2021 关于未来安全的几点思考

2020年是不同寻常的一年 。今年,疫情黑鸟事件袭击,掀起了新基础设施的热潮,以5G、大数据、人工智能、云计算等为代表的新技术备受瞩目,远程办公室、在线教育、直播等新兴产业迅速崛起 。过去几年,如果很多企业都在慢慢探索数字转型升级的道路,受疫情的影响,2020年的企业全面按下了信息化建设的加速键 。在此背景下,网络信息的安全状况也越来越复杂,不仅网络安全垄断的维度和领域急剧扩大,信息安全问题的结果也更加严重 。据《金融科技新闻》报道,2020年,80%以上的公司遭受的网络攻击增加了 。而来自阿科斯实验室(Arkose Labs)的数据显示,2020年网络诈骗数量飙升了20%,达到4.45亿次 。

2021年还会如同2020年一般动荡吗?我们都希望不会 。但是,与过去的任何一年相同,2021年,我们将继续面临新的、不断进化的网络安全威胁和挑战 。

关于未来安全的一些思考

1.0day/nday脆弱性攻击持续增加ndash的恐吓攻击、后门木马植入变本加强

疫情对策期间,可以说是中国数字时代最大规模的集体远程办公室,不仅产生了个人办公室和业务使用的突发变化,还带来了很多网络攻击 。瑞数信息安全专家指出,远程办公室暴露脆弱性的数量显着上升,特别是利用自动化工具,网络犯罪者可以在短时间内以更高效、更隐蔽的方式扫描和检测网站,特别是0day/Nday脆弱性的网络检测,更频繁、更高效,首次检测高峰已经在POC发布后一周,提前到POC发布前 。利用这些脆弱性,过去一年流行的恐吓攻击在2021年变得严重的可能性很高,企业不仅面临网站数据不能使用的困境,还准备支付数千万的赎金、经济和名誉双重打击,同时移植后门和木马对黑客来说也很容易,但是大规模扩散后产生的指数级安全风险和后续损失是不可估量的

2.企业上云并不代表安全上云- 云账号安全岌岌可危

尽管由于疫情影响,企业上云在2020年展现出无与伦比的增速,但云的安全性仍然是一个关键问题 。伴随企业上云,对外云服务暴露的攻击面持续增多,漏洞曝光利用、账号盗取与窃密等各种攻击能够轻易达成 。同时,疫情也给了黑客更多的时间和精力挖掘漏洞,或者开发更多针对性攻击工具的机会,如Openbullet等针对密码猜测和冲击库的通用化工具已经开发并应用于Azure门cloud等云服务平台,进一步降低了对帐户的攻击门槛 。

3.线上交易屡创新高 ndash; 业务欺诈风险飙升

2020年,新冠病毒大流行极大地加速了企业业务向线上虚拟化转移的步伐,直播带货等新模式的兴起更使得线上交易异常活跃 。但是,限量秒杀、百亿补助金、消费券发行等各种市场营销活动陆续出现,各大平台业绩多次达到最高,同时业务欺诈风险也急剧增加 。薅羊毛、刷单刷量、虚假账号、虚假流量、电信诈骗等业务欺诈行为在各行业繁荣生长 。以某银行网上申请信用卡业务为例,瑞数信息显示,业务开放第一天短短一小时内收到近3万次信用卡申请,其中75%的申请是自动化工具开始的虚假申请 。据统计,电子商务行业在整个行业的欺诈流量中占21.7%,15.2%的欺诈流量流向航空、铁路等旅游行业,金融、游戏等行业是欺诈的重大灾区 。

4.5G加速,受到移动终端应用安全内忧外患

过去一年,随着5G的加速普及和住宅新生活模式的影响,短视频娱乐、直播、云交流等场景的人气带来了移动终端设备的规模和流量的爆炸性增加,很多平台放弃了PC终端的转移,专注于移动终端消费市场然而移动端应用真的安全吗?据报道,目前仅有约36%的移动应用完全集成了安全,大多数移动应用的安全系数都很低,或者根本不安全 。瑞数信息安全专家指出,对移动终端的网络欺诈迅速增加,控制量更大,隐蔽性更强,更稳定的云控制软件代替群控制工具,成为网络犯罪者的有力助手 。除了传统的漏洞扫描、注入攻击、跨站脚本和APP客户端的反向、调整等问题外,还有非法第三方APP请求、中介攻击、API接口滥用、冲击库、批量注册、刷子、爬虫类、插件、组织设备等业务安全上的危险 。对企业平台的正常运营造成了严重的经济和业务影响,对企业营业权的负面影响更是不可估量 。

