近日Forrester发布了《2023年重大网络安全威胁报告》,对2023年的主要网络安全威胁进行了分析和研判,并向CISO及其团队提供了应威胁的建议。
报告指出,网络攻击的性质正在迅速变化。生成式人工智能、云环境的复杂性和地缘政治紧张局势是2023年攻击者武器库中的最新武器和有利因素。攻击者正在积极将生成式AI武器化,并用AI微调其勒索软件和社会工程技术。
四分之三(74%)的安全决策者表示过去12个月中其所在企业的敏感数据“可能遭到攻击或泄露”。对于任何一位CISO来说,如此高的数据泄露比例都是足以令人高度紧张的“网络安全基线”。
随着攻击者加速推进生成式人工智能的武器化,积极寻找新的方法来利用云端环境的复杂性,并利用地缘政治紧张局势发起更复杂的攻击,全球网络安全态势正在不断恶化。
CISO正面临两线作战的困境,一方面需要应对长期威胁的压力,同时又没有准备好阻止新出现的威胁。勒索软件和基于商业电子邮件入侵(BEC)实施的社会工程攻击是CISO多年来重点防御的长期威胁。然而,尽管安全团队已投入数百万美元来加强其技术堆栈、端点和身份管理系统以对抗勒索软件,但此类网络攻击的数量不减反增。为了提高赎金收入规模和支付速度,越来越多的勒索软件组织开始将供应链、医疗提供商和医院作为主要目标。因为此类目标对业务停顿极为敏感,无法承受长期停机的(生命和财产)损失。此外,Forrester的预测和调查结果还显示随着新威胁的发展,数据泄露事件的瞒报比例在不断提高。CISO和企业不想承认自己的安全防御不到位。12%的安全和风险专业人员表示,他们的公司在过去12个月中发生了6-25次数据泄露事件(下图),主要原因是BEC、社会工程攻击和勒索软件攻击。随着生成式人工智能技术的滥用加速,新的、更致命的攻击策略即将到来。
2022年70%的企业遭受了至少一次数据泄露
数据来源:Forrester
那些未能及时升级到AI防御体系的基于边界防护的遗留系统最容易受到攻击。新一波网络攻击即将到来,攻击者将能大规模针对性地探寻和利用任何企业薄弱环节,包括复杂的云配置,数据泄露事件的瞒报率(包括未检测到的泄露)也将进一步上升。
随着新一波威胁的到来,Forrester预计会有更多致命的攻击,因为攻击者正积极掌握人工智能专业知识以击败最新一代的网络安全防御,端点和身份保护之间的安全差距是攻击者关注的重点薄弱环节。CrowdStrike总裁Michael Sentonas在最近的一次采访指出:缩小端点保护和身份保护之间的差距是“今天企业要应对的最大安全挑战之一”。RSA 2023大会展示了身份和复杂性方面的一些挑战,这也是为什么我们将端点与身份,以及用户正在访问的数据联系起来,这是企业网络安全今天面临的关键问题。以下,是Forrester报告给出的2023年网络安全威胁五大趋势:一、人工智能威胁浮出水面
使用生成式AI(例如ChatGPT及其他大型语言模型),攻击者可以以前所未有的速度和复杂度实施规模化攻击。Forrester预测,AI增强攻击案例将继续激增,唯一限制攻击者杀伤力的是其想象力。一个早期AI威胁用例是通过“数据投毒”导致算法漂移的技术,这种攻击技术会降低电子邮件安全检测效率或电子商务推荐引擎的收入(以及准确性)。这曾经是一个小众话题,但现如今已经成为亟需预测和应对的最紧迫的威胁之一。Forrester指出,虽然许多组织不会面临这种威胁的直接风险,但了解哪些安全供应商可以抵御对AI模型和算法的攻击至关重要。Forrester在报告中建议,“如果你需要保护企业的人工智能系统,可以考虑像HiddenLayer、CalypsoAI和Robust Intelligence这样的供应商。”今天,有94%的企业使用云服务,75%的企业表示云安全是首要关注的问题。三分之二的企业拥有云基础架构。Gartner去年曾预测,云迁移将影响今年超过1.3万亿美元的企业IT支出,到2025年将影响近1.8万亿美元。