2023年2月美国两党政策中心(Bipartisan Policy Center)发布了题为《网络安全中最大的风险2023》的报告,以期为企业和政府决策者提供识别并管理网络安全风险的框架。

一、宏观网络安全风险

两党政策中心提出了最主要的八项宏观网络安全风险,并认为这八项风险是最具影响力的网络安全风险。

一是不断变化的地缘政治环境。受到国际冲突加剧和民族主义的广泛影响,全球多边地缘政治格局加速演变。俄罗斯和乌克兰的战争导致网络攻击和对关键基础设施的破坏日益增多,并且这场战争有蔓延到冲突地区以外的风险。

二是网络军备竞赛加速。网络安全的基本性质正在发生变化,但几十年前的网络攻击方式仍然有效,随着攻击者的每一次创新,防御者必须找出针对过去、现在和未来网络攻击的防御方法,在攻击者和防御者之间展开“军备竞赛”。随着技术的进步和数字化的发展,2023年网络安全专业人员要重点保护的领域将呈现指数级增长。

三是全球经济不稳定。股市波动和高通胀影响了全球需求,并引发了对全球供应链和世界经济关键要素的冲击。对2023年市场继续波动和利率上升的预期加剧了不稳定的地缘政治环境,并给整个网络安全部门带来了风险,包括人员、预算等方面。

四是重叠、冲突和主观化的合规要求。在美国乃至全球范围,美国公司需要遵守不同的地方当局、州政府、联邦政府发布的网络安全、数据安全要求,不同地方的法律要求各不相同。随着法律法规的增加,可能会给本地的跨国公司带来更大合规挑战。

五是公司治理滞后。尽管大型公司已在公司董事会和高级领导职位中增加网络安全人才,但许多公司仍未设立此类职位。公司管理人员缺乏足够的专业知识来有效管理网络安全,使得公司处于一个不确定和充满挑战的经营环境中。其中,中小企业面临更大的网络安全风险。

六是缺乏投资、准备和韧性。目前,公共部门和私营部门都没有对重大网络安全事故进行充分准备和投资,在2023年仍然是一个巨大的漏洞。为危机准备的自满心态也可能导致不利的财务后果或者机密信息的丢失,可能会导致数据泄露、网络钓鱼攻击和其他风险。对第三方和第四方运营商的依赖也可能给网络系统带来额外的风险。

七是脆弱的基础设施。美国关键基础设施尤其面临着网络安全威胁,美国CISA将关键基础设施定义为“社会赖以维持国家安全、经济活力以及公共健康和安全的资产、系统、设施、网络和其他要素”。关键基础设施中很多系统都严重依赖国家和地方机构以及可能缺乏必要网络安全控制的第三方和第四方供应商,这种依赖性可能导致巨大的网络安全风险。

八是人才短缺。“大辞职”、远程工作、云计算、人工智能、消费者通胀压力以及其他因素导致很多机构难以留住网络安全人才。目前,安全运营中心需要不断雇佣熟练的员工来抵御云存储和智能驱动中的网络攻击威胁。如果没有掌握熟练技能的网络安全人员来应对这些新挑战,相关机构的安全防御能力将很快下降。

二、显著网络安全风险

显著网络安全风险是宏观网络安全风险之外值得重点关注的风险类型,其又分为战略层面风险和操作层面风险。战略层面风险是代表网络安全问题宏观层面的已识别风险,虽然没有与其相关的具体威胁,但随着时间的推移此类风险可能会成倍增加。操作层面风险代表网络安全运营的微观威胁,来自实践部门的直接经验。

(一)战略层面风险

1、个人可识别信息(PII)的第三方保护仍需加强。PII是指可用于识别个人身份的任何信息,数据控制者通常会出于各种目的与第三方(如服务提供商或合作伙伴)共享PII,因此保护个人隐私安全的立法和措施仍需加强和完善。

2、缺乏统一定义的安全标准。在网络安全背景下,安全标准被定义为合理和谨慎的网络安全做法。但由于各行业和经济体的安全需求广泛,因此并没有产生公认的标准。该标准包括定期更新软件和安全系统,培训员工,采用防止未经授权访问敏感信息的政策和程序等。

3、违约规模和严重程度增加。网络犯罪统计数据表明,网络攻击的数量每年增加15%,并且,远程工作也为网络安全带来的新的挑战,数据泄露可能危及家庭网络和个人设备。随着全球威胁的增长,几乎每个行业都必须实施新的战略并迅速适应,否则,攻击者可能会调整方法以应对新措施。

4、投资者安全透明度规则需落实。2022年,美国证券交易委员会提出了新的网络安全风险管理规则,要求投资顾问和上市公司披露网络事件。美国两党政策中心支持这一行动,并认为需要更清楚地说明事件可报告的阈值,以及事件发生的时间、被发现的时间和达到可报告阈值的时间差。

