2020年是不平凡的一年。今年,疫情黑天鹅事件来袭,掀起又一波“新基建”。以5G、大数据、人工智能、云计算为代表的新技术备受关注。带货等新兴产业快速崛起。如果说,过去几年,不少企业还在探索数字化转型升级之路,那么在疫情的影响下,2020年的企业将全面按下信息化建设的加速键。在此背景下,网络信息安全形势日趋复杂。不仅网络安全涉及的维度和领域迅速扩大,信息安全问题造成的后果也更加严重。据《金融科技新闻》(FintechNews)报道,2020年,超过80%的企业遭遇网络攻击增加。ArkoseLabs的数据显示,在线诈骗在2020年猛增20%,达到4.45亿。2021年会像2020年一样动荡吗?我们都希望不会。但有一件事是肯定的:与往年一样,2021年,我们将继续面临新的和不断变化的网络安全威胁和挑战。对未来安全的一些思考1.0day/Nday漏洞攻击持续增多——勒索病毒攻击、后门木马植入加剧疫情防控期间,可以说中国数字时代最大规模的集体远程办公不仅造就了个人办公和业务使用方式的突然改变带来了很多网络攻击。睿数信息安全专家指出,远程办公显着增加了漏洞暴露数量,尤其是借助自动化工具,网络犯罪分子可以在短时间内更高效、更隐蔽地扫描检测网站漏洞,尤其是针对0day/全网检测Nday漏洞将更加频繁和高效。第一次检测的高峰期在POC发布后的一周,也将在POC发布前。利用这些漏洞,去年盛行的勒索软件攻击很可能在2021年愈演愈烈。企业除了面临网站数据无法使用的困境,还必须做好被迫支付数千万赎金的准备,遇到经济和声誉问题。准备罢工;同时,黑客更容易植入后门或木马程序,但感染的大规模传播所带来的指数级安全风险和后续损失将难以预测,更难应对。2、“企业上云”不等于“安全上云”——云账号安全隐患尽管受疫情影响,2020年企业上云呈现出无与伦比的增速,但云安全仍是关键问题。随着企业上云,暴露于外部云服务的攻击面不断增大,漏洞暴露利用、账号盗窃、窃取机密等多种攻击方式很容易实现。同时,疫情也让黑客有更多的时间和精力去挖掘漏洞或者开发更有针对性的攻击工具。Openbullet等用于密码猜测和认证的通用工具已经开发并应用于Azure云等云服务平台,账户的攻击门槛进一步降低。3.线上交易再创新高——商业欺诈风险飙升2020年,COVID-19大流行大大加快了企业业务向线上虚拟化的步伐,直播等新模式兴起带货使得网上交易异常活跃。然而,限时闪购、百亿补贴、发放消费券等各类营销活动层出不穷,各大平台业绩屡创新高的同时,商业欺诈风险也随之飙升。骗羊毛、刷单、虚假账户、虚假流量、电信诈骗等欺诈活动在各行各业盛行。以某银行的在线信用卡申请业务为例。据锐数资讯观察,开业首日仅1小时就收到近3万张信用卡申请,其中75%的申请是由自动化工具发起的。虚假申请。据统计,电子商务行业占整个行业欺诈流量的21.7%,其中15.2%的欺诈流量流向了航空、铁路等旅游行业。金融、游戏等行业是欺诈的重灾区。4.5G加速——移动应用安全的内外部威胁过去一年,随着5G的加速普及和“宅在家”新生活方式的冲击,短视频娱乐、直播、互动在手机上的普及云带来了移动应用随着设备用户规模和流量的爆发式增长,很多平台甚至放弃了PC端,专注于移动端的开发和应用。移动终端消费市场正迎来持续扩张期。然而,移动应用真的安全吗?据报道,目前只有约36%的移动应用具备完全集成的安全性,大部分移动应用的安全系数很低或根本不安全。睿数信息安全专家指出,针对移动终端的网络诈骗快速增长,控制力更强、隐蔽性更强、稳定性更高的云控软件正在迅速取代群控工具,成为网络犯罪分子的得力助手。除了传统的漏洞扫描、注入攻击、跨站脚本、APP客户端逆向工程调试外,还有非法第三方APP请求、中间人攻击、API接口滥用、撞库、批处理注册、刷单、爬虫、通过插件。程序或群控设备等业务安全风险。对企业平台的正常运营造成了严重的经济和业务影响,对企业商誉的负面影响更是难以估量。5、业务应用交互频繁——API数据安全问题严重API已经成为数字化商业生态的支柱,是加速业务创新和应用发展的驱动力。