到2025年,51%的IT支出将转移到公共云(2022年为41%)。到2025年,云技术将占应用软件支出的65.9%,高于2022年的57.7%。上述预测凸显了日益复杂庞大的云计算和存储基础设施蕴含的重大安全风险。Forrester指出,不安全的IaaS基础架构配置、无恶意软件攻击和权限提升以及配置漂移是CISO及其团队需要了解和强化的众多威胁面中的一小部分。该报告建议企业实施弹性、强大的云治理,并使用安全工具(例如IaaS平台的本机安全功能、云安全态势管理和SaaS安全态势管理)来检测和修复威胁和攻击尝试。报告指出:基础设施即代码(IaC)扫描正在通过集成IaC安全性(例如Checkmarx的KICS和Palo Alto Networks的Bridgecrew)来检测terraform、helm和Kubernetes清单文件中的错误配置(例如,未加密的存储桶或弱密码策略),加入CI/CD部署管道,甚至集成到更早期的编码开发环境中。Forrester的报告指出,俄乌战争伴生的网络攻击具有全球影响力,民族国家行为者将继续出于地缘政治目的对私营公司进行网络攻击,如间谍活动、谈判杠杆、资源控制和知识产权盗窃,以获得技术优势。报告还声称,中美之间持续的外交和贸易紧张局势是另一个爆发点,可能会增加对企业的攻击。该报告引用了美国在2022年底限制向中国的半导体芯片出口和通信设备进口,以及中国于2023年初制裁了美国国防承包商。俄罗斯也正面临欧洲贸易禁令和出口管制,这些冲突可能会影响私营公司。朝鲜黑客从日本窃取了价值7.41亿美元的加密货币,这是地缘政治威胁波及国家金融的另一个例子。根据Forrester的报告,2023年勒索软件仍然是最大的网络威胁,攻击者通常会采用双重勒索策略(用泄露数据来勒索企业)来提高赎金支付率。针对关键基础设施和供应链的勒索软件攻击正在增长,此类攻击造成的系统停顿可能造成数百万美元的损失。攻击者知道,只要能够破坏供应链,那些无法承受长期停机的企业将很快满足他们的赎金要求。报告中最令人不安的发现是,在2016年至2021年期间,针对医院的勒索软件攻击翻了一番,甚至危及生命。作为回应,30多个国家于2021年10月联合发布反勒索软件倡议(CRI),以打击全球勒索软件。作为CRI战略的一部分的国际反勒索软件工作组(ICRTF)目前由澳大利亚领导。Forrester建议企业也“同样优先考虑勒索软件防御,并订阅针对勒索软件威胁的外部威胁情报服务。”该报告还提醒美国的关键基础设施企业的安全和风险管理团队,根据2022年《关键基础设施网络事件报告法》,他们必须在网络事件的72小时内,赎金支付的24小时内向CISA报告。美国联邦调查局犯罪投诉中心的报告称,2022年BEC社会工程给企业造成的损失为24亿美元。2021年,BEC攻击造成的欺诈性资金转移索赔超过了所有其他类型的索赔,甚至超过了勒索软件攻击。BEC社会工程攻击主要利用人员错误,例如使用网络钓鱼来窃取凭据和滥用帐户。Forrester指出,BEC社会工程活动正在进入一个新阶段,试图结合多种沟通渠道(包括生成式AI技术)来说服受害者采取行动。一些攻击活动还包含验证码流程以提高其合法性和可信度。该报告建议,仅采用基于域的邮件身份验证、报告和一致性(DMARC)进行电子邮件身份验证是不够的。企业应采用数据驱动的方法来改变和评估员工行为,通过额外的(安全意识)培训和技术来纠正人员错误,降低社会工程攻击的风险。Forrester的2023年网络安全威胁报告向全球组织发出了严厉警告,为迫在眉睫的新攻击和新威胁做好准备。攻击者正在不断完善攻击技术,包括将生成式人工智能武器化、利用云复杂性和利用地缘政治紧张局势发动更复杂的攻击的新策略。虽然企业仍在投入网络安全预算以遏制BEC社会工程和勒索软件攻击,但他们还需要开始计划如何预测、识别和应对针对AI模型、算法和数据的威胁。为了改进(内生)威胁情报能力,企业安全团队还必须统一分散的安全计划和策略,以阻止下一代网络攻击。来源:GoUpSec