5、白领网络犯罪研究需加强。白领网络犯罪是指为获取经济利益而在网上进行的非暴力的非法活动,包括知识产权盗窃、计算机黑客、信用卡欺诈、身份盗窃、网络钓鱼等。联邦法律对这类犯罪规定了严厉的惩罚。为了加强对网络犯罪的应对,需要在恢复数字证据等方面有经验丰富的计算机专家。由于白领网络犯罪在刑事司法中是一个相对较新的概念,因此很少有关于技术对白领犯罪的影响以及白领犯罪行为的诱因的研究。

6、强制互操作性要求需落实。美国国会起草了在线平台的互操作性要求,要求它们通过应用程序编程接口(API)开放服务,以增加市场竞争。尽管这项立法尚未通过,但它表明了该行业新的监管方式的潜力。这种整合可以促进共同标准的实现,从而提高网络基础设施的稳定性。

7、无效的信息共享。通过积极主动的信息共享进行跨部门合作,对于提高国家抵御网络攻击的能力越来越重要。一些著名的网络威胁情报报告机制包括结构化威胁信息表达(STIX™)以及MITRE的对抗战术、技巧和常识框架(ATT&CK™)。在政府机构和公司之间,阻碍信息共享的问题是报告的及时性、数据的相关性和复杂性。

8、社会工程攻击。社会工程攻击会利用心理学操纵人们作出共享敏感信息或是允许访问相关系统的行为。与其说是网络攻击,不如说是一场心理游戏,全世界有数百万人上当受骗,成为受害者。许多欺诈者的目标是网络安全意识有限的老年人。

9、加密货币成为犯罪的辅助手段。加密货币在犯罪活动中使用非常普遍,例如比特币易于转移和存储,可以在世界任何地方匿名买卖,并且交易是永久的。在勒索软件交易中,大多数黑客都要求使用比特币支付,这种货币也用于暗网交易。网络犯罪在加密货币本身也非常普遍,在过去几年中,加密欺诈激增,随着加密货币作为网络犯罪支付手段,犯罪灵活性增加,限制了当局追踪和扣押非法资产的能力。

10、商业监控构成对隐私保护的威胁。使用可追踪和监控个人活动的商业产品对隐私和网络安全构成严重威胁。行为者可以利用商业上的产品进行间谍活动。目前,商业监控产品的数量已使得当局很难监管和控制使用这些产品的人。

(二)操作层面风险

1、Cookie盗窃。Cookie盗窃是一种中间人攻击,它捕获用户的Cookie,以接管用户的账户。此信息可能包括与特定登录相关联的用户名、密码或会话ID。这通常发生在公共WIFI网络上,但也可以通过直接安装在机器上的恶意软件或跨站点脚本捕获。

2、身份验证。身份验证在一些重要的系统中用来区分用户,例如金融、医疗卫生或政府服务。目前的重大挑战是,不法分子使用远程身份验证工具窃取用户身份,导致了数十亿美元的损失。

3、对开源软件的依赖。在网络安全方面,开源软件允许用户检查源代码并识别任何可能存在的漏洞。当发现一个错误时,它会影响所有包含该代码的系统。如果开发人员不积极维护开源软件,就会导致无法修补的漏洞。开源软件也容易成为分发恶意软件的一种方式。

4、内部威胁、勒索、未经验证的信任。美国网络安全和基础设施安全局(CISA)确定了四种类型的内部威胁:疏忽或意外、故意、串通和第三方威胁。除了存在于内部的威胁外,不同类型的合作也可能增加内部勾结的风险,这些操作会导致对资本、敏感信息或专有数据的勒索。未经验证的信任是指内部人员利用其访问权限传播错误信息、恶意软件或实施网络钓鱼诈骗,或者访问一些薄弱的系统。

5、恶意软件商业化。许多犯罪分子正转向恶意软件即服务和勒索软件即服务(RaaS)来满足黑客需求,目前此类程序可以很容易地在暗网上找到。

6、支持内置应用程序安全防范措施。公司和其他人必须在技术开发过程中对安全因素进行事前考虑。虽然内置安全程序可能需要更长的时间,而且代价更高。但目前对网络安全的日益重视,此种措施将更容易实现。

7、基础控制失效。基础控制是指构成组织整体安全态势基础的基本安全措施,包括访问控制、密码和网络安全措施。随着时间推移,需要定期评估基础控制措施,以确保其有效。虽然基本控制对于计算机系统来说已经足够复杂,但相关技术在更新系统方面仍面临挑战。

8、证书受损。多年来,证书受损的危险主要局限于密码。但近年来,不法分子也发现了破坏一些多因素身份验证(MFA)的工具。传统的密码攻击侧重于暴力攻击和凭证填充,现在已经被更复杂的网络钓鱼攻击所加强。

9、数据解密。数据加密在网络安全中极其重要。许多用户认为,如果他们对数据进行加密,数据就是安全的。然而,一些加密算法已经被破坏,一些秘钥也可以通过暴力强制打开。随着加密算法被破解,系统必须更新更复杂的加密代码。