三大网络安全威胁持续频发

VSole2022-11-23 11:21:44

人们永远不能否认互联网带来的福祉,它使人们的生活变得更轻松、更简单。但网络世界也充满了各种类型的威胁。2022年上半年,全球重大网络安全事件频发,勒索软件、数据泄露、黑客攻击等层出不穷,且变得更具危害性,比如今年1月份,美国布劳沃德公共卫生系统公布了一起大规模数据泄露事件,超过130万人受影响。

随着技术的不断进步,网络攻击者的攻击成本不断降低,同时攻击方式更加先进,美国《福布斯》双周刊网站在近日的报道中,列出了2023年值得警惕的三大网络安全威胁:网络钓鱼、恶意软件、供应链攻击。

更多组织遭遇网络钓鱼

网络钓鱼仍然是全球面临的重大网络安全威胁之一。

网络钓鱼指通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息的一种攻击方式,其唯一目的是窃取个人或组织数据,包括登录凭据和信用卡卡号等。

今年人们在媒体上看到的大多数成功的网络攻击,都是从网络钓鱼开始的。比如,美国《纽约时报》在今年9月份援引优步发言人的话报道称,一名黑客入侵了该公司一名员工的办公通讯应用程序,并利用它向优步员工发送消息,这名员工被说服交出了一个密码,让黑客得以进入优步内部系统。

今年3月底,有黑客组织伪装成政府执法部门向互联网公司套取用户数据,以发送虚假法庭传票的方式获取目标特许数据。数据勒索团伙成功入侵了微软、英伟达、苹果等巨头内网窃取数据,包括用户的基本信息,如家庭住址、电话号码、IP地址等。

今年4月,电子邮件营销公司MailChimp披露其遭到黑客攻击,黑客利用内部客户支持和账户管理工具窃取用户数据,并进行网络钓鱼攻击。

美国的一项研究显示,与前一年相比,2021年有更多组织至少遭遇了一次基于电子邮件的网络钓鱼攻击。这一趋势预计将在2023年继续。

软件勒索事态恶化

恶意软件是以恶意意图编写的软件的统称,包括病毒软件、勒索软件和间谍软件。恶意软件威胁可能会导致计算机系统、服务器或公司网络中断,还可能导致私人信息泄露。

目前,世界上最流行的恶意软件攻击类型之一就是勒索软件攻击。攻击者获得对信息或系统的未经授权访问,或完全剥夺用户对信息的访问权限,直到公司或用户向黑客支付一定金额的钱,才能恢复对数据的访问或解密。

例如今年1月,美国新墨西哥州最大的县就受到勒索软件攻击的影响,导致多个公共事业部门和政府办公室系统下线,此次勒索软件攻击还致使监狱系统下线。今年2月底,全球芯片制造巨头英伟达被曝遭到勒索软件攻击,入侵者成功访问并在线泄露了员工私密信息及登录数据,黑客向英伟达索取100万美元的赎金和一定比例的未指明费用。

除了对系统的访问被阻止外,实施恶意软件攻击的犯罪者还可能在网上发布机密数据。比如今年3月,国际黑客组织“匿名者”宣布,他们成功入侵了全球最大食品制造商雀巢公司的网络,并披露了10吉字节的敏感数据,包括公司电子邮件、密码和与商业客户相关的数据。相关数据显示,2020年全球超过1000家公司因未向勒索软件要求低头而遭到数据泄露。

瑞士网络安全公司Acronis此前发布警告说:“勒索软件事态正在恶化,甚至比我们预期的还要严重,预计到2023年,全球勒索软件损失将超过300亿美元。”

供应链攻击呈爆发增长

《福布斯》双周刊网站在报道中指出,许多公司花费时间和金钱来保护外围和内部系统,但很少关注第三方——包括供应商、合作伙伴、承包商和服务提供商的网络安全,网络供应链攻击因此趁虚而入。

供应链攻击指的是对于供应链所发动的网络攻击。攻击者会将供应链作为攻击对象,先攻击供应链中安全防护相对薄弱的企业,再利用供应链之间的相互连接,如软件供应、开源应用等,将风险扩大至上下游企业,产生攻击涟漪效应和巨大的破坏性。供应链攻击的手段包括:利用第三方应用程序、利用开放源代码库中包含的漏洞等等。供应链攻击往往牵涉到更多的企业,且更具破坏性,甚至会给整个行业带来巨大的影响。

近年来,供应链攻击事件呈现爆发增长的态势,欧洲网络和信息安全局发布的《供应链攻击的威胁分析》报告指出,和2020年相比,2021年供应链攻击已经显著提升。以色列一项研究表明,与2020年相比,2021年软件供应链攻击增长了300%以上,这一趋势预计还会持续增加。

网络安全供应链系统
本作品采用《CC 协议》,转载必须注明作者和本文链接
分析技术如今已经成为企业管理业务的基础,分析带来的一些好处实际上是相互叠加的。 越来越多的企业正在使用分析来增强其安全性。他们还使用数据分析工具来帮助简化物流流程,并确保供应链更有效地运作。这些企业意识到,分析对于帮助提高供应链系统的安全性是无价的。 到2026年,全球安全分析市场规模将超过250亿美元。人们需要了解分析在供应链安全中的更多好处。
信息通信技术(ICT)供应链包括硬件供应链和软件供应链,通常涵盖采购、开发、外包、集成等环节。其最终的安全很大程度上取决于这些中间环节,涉及到采购方、系统集成方、网络提供方以 及软硬件供应商等【1】。ICT 供应链是所有其他供应链的基础,是“供应链供应链”【2】。
美国于2021年5月12日发布了《关于改善国家网络安全》的第14028号行政命令(以下简称“EO”),明确要求美国联邦政府加强软件供应链安全管控。EO的第4节指示美国国家标准与技术研究所(以下简称“NIST”)征求私营部门、学术界、政府机构等多方面的意见之后提供用于增强软件供应链安全性的相关标准、最佳实践与指南等内容。现有的行业标准、工具和推荐的做法源自NIST的SP 800-161。 在EO发布
2021年3月4日,美国政府问责办公室GAO发布《武器系统网络安全指南》,称国防部在改善武器平台的网络保护方面取得了重要进展,但仍需要在武器系统合同中提高对网络安全的要求。报告首先阐述了国防部将网络安全融入武器系统研制之初取得的进展;其次审查了国防部和各军种将武器系统网络安全要求纳入合同或指南的情况;最后为陆军、 海军和海军陆战队如何将定制的网络安全要求纳入采办合同提出了建议。
鉴于国家关键基础设施和重要资源(Critical Infrastructure and Key Resources, CIKR)对ICT技术的依赖,通过国家安全审查识别和控制ICT供应链风险成为保障国家安全的重要手段。国外的做法通常是利用与外国投资相关的国家安全审查手段,我国则是利用网络安全审查的方式,这在我国的《国家安全法》中有所提及,网络安全审查是国家安全审查在关键信息基础设施保护方面的延伸。
美国 2022 版《国家安全战略》指出,美国面临巨大挑战和前所未有的机遇,正处于塑造国际秩序未来的战略竞争中。未来,美国网络安全政策必将影响全球网络空间态势,对其他国家网络空间安全和互联网企业发展带来重要挑战。
自2020年底政府和企业网络遭受大范围SolarWinds攻击以来,美国加快推出软件供应链安全的各类措施。
区分角色的指南更便于软件供应链各参与方明确自己的目标和责任、形成协作机制。
在当前国际严峻的威胁形势下,网络安全面对的挑战依然严峻,合规建设任重而道远。
VSole
网络安全专家