2020年是不同尋常的一年。這一年,疫情黑天鵝事件突襲,掀起了“新基建”的又一輪熱潮,以5G、大數(shù)據(jù)、人工智能、云計算等為代表的新技術(shù)備受矚目,遠程辦公、在線教育、直播帶貨等新興產(chǎn)業(yè)快速崛起。如果說過去幾年,很多企業(yè)還在不緊不慢地探索著數(shù)字化轉(zhuǎn)型升級之道,那么在疫情影響之下,2020年的企業(yè)則全面按下了信息化建設(shè)的加速鍵。
在此背景之下,網(wǎng)絡(luò)信息安全態(tài)勢也愈加復雜,不但網(wǎng)絡(luò)安全所覆蓋的維度和領(lǐng)域急劇擴張,因信息安全問題所引發(fā)的后果也更為嚴重。據(jù)《金融科技新聞》(Fintech News)報道,2020年,超過80%的公司遭受的網(wǎng)絡(luò)攻擊有所增加。而來自阿科斯實驗室(Arkose Labs)的數(shù)據(jù)顯示,2020年網(wǎng)絡(luò)詐騙數(shù)量飆升了20%,達到4.45億次。
2021年還會如同2020年一般動蕩嗎?我們都希望不會。但有一點是確定的:與以往任何一年相同,2021年,我們?nèi)詫⒗^續(xù)面臨新的、不斷演化的網(wǎng)絡(luò)安全威脅與挑戰(zhàn)。
關(guān)于未來安全的幾點思考
1.0day/Nday漏洞攻擊持續(xù)增加 – 勒索攻擊、后門木馬植入變本加厲
疫情防控期間可以說是中國數(shù)字化時代最大規(guī)模的一次集體性遠程辦公,不僅造就了個人辦公和業(yè)務(wù)使用的突發(fā)性變化,更帶來了大量的網(wǎng)絡(luò)攻擊。瑞數(shù)信息安全專家指出遠程辦公令漏洞曝光的數(shù)量顯著上漲,特別是借助自動化工具,網(wǎng)絡(luò)罪犯可以在短時間內(nèi)以更高效、更隱蔽的方式對網(wǎng)站進行漏洞掃描和探測,尤其是對于0day/Nday漏洞的全網(wǎng)探測,將會更為頻繁和高效,首次探測高峰已經(jīng)由POC發(fā)布后一周,提前到POC發(fā)布之前。利用這些漏洞,在過去一年大行其道的勒索攻擊很可能在2021年變本加厲,企業(yè)除了要面臨網(wǎng)站數(shù)據(jù)無法使用的困境,還要做好被迫支付數(shù)以千萬計的贖金、遭遇經(jīng)濟和名譽雙重打擊的準備;同時,植入后門或木馬對于黑客來說也將更為容易,但感染大規(guī)模擴散后產(chǎn)生的指數(shù)級安全風險和后續(xù)損失將無法估計,也更難以應(yīng)對。
2.“企業(yè)上云”并不代表“安全上云”- 云賬號安全岌岌可危
盡管由于疫情影響,企業(yè)上云在2020年展現(xiàn)出無與倫比的增速,但云的安全性仍然是一個關(guān)鍵問題。伴隨企業(yè)上云,對外云服務(wù)暴露的攻擊面持續(xù)增多,漏洞曝光利用、賬號盜取與竊密等各種攻擊能夠輕易達成。同時,疫情也給了黑客更多時間和精力挖掘漏洞或者開發(fā)更多針對性攻擊工具的機會,諸如Openbullet等針對密碼猜測和撞庫的通用化工具已經(jīng)被開發(fā)并應(yīng)用于Azure cloud等云服務(wù)平臺,針對賬號的攻擊門檻被進一步降低。
3.線上交易屢創(chuàng)新高 – 業(yè)務(wù)欺詐風險飆升
2020年,新冠病毒大流行極大地加速了企業(yè)業(yè)務(wù)向線上虛擬化轉(zhuǎn)移的步伐,直播帶貨等新模式的興起更使得線上交易異?;钴S。然而,在限量秒殺、百億補貼、消費券發(fā)放等各類營銷活動層出不窮,各大平臺業(yè)績屢創(chuàng)新高的同時,業(yè)務(wù)欺詐風險也隨之飆升。薅羊毛、刷單刷量、虛假賬號、虛假流量、電信詐騙等業(yè)務(wù)欺詐行為在各行業(yè)繁榮生長。以某銀行網(wǎng)申信用卡業(yè)務(wù)為例,據(jù)瑞數(shù)信息觀察,業(yè)務(wù)開放第一天的短短一小時之內(nèi)就收到近3萬次的信用卡申請,其中75%的申請都是自動化工具發(fā)起的虛假申請。據(jù)統(tǒng)計,電商行業(yè)在全行業(yè)欺詐流量中占比21.7%,15.2%欺詐流量流向了航空、鐵路等出行行業(yè),金融、游戲等行業(yè)都是欺詐的重災區(qū)。
