2020年是不寻常的一年。今年,黑天鹅疫情突袭,掀起了爆发“新基建”以5G、以大数据、人工智能、云计算为代表的新技术备受关注,远程办公、在线教育、直播带货等新兴产业迅速崛起。如果说这几年很多企业还在慢慢探索数字化转型升级的方式,那么在疫情的影响下,2020年的企业全面按下了信息化建设的加速键。
在这种情况下, *** 信息安全的情况变得越来越复杂,不仅 *** 安全覆盖的维度和领域急剧扩大,而且信息安全问题的后果也更加严重。据《金融科技新闻》报道(Fintech News)2020年,80%以上的公司遭受了 *** 攻击。阿科斯实验室(Arkose Labs)数据显示,2020年 *** 诈骗数量飙升20%,达到4.45亿次。
20212020年20年一样动荡吗?我们都希望不会。但有一点是肯定的:和往年一样,2021年,我们将继续面临新的、不断演变的 *** 安全威胁和挑战。
思考未来安全的几点
1.0day/Nday漏洞攻击继续增加 – 勒索攻击,后门木马植入加剧
疫情防控期间,可以说是中国数字时代更大的集体远程办公,不仅造成了个人办公和业务使用的突然变化,也带来了大量的 *** 攻击。瑞数信息安全专家指出,远程办公显著增加了漏洞曝光量,尤其是在自动化工具的帮助下, *** 罪犯可以在短时间内以更高效、更隐蔽的方式扫描和探索网站的漏洞,尤其是对于0day/Nday漏洞的全网探测将更加频繁和高效。之一次探测高峰已经通过了POC发布后一周,提前到达POC发布前。利用这些漏洞,过去一年流行的勒索攻击很可能在2021年变得更糟。企业不仅要面临网站数据无法使用的困境,还要准备被迫支付数千万赎金,遭受经济和声誉的双重打击;同时,黑客植入后门或木马会更容易,但指数级安全风险和大规模传播后的后续损失将更理。
2.“企业上云”并不代表“安全上云”- 云账户安全处于危险之中
虽然由于疫情的影响,企业上云在2020年呈现出无与伦比的增长率,但云的安全性仍然是一个关键问题。随着企业上云,外云服务暴露的攻击面不断增加,漏洞曝光利用、账号盗窃、秘密盗窃等攻击可以轻松实现。同时,疫情也给黑客更多的时间和精力挖掘漏洞或开发更有针对性的攻击工具,比如Openbullet已开发并应用于密码猜测和碰撞的通用化工具Azure cloud等云服务平台,对账户的攻击门槛进一步降低。
3.网上交易屡创新高 – 业务欺诈风险飙升
20202000年,新冠肺炎的普及大大加快了企业业务向线上虚拟化转移的步伐,直播带货等新模式的兴起使得线上交易异常活跃。但在 *** 秒杀、百亿补贴、优惠券发放等各种营销活动层出不穷,各大平台业绩屡创新高的同时,业务欺诈风险也飙升。薅羊毛、刷单、虚假账号、虚假流量、电信诈骗等业务欺诈在各个行业蓬勃发展。以某银行网上申请信用卡业务为例,根据瑞数信息观察,业务开放之一天短短一小时内就收到了近3万份信用卡申请,其中75%是自动化工具发起的虚假申请。据统计,电子商务行业在整个行业的欺诈流量中所占比例21.7%,15.2%欺诈流量流向航空、铁路等旅游业,金融、游戏等行业是欺诈的重灾区。
4.5G加速 - 移动终端应用安全内忧外患
伴随着过去一年5G加速普及和“宅家”在新生活模式的影响下,短视频娱乐、直播、云互动等场景的普及带来了移动设备用户规模和流量的爆炸性增长,许多平台甚至放弃了PC端转而专注于移动终端的开发和应用,移动终端消费市场迎来了一个持续扩张的时期。然而,移动应用程序真的安全吗?据报道,目前只有约36%的移动应用程序完全集成了安全性,而且大多数移动应用程序的安全系数非常低或根本不安全。瑞数信息安全专家指出,针对移动终端 *** 欺诈的快速增长,控制量大、隐蔽性强、稳定性强的云控制软件正在加速取代群控工具,成为 *** 罪犯的得力助手。除了传统的漏洞扫描、注入攻击、跨站脚本和 APP客户逆向、调试等问题,以及非法第三方APP请求,中间人攻击,API接口滥用、仓库碰撞、批量注册、刷卡、爬虫、通过插件程序或集团控制设备收集羊毛等业务安全风险。对企业平台的正常运行产生了严重的经济和业务影响,对企业商誉的负面影响更加不可估量。
5.频繁的业务应用交互 – API数据安全问题严重
