回顾过去一年,网络安全形势已然变得更加复杂。随着云计算、大数据、物联网、人工智能等技术的发展,网络威胁持续进化,变得更加棘手、难以应对。同时,网络攻击手段更为多样,数据泄露、勒索软件、APT攻击等安全事件频发。
在疫情常态化的趋势下,可以预见2022年的网络安全形势依然严峻。人类社会高度互连,网络攻击并非遥不可及之物,这就需要对现有的和潜在的风险有所了解,并且知晓如何做才能降低这些风险。对此,瑞数信息作为国内前沿的互联网应用安全防护企业,对2022年的网络安全攻击趋势进行了简要预测,并给出了相应的防护建议。
2022年网络攻击将呈现六大趋势
趋势1:安全漏洞攻击持续增加——攻击者加强0day漏洞侦查能力,内网Web应用保护不足
网络空间中,大部分的安全问题都源自内网。攻击者普遍会利用Web应用漏洞对内网进行渗透,以达到控制整个内网、获取大量有价值信息的目的。
据国家信息安全漏洞共享平台(CNVD)统计,2020年共收录安全漏洞20704个,继续呈上升趋势,同比增长27.9%,2016年以来年均增长率为17.6%。其中,0day漏洞数量为8902个(占 43.0%),同比增长56.0%。
2022年,企业内网的安全漏洞数量还将不断增加,甚至变得越来越复杂。由于内网Web应用的保护严重不足,攻击者利用安全漏洞的攻击行为将变本加厉,尤其借助自动化的工具,在短时间内以更高效、隐蔽的方式对Web进行漏洞扫描和探测,使得企业面临更为严重的安全风险和损失。
同时,攻击者会进一步加大事前的努力,在攻击准备阶段花费更多的时间和精力来搜寻0day漏洞,并利用新的技术将攻击扩展到更广泛的网络环境,无疑加大了企业应用防护的难度。
趋势2:勒索软件数量继续上升——勒索软件成为最大的安全威胁,对医疗行业的攻击加剧
近几年,勒索软件攻击态势愈发严重,不仅数量有了较大增长,赎金、企业修复成本等也翻倍增长,勒索软件成为当今社会最普遍的安全威胁之一。据Cybersecurity Ventures研究表明,2021年全球勒索软件的损失成本预计将达到200亿美元,比2015年高出57倍。此外,据剑桥大学研究表明,勒索软件攻击的保险索赔在过去五年中以惊人的速度增长,2020年,在所有的网络攻击保险索赔中,勒索软件以54%的占比高居第一。
可以预见,2022年勒索软件数量还将显著增长,攻击者的数量也将达到空前的程度。同时,勒索软件攻击也将迅速蔓延至整个攻击面,勒索软件威胁将无处不在。
从行业影响看,勒索软件攻击对金融、教育、医疗等各行各业构成了严重威胁,但医疗机构因其丰富的医疗设备和患者信息成为了攻击者的最佳目标。据FBI发布的安全通告显示,在过去一年内至少发现了16起针对美国医疗和应急响应机构的Conti勒索软件攻击,该勒索软件在全球攻击了超过400家医疗和应急响应机构。
2022年,勒索软件对医疗行业的攻击还将持续加剧。在这种形势下,医疗机构的IT团队将面临空前挑战。
趋势3:数据安全风险加剧——数据泄露的规模更大、成本更高,应用数据安全面临更大挑战
据Canalys发布的《网络安全的下一步》报告显示,2020年数据泄露呈现爆炸式增长,短短12个月内泄露的记录比过去15年的总和还多。
进入2022年,数据泄露还将继续增加,规模会更大,各国政府和企业将付出更多的代价来进行恢复,损失的成本不仅限于事件响应成本、数据备份成本、系统升级成本,还包括声誉损失成本、法律风险成本等隐性成本,其损失甚至数倍、数十倍于显性损失。
数据泄露的主要原因源于Web应用程序攻击、网络钓鱼和勒索软件。其中,对Web应用程序的攻击仍是黑客行为的主要攻击方向。2022年,应用安全依然面临挑战,尤其是数据在应用中的安全值得企业重点关注。
趋势4:API攻击成为恶意攻击首选——利用API欺诈是黑产首选,API滥用是最常见攻击方式
在万物互联的数字时代,API承载着企业核心业务逻辑和敏感数据,支撑着用户早已习惯的互动式数字体验。根据Akamai的一项统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次。与此同时,针对API的攻击成为了恶意攻击者的首选,相对于传统Web窗体,API的性能更高、攻击成本更低,越来越多的黑客开始利用API进行业务欺诈。
事实上,很多企业并不清楚自己拥有多少API,也并不能保证每个API都具有良好的访问控制,被遗忘的影子API和僵尸API会带来重大的未知风险。据Gartner预测,到2022年API滥用将是最常见的攻击方式,为API构建安全防护体系势在必行。
趋势5:业务欺诈变本加厉——AI技术广泛用于欺诈,新型团伙欺诈频出