4.5G加速 - 移動端應(yīng)用安全內(nèi)憂外患
過去一年中,伴隨5G的加速普及和“宅家”新生活模式的影響,短視頻娛樂、直播、云上互動等場景的火爆帶來了移動端設(shè)備用戶規(guī)模及流量的爆發(fā)性增長,許多平臺甚至放棄PC端轉(zhuǎn)而專注移動端的開發(fā)應(yīng)用,移動端消費市場正迎來持續(xù)的擴大時期。然而移動端應(yīng)用真的安全嗎?據(jù)報道,目前只有大約36%的移動應(yīng)用完全集成了安全,大部分的移動應(yīng)用安全系數(shù)很低或根本不安全。瑞數(shù)信息安全專家指出針對移動端的網(wǎng)絡(luò)欺詐迅速增長,控制量更大、隱蔽性更強、更穩(wěn)定的云控軟件正加速取代群控工具,成為網(wǎng)絡(luò)罪犯的得力助手。除了傳統(tǒng)的漏洞掃描、注入攻擊、跨站腳本以及 APP客戶端逆向、調(diào)試等問題,還有非法第三方APP請求、中間人攻擊、API接口濫用、撞庫、批量注冊、刷單、爬蟲、通過外掛程序或群控設(shè)備薅羊毛等業(yè)務(wù)安全隱患。對企業(yè)平臺的正常運營造成了嚴重的經(jīng)濟和業(yè)務(wù)影響,對企業(yè)商譽造成的負面影響,更是不可估量。
5.業(yè)務(wù)應(yīng)用交互頻繁 – API數(shù)據(jù)安全問題嚴峻
API 已成為數(shù)字業(yè)務(wù)生態(tài)系統(tǒng)的支柱,是加速企業(yè)業(yè)務(wù)創(chuàng)新和應(yīng)用開發(fā)的動力。隨著遠程辦公、線上辦公等工作方式的迅速上升,企業(yè)依賴API調(diào)用來整合大量的系統(tǒng)和實現(xiàn)業(yè)務(wù)彼此之間的交互。據(jù)調(diào)查,目前每個企業(yè)平均管理超過350種不同的API,其中69%的企業(yè)會將這些API開放給公眾和他們的合作伙伴,在金融和零售業(yè)的API應(yīng)用調(diào)查中發(fā)現(xiàn),API 流量占比超過83%。雖然開放API承擔了拓寬企業(yè)技術(shù)和服務(wù)生態(tài)系統(tǒng)的責任,但同時也給了攻擊者可乘之機。以金融行業(yè)為例,盡管開放API 推動了銀行業(yè)服務(wù)能力和服務(wù)渠道的全面對外賦能,但隨著API調(diào)用數(shù)量的增多和自動化工具的興起,其涉及的數(shù)據(jù)泄漏和欺詐風險正對金融業(yè)務(wù)安全構(gòu)成新的挑戰(zhàn)。Gartner也預測,到2022年,API濫用將成為導致企業(yè)Web應(yīng)用數(shù)據(jù)泄漏最為常見的攻擊方式。
6.業(yè)務(wù)應(yīng)用形態(tài)多樣化 - 企業(yè)呼喚整合型的安全防護機制
隨著企業(yè)數(shù)字化進程的不斷遞進和業(yè)務(wù)向云端遷移的大趨勢,移動服務(wù)、開放銀行等愈加廣泛與多樣的業(yè)務(wù)應(yīng)用形態(tài),正促使當前Web應(yīng)用架構(gòu)向服務(wù)化(API、可編程)架構(gòu)邁進,攻擊場景也由傳統(tǒng)的漏洞利用逐漸轉(zhuǎn)向業(yè)務(wù)欺詐,各類智能化、擬人化的Bots自動工具則使得黑客攻擊手段得到了迅速升級。顯然,傳統(tǒng)的面向漏洞防護的WAF能力已經(jīng)無法滿足企業(yè)的實際場景需求,整合型的安全防護機制建立勢在必行。Gartner指出,到2023年,30%以上面向公眾的Web應(yīng)用程序和API將受到云WAF和API防護服務(wù)(WAAP)的保護,WAAP服務(wù)結(jié)合了分布式拒絕服務(wù)(DDoS)防御、機器人程序緩解(Bot Mitigation)、API保護和WAF。