随着远程办公、在线办公等工作方式的迅速兴起,企业依靠API调用来集成大量系统,实现业务间的交互。据调查,目前每家企业平均管理着超过350个不同的API,其中69%会将这些API开放给公众及其合作伙伴。在金融和零售行业的API应用调查中发现,API流量占比超过83%。尽管开放API承担着拓宽企业技术和服务生态系统的责任,但它也为攻击者提供了可乘之机。以金融行业为例,虽然开放API促进了银行服务能力和服务渠道的全面外部赋能,但随着API调用量的增加和自动化工具的兴起,其中涉及的数据泄露和欺诈风险越来越大。直接影响金融业务。安全带来新的挑战。Gartner还预测,到2022年,API滥用将成为导致企业Web应用数据泄露的最常见攻击方式。6、业务应用形式多样化——企业呼唤一体化的安全防护机制。推动当前Web应用架构向服务化(API、可编程)架构迈进,攻击场景逐渐从传统的漏洞利用转向商业诈骗,各种智能化、拟人化的Bots自动化工具迅速升级黑客手段。显然,传统的面向漏洞防护的WAF能力已经不能满足企业的实际场景需求,建立一体化的安全防护机制势在必行。据Gartner称,到2023年,超过30%的面向公众的Web应用程序和API将受到云WAF和API保护服务(WAAP)的保护,它们结合了分布式拒绝服务(DDoS)防御、僵尸程序缓解(BotMitigation)、API保护和WAF。7、AI武器更智能——自动化攻防门槛提高。2020年,AI人工智能作为前沿技术,继续受到恶意网民的关注。得益于人工智能的数据挖掘和分析能力,攻击变得更聪明、更大胆,并逐渐向拟人化、精准化方向发展。他们不仅可以通过快速查明防御系统或环境中的漏洞来定制和发动针对特定薄弱区域的大规模攻击,而且他们还可以模仿合法的行为模式来绕过和规避安全工具。然而,对于人类来说,随着安全事件的接连发生,大量的安全警报和数量庞大的潜在威胁应对起来已经十分繁琐,更何况AI加持的攻击武器和自动化防御门槛的提高.因此,如何利用AI来对抗AI武器,是这场升级版的网站安全战中,防御者应该关注的一个必要课题。八、攻防对抗能力不断升级——防护重点由“人防”转向“技防”。企业不断涌现出网络攻防对抗的建设需求。加上近年来《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策法规和标准的不断实施,网络安全攻防演练逐渐成为家常便饭。2021年,随着企业更加重视网络安全,以及新一代信息技术的深入应用,网络安全将向更深层次渗透。网络安全攻防演练的重要性将不断提升。企业防护重点应逐步从“人防”向“技防”转变,通过人与技术的结合,更好地解决批量自动化攻击和人为定点攻击,为企业提供双重保障应用安全和业务安全,实现网络空间攻防对抗能力的持续升级。锐数安全专家建议加强企业自动化威胁管控和防护。加强企业应用和业务威胁管理架构,Bot可用于识别、增加攻击成本、可视化,多维度管理和防护各类Bot是企业的必由之路。配置部署一体化安全保护机制。选择一个综合防御机制,支持WAF、Bot管理、API防护等多种安全能力。通过不同场景下不同组件的独立或联合部署,帮助企业形成分层递进的体系。防护策略和能力使企业能够在混合架构下安全交付各种Web服务和应用,实现一体化的Web安全防御。远程审计用户行为已经成为常态。员工终端在办公环境中缺乏层层防护,更容易感染恶意代码和钓鱼诈骗,大大降低了盗号门槛。同时,企业应用上云。迁移已经成为一种不可逆转的趋势,不仅容易受到外部入侵者的攻击,而且更容易被内外勾结和欺诈。因此,对合法的用户操作行为进行审计,及早发现可能存在的账号盗用、滥用权限、内外勾结、欺诈等行为,已成为后疫情时代必要的防护手段之一。升级防护手段,构建更加智能的主动安全防御机制。变企业防护观念由“被动防御”为“主动防御”,防护重点由“人防”转向“技防”。借助AI人工智能技术和自动化响应机制等新手段,实现网络空间攻防对抗能力不断升级,构建更加智能的主动安全防御机制。