5.业务应用互动频繁,API数据安全问题严重

API已成为数字业务生态系统的支柱,是加快企业业务创新和应用开发的动力 。随着远程办公室、在线办公室等工作方式的迅速上升,企业依靠API调用来整合大量的系统和业务互动 。据调查,目前各企业平均管理350种以上的API,其中69%的企业将这些API开放给大众和合作伙伴,在金融和零售业的API应用调查中,API的流量超过83% 。开放API承担了扩大企业技术和服务生态系统的责任,但也给了攻击者乘坐的机会 。以金融行业为例,尽管开放API推进了银行业服务能力和服务渠道的全面对外能力,但随着API调用数量的增加和自动化工具的兴起,其数据泄露和欺诈风险对金融业务安全构成了新的挑战 。Gartner也预测,到2022年,API滥用将成为导致企业Web应用数据泄漏最为常见的攻击方式 。

6.业务应用形态多样化——企业呼叫整合型安全防护机制

随着企业数字化进程的不断推进和业务向云转移的大趋势,移动服务、开放银行等越来越广泛和多样化的业务应用形态显然,传统的面向漏洞防护的WAF能力已经无法满足企业的实际场景需求,整合型的安全防护机制建立势在必行 。Gartner指出,到2023年,30%以上的网络应用程序和API将受到云WAF和API防护服务WAAP)的保护,WAAP服务将分布式拒绝服务(DDOS)防御、机器人程序的缓和、API保护和WAF相结合 。

7.AI武器更聪明了 ndash; 自动化攻击防御门槛提高

2020年,AI人工智能作为前沿科技持续吸引着网络恶意利用者的目光 。由于人工智能的数据挖掘和分析能力,攻击更加聪明大胆,向拟人化和精密化的方向发展 。它们不仅能够通过快速查明防御系统或环境中存在的漏洞,精确针对特定薄弱区域定制并发起大规模攻击,还能模拟合法行为模式以绕开和躲避安全工具 。然而对于人类来说,随着安全事件接踵而至,大量的安全警报、潜在的威胁数量,单单是处理就已经很繁琐了,更何况是面对AI加持的攻击武器和再次提高的自动化防御门槛 。因此如何利用AI对抗AI武器,是这场升级的网站安全战中防守方应当着重思考的必须话题 。

8.攻防对抗能力持续升级 ndash; 防护重心从人防到技防

网络空间安全的本质是对抗,随着攻击者技术实力的不断提高和网络攻击面的不断扩大,攻击事件也不断增加,企业不断涌现出对网络攻防对抗的建设需求 。加以近年来《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策法规、标准的持续落地,网络安全攻防演习活动已经逐渐成为惯例 。2021年,随着企业对网络安全的重视和下一代信息技术的深入应用,网络安全渗透到更深层次,网络安全攻防演习活动的重要性将继续提高,企业防护重心将逐渐从人防转向技防,通过人技结合,更好地解决批量自动攻击和人为定点攻击,为企业提供应用安全和业务安全的双重保障,实现网络空间攻防对抗能力的持续升级 。

瑞数安全专家建议

加强企业自动威胁管理和防护

随着自动威胁发展的加强,加强自动威胁管理和防护在企业应用和业务威胁管理框架中的地位和能力,通过Bots识别、提高攻击成本、视觉展示等多维手段

配置与部署整合性的安全防护机制

选择支持WAF、Bot管理、API防护等多种安全能力的整合性防御机制,通过不同组件在不同场景下的独立或联合部署,帮助企业形成分层递进的防护策略与能力,令企业能够安全地将各类Web业务和应用交付在混合架构中,实现Web安全一体化防御 。

对用户行为进行相应的审计

远程工作已经成为常态,员工终端在办公环境中没有层次的保护,容易受到恶意代码感染和钓鱼欺诈,在大幅度降低账户被盗的门槛的同时,企业的应用向云转移因此,审计合法用户的操作行为,发现可能盗用账户、滥用权限和内外共谋不正当行为等恶意行为,成为后疫情时代必要的防护手段之一 。

升级防护手段,构建更智能的主动安全防御机制

【2021 关于未来安全的几点思考】将企业防护理念由被动防御向主动防御转变,防护重心由人防向技防转变,借助AI人工智能技术、自动化响应机制等新手段,实现网络空间攻防对抗能力的持续升级,构建更智能的主动安全防御机制 。

    推荐阅读