7.AI武器更聰明了 – 自動化攻擊防御門檻提高
2020年,AI人工智能作為前沿科技持續(xù)吸引著網(wǎng)絡(luò)惡意利用者的目光。得益于人工智能的數(shù)據(jù)挖掘和分析能力,攻擊正變得更為聰明和大膽,并逐漸向擬人化和精密化的方向發(fā)展。它們不僅能夠通過快速查明防御系統(tǒng)或環(huán)境中存在的漏洞,精確針對特定薄弱區(qū)域定制并發(fā)起大規(guī)模攻擊,還能模擬合法行為模式以繞開和躲避安全工具。然而對于人類來說,隨著安全事件接踵而至,大量的安全警報、潛在的威脅數(shù)量,單單是處理就已經(jīng)很繁瑣了,更何況是面對AI加持的攻擊武器和再次提高的自動化防御門檻。因此如何利用AI對抗AI武器,是這場升級的網(wǎng)站安全戰(zhàn)中防守方應(yīng)當著重思考的必須話題。
8.攻防對抗能力持續(xù)升級 – 防護重心從“人防”到“技防”
網(wǎng)絡(luò)空間安全的本質(zhì)是對抗,隨著攻擊者技術(shù)實力的不斷提高和網(wǎng)絡(luò)攻擊面的不斷擴大,攻擊事件也不斷增加,企業(yè)不斷涌現(xiàn)出對網(wǎng)絡(luò)攻防對抗的建設(shè)需求。加以近年來《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護2.0》等一系列政策法規(guī)、標準的持續(xù)落地,網(wǎng)絡(luò)安全攻防演習活動已經(jīng)逐漸成為慣例。2021年,隨著企業(yè)對網(wǎng)絡(luò)安全的愈加重視和新一代信息技術(shù)的深度應(yīng)用,網(wǎng)絡(luò)安全向更深層次的滲透,網(wǎng)絡(luò)安全攻防演習活動的重要性勢必還將繼續(xù)提高,企業(yè)防護重心應(yīng)逐漸從“人防”過渡到“技防”,通過人技結(jié)合,更好地解決批量自動化攻擊和人為的定點攻擊,為企業(yè)提供應(yīng)用安全與業(yè)務(wù)安全的雙重保障,實現(xiàn)網(wǎng)絡(luò)空間攻防對抗能力的持續(xù)升級。
瑞數(shù)安全專家建議
加強企業(yè)自動化威脅管理與防護
隨著自動化威脅發(fā)展的愈演愈烈,加強自動化威脅管理與防護在企業(yè)應(yīng)用和業(yè)務(wù)威脅管理架構(gòu)中的地位與能力,通過Bots識別、提高攻擊成本、可視化展示等多維度手段對各類Bots進行管理與威脅防護,是企業(yè)的必須配備。
配置與部署整合性的安全防護機制
選擇支持WAF、Bot管理、API防護等多種安全能力的整合性防御機制,通過不同組件在不同場景下的獨立或聯(lián)合部署,幫助企業(yè)形成分層遞進的防護策略與能力,令企業(yè)能夠安全地將各類Web業(yè)務(wù)和應(yīng)用交付在混合架構(gòu)中,實現(xiàn)Web安全一體化防御。
對用戶行為進行相應(yīng)的審計
遠距工作已成為常態(tài),員工終端缺乏在辦公環(huán)境的層層防護,更容易遭到惡意代碼感染與釣魚詐騙,大幅降低了賬戶盜用的門檻;同時,企業(yè)應(yīng)用向云端遷移已成為不可逆的趨勢,不但容易遭到外部入侵者的攻擊,也使得內(nèi)外共謀舞弊變得更為容易。因此,對合法用戶操作行為進行審計,以及早發(fā)現(xiàn)可能的賬號盜用、權(quán)限濫用與內(nèi)外共謀舞弊等惡意行為,已成為后疫情時代必要的防護手段之一。
升級防護手段,構(gòu)建更智能的主動安全防御機制
將企業(yè)防護理念由“被動防御”向“主動防御”轉(zhuǎn)變,防護重心由“人防”向“技防”轉(zhuǎn)變,借助AI人工智能技術(shù)、自動化響應(yīng)機制等新手段,實現(xiàn)網(wǎng)絡(luò)空間攻防對抗能力的持續(xù)升級,構(gòu)建更智能的主動安全防御機制。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!