API 已成为数字业务生态系统的支柱,是加快企业业务创新和应用开发的动力。随着远程办公、在线办公等工作方式的快速增长,企业依赖API调用来整合大量的系统,实现业务之间的互动。根据调查,目前每个企业的平均管理超过350种API,其中69%的企业将这些API在金融和零售业向公众及其合作伙伴开放API在应用调查中发现,API 流量占83%以上。虽然开放API它承担了拓宽企业技术和服务生态系统的责任,但也给了攻击者一个机会。以金融业为例,尽管它是开放的API 促进了银行业服务能力和服务渠道的全面授权,但随着API数据泄漏和欺诈风险对金融业务安全构成了新的挑战。Gartner预计到2022年,API滥用会导致企业Web最常见的攻击 *** 是应用数据泄漏。
6.业务应用形式多样化 - 企业呼唤整合型的安全防护机制
随着企业数字化进程的不断递进和业务向云端迁移的大趋势,移动服务、开放银行等愈加广泛与多样的业务应用形态,正促使当前Web服务化的应用架构(API、可编程)架构,攻击场景逐渐从传统的漏洞利用转向商业欺诈,各种智能化、拟人化Bots自动工具快速升级了黑客攻击手段。显然,传统的漏洞保护WAF能力已不能满足企业的实际场景需求,建立一体化的安全防护机制势在必行。Gartner指出到2023年,面向公众的超过30%Web应用程序和API将受到云WAF和API防护服务(WAAP)的保护,WAAP服务结合分布式拒绝服务(DDoS)防御,机器人程序缓解(Bot Mitigation)、API保护和WAF。
7.AI 武器更聪明– 自动攻击防御门槛提高
2020年,AI人工智能作为前沿科技持续吸引着 *** 恶意利用者的目光。得益于人工智能的数据挖掘和分析能力,攻击正变得更为聪明和大胆,并逐渐向拟人化和精密化的方向发展。它们不仅能够通过快速查明防御系统或环境中存在的漏洞,精确针对特定薄弱区域定制并发起大规模攻击,还能模拟合法行为模式以绕开和躲避安全工具。然而对于人类来说,随着安全事件接踵而至,大量的安全警报、潜在的威胁数量,单单是处理就已经很繁琐了,更何况是面对AI再次提高的攻击武器和自动防御门槛。那么如何使用呢?AI对抗AI武器是防守者在这场升级的网站安全战中应该关注的必要话题。
8.攻防对抗能力不断提升– 保护重心从“人防”到“技防”
*** 空间安全的本质是对抗。随着攻击者技术实力的不断提高和 *** 攻击面的不断扩大,攻击事件也在增加,企业对 *** 攻防对抗的建设需求不断涌现。近年来,《国家 *** 空间安全战略》、《 *** 安全法》、《 *** 安全等级保护2.0》随着一系列政策法规和标准的不断实施, *** 安全攻防演习逐渐成为惯例。2021年,随着企业越来越重视 *** 安全和新一代信息技术的深入应用, *** 安全向更深层次渗透, *** 安全攻防演习的重要性必将继续提高,企业的防护重点应逐步从“人防”过渡到“技防”,通过人工技术的结合,可以更好地解决批量自动化攻击和人工定点攻击,为企业提供应用安全和业务安全的双重保障,实现 *** 空间攻防对抗能力的持续升级。
瑞数安全专家建议
加强企业自动化威胁管理和保护
随着自动化威胁的发展,通过企业应用和业务威胁管理架构中的地位和能力得到加强和保护Bots识别、提高攻击成本、可视化显示等多维手段Bots企业必须配备管理和威胁保护。
安全安全防护机制的配置和部署
选择支持WAF、Bot管理、API通过不同组件在不同场景下的独立或联合部署,帮助企业形成分层渐进的防护策略和能力,使企业能够安全地进行各种防护Web在混合架构中交付业务和应用Web安全一体化防御。
对用户行为进行相应的审计
远程工作已成为常态,员工终端在办公环境中缺乏层层保护,更容易被恶意代码感染和钓鱼欺诈,大大降低了账户盗窃门槛;同时,企业应用向云迁移已成为不可逆转的趋势,不仅容易受到外部入侵者的攻击,而且使内外欺诈更容易。因此,审计合法用户的操作行为,及早发现可能的账户盗窃、滥用权限和内外欺诈,已成为后疫情时代必要的保护手段之一。
升级防护手段,构建更智能的主动安全防御机制
企业保护理念的原因“被动防御”向“主动防御”转变,保护重心“人防”向“技防”转变,借助AI人工智能技术、自动响应机制等新手段,实现 *** 空间攻防对抗能力的持续升级,构建更智能的主动安全防御机制。