)布由網絡安全產業(yè)研究機構“數說安全”提供研究支持的“2023年中國網安產業(yè)競爭力50強、成長之星、潛力之星”榜單。華順信安憑借行業(yè)內優(yōu)秀的專業(yè)能力與強勁的核心競爭力再次榮登“2023年中國網安產業(yè)成長之星”榜單。據悉,中國網絡安全產業(yè)聯盟(CCIA)

    標簽:
    網絡安全

熱門排行

信息推薦