2021 关于未来安全的几点思考
作者: 日期:2021年03月04日 阅:4,653

2020年是不同寻常的一年。这一年,疫情黑天鹅事件突袭,掀起了“新基建”的又一轮热潮,以5G、大数据、人工智能、云计算等为代表的新技术备受瞩目,远程办公、在线教育、直播带货等新兴产业快速崛起。如果说过去几年,很多企业还在不紧不慢地探索着数字化转型升级之道,那么在疫情影响之下,2020年的企业则全面按下了信息化建设的加速键。

在此背景之下,网络信息安全态势也愈加复杂,不但网络安全所覆盖的维度和领域急剧扩张,因信息安全问题所引发的后果也更为严重。据《金融科技新闻》(Fintech News)报道,2020年,超过80%的公司遭受的网络攻击有所增加。而来自阿科斯实验室(Arkose Labs)的数据显示,2020年网络诈骗数量飙升了20%,达到4.45亿次。

2021年还会如同2020年一般动荡吗?我们都希望不会。但有一点是确定的:与以往任何一年相同,2021年,我们仍将继续面临新的、不断演化的网络安全威胁与挑战。

关于未来安全的几点思考

  • 0day/Nday漏洞攻击持续增加 – 勒索攻击、后门木马植入变本加厉

疫情防控期间可以说是中国数字化时代最大规模的一次集体性远程办公,不仅造就了个人办公和业务使用的突发性变化,更带来了大量的网络攻击。瑞数信息安全专家指出远程办公令漏洞曝光的数量显著上涨,特别是借助自动化工具,网络罪犯可以在短时间内以更高效、更隐蔽的方式对网站进行漏洞扫描和探测,尤其是对于0day/Nday漏洞的全网探测,将会更为频繁和高效,首次探测高峰已经由POC发布后一周,提前到POC发布之前。利用这些漏洞,在过去一年大行其道的勒索攻击很可能在2021年变本加厉,企业除了要面临网站数据无法使用的困境,还要做好被迫支付数以千万计的赎金、遭遇经济和名誉双重打击的准备;同时,植入后门或木马对于黑客来说也将更为容易,但感染大规模扩散后产生的指数级安全风险和后续损失将无法估计,也更难以应对。

  • “企业上云”并不代表“安全上云”- 云账号安全岌岌可危

尽管由于疫情影响,企业上云在2020年展现出无与伦比的增速,但云的安全性仍然是一个关键问题。伴随企业上云,对外云服务暴露的攻击面持续增多,漏洞曝光利用、账号盗取与窃密等各种攻击能够轻易达成。同时,疫情也给了黑客更多时间和精力挖掘漏洞或者开发更多针对性攻击工具的机会,诸如Openbullet等针对密码猜测和撞库的通用化工具已经被开发并应用于Azure cloud等云服务平台,针对账号的攻击门槛被进一步降低。

  • 线上交易屡创新高 业务欺诈风险飙升

2020年,新冠病毒大流行极大地加速了企业业务向线上虚拟化转移的步伐,直播带货等新模式的兴起更使得线上交易异常活跃。然而,在限量秒杀、百亿补贴、消费券发放等各类营销活动层出不穷,各大平台业绩屡创新高的同时,业务欺诈风险也随之飙升。薅羊毛、刷单刷量、虚假账号、虚假流量、电信诈骗等业务欺诈行为在各行业繁荣生长。以某银行网申信用卡业务为例,据瑞数信息观察,业务开放第一天的短短一小时之内就收到近3万次的信用卡申请,其中75%的申请都是自动化工具发起的虚假申请。据统计,电商行业在全行业欺诈流量中占比21.7%,15.2%欺诈流量流向了航空、铁路等出行行业,金融、游戏等行业都是欺诈的重灾区。

  • 5G加速 移动端应用安全内忧外患

过去一年中,伴随5G的加速普及和“宅家”新生活模式的影响,短视频娱乐、直播、云上互动等场景的火爆带来了移动端设备用户规模及流量的爆发性增长,许多平台甚至放弃PC端转而专注移动端的开发应用,移动端消费市场正迎来持续的扩大时期。然而移动端应用真的安全吗?据报道,目前只有大约36%的移动应用完全集成了安全,大部分的移动应用安全系数很低或根本不安全。瑞数信息安全专家指出针对移动端的网络欺诈迅速增长,控制量更大、隐蔽性更强、更稳定的云控软件正加速取代群控工具,成为网络罪犯的得力助手。除了传统的漏洞扫描、注入攻击、跨站脚本以及 APP客户端逆向、调试等问题,还有非法第三方APP请求、中间人攻击、API接口滥用、撞库、批量注册、刷单、爬虫、通过外挂程序或群控设备薅羊毛等业务安全隐患。对企业平台的正常运营造成了严重的经济和业务影响,对企业商誉造成的负面影响,更是不可估量。