在社会高度智能化、技术应用门槛越来越低的今天,AI也成为诈骗者的目标和帮凶。伪造邮件、克隆声音、电话诈骗、人脸伪造等利用AI技术的业务欺诈手段层出不穷,反AI欺诈已经成为一个社会性的问题。
随着互联网行业快速发展,新型业务欺诈来势汹汹,呈现出团伙化、跨境化、精准化、多样化等特征,出现了如:公共Wi-Fi欺诈、刷单薅羊毛、线下人力资源机构黑产、投资理财类诈骗、虚假交易网站诈骗、虚假中奖类等多种欺诈案例,给企业和个人造成了巨大的损失。据Juniper Research研究发现,在2021年至2025年期间,在线支付欺诈造成的商家损失将累计超过2060亿美元,这个数字相当于亚马逊2020财年净收入的近10倍。在新的一年里,如何以“魔法打败魔法”,用技术手段来解决新型业务欺诈问题,将成为市场和行业共同努力的方向。
趋势6:供应链安全告急——第三方组件造成的供应链漏洞攻击加剧,供应链恶意软件数量上升
针对单一供应商的攻击引发的连锁反应,可能危及整个供应商网络。有研究表明,当今平均Web应用程序包含超过1000个代码依赖项,其中一些突破了2000个标准。从安全角度来看,这些第三方代码中的每一个,实际上都可以用作将恶意代码注入应用程序的攻击媒介。
随着开源、云原生等技术的大范围应用,下一代软件供应链威胁也正在逐渐爆发。据Forrester研究表明,应用软件80%-90%的代码来自开源组件。全球对开源代码的旺盛需求,将导致Web应用供应链攻击在2022年进一步成熟,范围扩大,并且更加复杂,预计使用恶意软件进行Web应用供应链攻击的数量将不断攀升。
同时,下一代Web应用供应链攻击正在到来,其显著特点是刻意针对“上游”开源组件,进行更主动的攻击,攻击者会主动将新的漏洞注入为供应链提供支持的开源项目中。因此,下一代Web应用供应链攻击将更加隐蔽,也将有更多的时间对下游企业展开攻击,危险性将更高。
2022年网络安全三大防护建议
建议1:由WAF走向WAAP
随着企业数字化进程的不断加速,更多的门户网站、核心业务、交易平台等日益依赖Web、APP、H5、微信等多渠道开展。与此同时,越来越多的开放性API业务也正在蓬勃发展。伴随流量的提升,API业务带来的Web敞口风险和风险管控链条的扩大,不仅各种利用Web应用漏洞进行攻击的事件正在与日俱增,各类工具化、智能化、拟人化的Bots攻击对数字化业务的影响也在快速攀升。
然而,现有的Web安全服务彼此之间常常出现难以融合的局面,无法实现统一的安全服务闭环。Gartner指出,到2023年,30%以上面向公众的Web应用程序和API将受到云Web应用程序和API保护(WAAP)服务的保护,WAAP服务结合了分布式拒绝服务(DDoS)防御、机器人程序缓解(Bot Mitigation)、API保护和WAF。
瑞数信息专家认为,传统WAF技术面临各种挑战,单一的WAF产品已不足以解决无处不在的安全风险,防御新的威胁需要一种整体的、集成的安全方法,即从WAF走向WAAP,将本地、各类云端充分整合,支持WAF、Bots管理、API防护独立或联合部署,提供多层级的联动防御机制,令企业安全地将各类Web业务和应用交付在混合架构中,实现Web安全一体化防御。
建议2:传统备份和灾备的局限,用户需要新一代融合安全能力的数据保护技术
数据作为新的生产要素,数据价值的利用已成为数字经济发展的重要推动力。然而,在勒索软件攻击不断迭代的环境下,传统的备份与灾备面对新兴的数据安全威胁已显得捉襟见肘。
一方面,传统灾备系统不会对备份数据的好坏进行检测,以至于备份数据中可能因勒索软件的攻击,存在大量被损毁的文件,恢复后的系统仍无法正常使用,造成部分企业即使有备份,仍然被迫支付赎金的后果。另一方面,传统灾备系统需要数天甚至数周的恢复时间,无法满足快速恢复的应急响应需求,将业务中断的损失降至最低。
因此,新一代数据安全技术的建设已刻不容缓。瑞数信息专家建议,加强备份和复制数据的安全性,保证快速的数据提供和安全的数据恢复,并深化数据处理环节的安全防护,让企业和行业的数据价值释放得到安全可靠的保障。
建议3:深化基于AI的行为检测
传统安全主要基于攻击特征与行为规则实行被动式防御,在灵活的黑客面前已逐渐失效,不仅是0day攻击、各类应用和业务欺诈,在数据泄漏和勒索层面更是堪忧;同时攻防对抗水涨船高,防守方规则的构造和维护门槛高、成本大。
瑞数信息专家认为,基于AI技术对用户行为模式进行智能分析与识别,将不再受制于复杂繁琐的攻击特征与行为规则,应进一步扩大使用场景,不仅应用于攻击趋势预判、高隐蔽性异常行为透视、未知威胁行为溯源等更智能的安全分析,也可以加强对于数据的破坏、篡改、加密勒索等数据威胁行为的识别检测,并通过更实时的安全预警及安全联防进一步缩短响应时间,提升了攻击门槛,在攻防格局中处于主动位置。