  • 业务应用交互频繁 API数据安全问题严峻

API 已成为数字业务生态系统的支柱,是加速企业业务创新和应用开发的动力。随着远程办公、线上办公等工作方式的迅速上升,企业依赖API调用来整合大量的系统和实现业务彼此之间的交互。据调查,目前每个企业平均管理超过350种不同的API,其中69%的企业会将这些API开放给公众和他们的合作伙伴,在金融和零售业的API应用调查中发现,API 流量占比超过83%。虽然开放API承担了拓宽企业技术和服务生态系统的责任,但同时也给了攻击者可乘之机。以金融行业为例,尽管开放API 推动了银行业服务能力和服务渠道的全面对外赋能,但随着API调用数量的增多和自动化工具的兴起,其涉及的数据泄漏和欺诈风险正对金融业务安全构成新的挑战。Gartner也预测,到2022年,API滥用将成为导致企业Web应用数据泄漏最为常见的攻击方式。

  • 业务应用形态多样化 – 企业呼唤整合型的安全防护机制

随着企业数字化进程的不断递进和业务向云端迁移的大趋势,移动服务、开放银行等愈加广泛与多样的业务应用形态,正促使当前Web应用架构向服务化(API、可编程)架构迈进,攻击场景也由传统的漏洞利用逐渐转向业务欺诈,各类智能化、拟人化的Bots自动工具则使得黑客攻击手段得到了迅速升级。显然,传统的面向漏洞防护的WAF能力已经无法满足企业的实际场景需求,整合型的安全防护机制建立势在必行。Gartner指出,到2023年,30%以上面向公众的Web应用程序和API将受到云WAF和API防护服务(WAAP)的保护,WAAP服务结合了分布式拒绝服务(DDoS)防御、机器人程序缓解(Bot Mitigation)、API保护和WAF。

  • AI武器更聪明了 自动化攻击防御门槛提高

2020年,AI人工智能作为前沿科技持续吸引着网络恶意利用者的目光。得益于人工智能的数据挖掘和分析能力,攻击正变得更为聪明和大胆,并逐渐向拟人化和精密化的方向发展。它们不仅能够通过快速查明防御系统或环境中存在的漏洞,精确针对特定薄弱区域定制并发起大规模攻击,还能模拟合法行为模式以绕开和躲避安全工具。然而对于人类来说,随着安全事件接踵而至,大量的安全警报、潜在的威胁数量,单单是处理就已经很繁琐了,更何况是面对AI加持的攻击武器和再次提高的自动化防御门槛。因此如何利用AI对抗AI武器,是这场升级的网站安全战中防守方应当着重思考的必须话题。

  • 攻防对抗能力持续升级 防护重心从“人防”到“技防”

网络空间安全的本质是对抗,随着攻击者技术实力的不断提高和网络攻击面的不断扩大,攻击事件也不断增加,企业不断涌现出对网络攻防对抗的建设需求。加以近年来《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策法规、标准的持续落地,网络安全攻防演习活动已经逐渐成为惯例。2021年,随着企业对网络安全的愈加重视和新一代信息技术的深度应用,网络安全向更深层次的渗透,网络安全攻防演习活动的重要性势必还将继续提高,企业防护重心应逐渐从“人防”过渡到“技防”,通过人技结合,更好地解决批量自动化攻击和人为的定点攻击,为企业提供应用安全与业务安全的双重保障,实现网络空间攻防对抗能力的持续升级。

瑞数安全专家建议

加强企业自动化威胁管理与防护

随着自动化威胁发展的愈演愈烈,加强自动化威胁管理与防护在企业应用和业务威胁管理架构中的地位与能力,通过Bots识别、提高攻击成本、可视化展示等多维度手段对各类Bots进行管理与威胁防护,是企业的必须配备。

配置与部署整合性的安全防护机制

选择支持WAF、Bot管理、API防护等多种安全能力的整合性防御机制,通过不同组件在不同场景下的独立或联合部署,帮助企业形成分层递进的防护策略与能力,令企业能够安全地将各类Web业务和应用交付在混合架构中,实现Web安全一体化防御。

对用户行为进行相应的审计

远距工作已成为常态,员工终端缺乏在办公环境的层层防护,更容易遭到恶意代码感染与钓鱼诈骗,大幅降低了账户盗用的门槛;同时,企业应用向云端迁移已成为不可逆的趋势,不但容易遭到外部入侵者的攻击,也使得内外共谋舞弊变得更为容易。因此,对合法用户操作行为进行审计,以及早发现可能的账号盗用、权限滥用与内外共谋舞弊等恶意行为,已成为后疫情时代必要的防护手段之一。

升级防护手段,构建更智能的主动安全防御机制

将企业防护理念由“被动防御”向“主动防御”转变,防护重心由“人防”向“技防”转变,借助AI人工智能技术、自动化响应机制等新手段,实现网络空间攻防对抗能力的持续升级,构建更智能的主动安全防御机制。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章