Published Date:  

每年我都会仔细研究网络安全领域的新兴统计数据和趋势,并就这些数据对行业和政府的潜在影响提供一些观点和分析。虽然网络安全能力和意识似乎正在提高,但不幸的是,网络攻击的威胁和复杂性也与这一进步相匹配。

2023 年数字生态系统

新兴的数字生态系统是危险的。在我们当前的数字环境中,每家公司现在都是可触及的目标,每家公司,无论大小,其运营、品牌、声誉和收入渠道都可能面临泄露风险。

2023 年及以后,重点需要放在网络攻击面和媒介上,以确定可以采取哪些措施来减轻威胁并增强弹性和恢复能力。随着用户的兴趣大大增加,威胁也随之增加,随着元宇宙变得更加在线,它将成为新的利用载体。人工智能和机器学习,同时非常适合研究和分析(即 ChatGPT)。然而,人工智能工具也可以被黑客用来进行高级攻击。深度造假已经开始部署,机器人也在继续猖獗。俄罗斯入侵乌克兰的地缘政治凸显了关键基础设施 (CISA Shields Up) 受到民族国家威胁的脆弱性,包括对网站和基础设施的更多 DDS 攻击。最不祥的是乌克兰卫星遭到黑客攻击。

以下是一些需要考虑的初步数字生态系统统计数据:根据德勤控制中心民意调查。 “在过去 12 个月中,34.5% 的受访高管表示,他们组织的会计和财务数据成为网络对手的目标。在该群体中,22% 的人至少经历过一次此类网络事件,12.5% 的人经历过不止一次。” “近一半 (48.8%) 的高管和其他高管预计,针对其组织的会计和财务数据的网络事件的数量和规模在未来一年将会增加。然而,只有 20.3% 的受访者表示,他们组织的会计和财务团队在网络安全方面与同行密切一致地合作。”近一半的高管预计网络攻击会针对会计和其他系统近一半的高管预计网络攻击会针对会计和其他系统 (northbaybusinessjournal.com)

网络趋势:

AI 和 ML 将在 2023 年及以后对网络生态系统产生重大影响

国际数据公司(IDC)表示,网络安全市场中的人工智能正以 23.6% 的复合年增长率增长,2027 年市值将达到463 亿美元请参阅: 专家预测人工智能将如何在 2023 年及以后为网络安全注入活力 |创业节拍

我的看法:人工智能和机器学习可以成为帮助我们应对网络安全形势的宝贵工具。具体来说,它可以(并且正在)用于帮助防范日益复杂的恶意恶意软件、勒索软件和社会工程攻击。人工智能的上下文推理能力可用于合成数据和预测威胁。

它们使预测分析能够得出统计推论,从而以更少的资源缓解威胁。在网络安全环境中,人工智能和机器学习可以提供更快的方法来识别新攻击、得出统计推论并将该信息推送到端点安全平台。

虽然人工智能和机器学习可以成为网络防御的重要工具,但它们也可以是一把两刃剑。虽然它可以用来快速识别威胁异常并增强网络防御能力,但它也可以被威胁行为者使用。敌对国家和犯罪黑客已经在使用人工智能和 MI 作为工具来查找和利用威胁检测模型中的漏洞。

网络犯罪分子已经在使用人工智能和机器学习工具来攻击和探索受害者的网络。无法承担对人工智能等防御性新兴网络安全技术进行大量投资的小型企业、组织,尤其是医疗机构是最脆弱的。黑客使用勒索软件进行勒索并要求通过加密货币付款可能会成为更加持久和不断演变的威胁。物联网的发展将为不法分子创造许多新的利用目标。行业和政府都迫切需要了解包括人工智能和机器学习在内的新兴网络威胁工具的影响,并加强防御攻击。

另请参阅最近的《福布斯》文章,该文章讨论了人工智能在网络安全方面的三个关键应用,包括网络漏洞监视和威胁检测、事件诊断和响应以及网络威胁情报报告的应用:查克·布鲁克斯 (Chuck Brooks) 和 Dr. 的《网络安全的三个关键人工智能应用》 . Frederic Lemieux 网络安全的三个关键人工智能应用,作者:Chuck Brooks 和 Frederic Lemieux 博士 (forbes.com)

2023 年迄今为止将探索的网络犯罪和网络统计

网络犯罪呈指数级增长。据 Cyber​​security Ventures 称,网络犯罪造成的损失预计在 2023 年将达到 8 万亿美元,到 2025 年将增至 10.5 万亿美元。请参阅: eSentire | 2022 年官方网络犯罪报告造成这种增长的因素有很多,下面将更详细地探讨其中一些因素。

84% 的代码库中发现开源漏洞

它从开源代码开始。不幸的是,据 Synopsys 研究人员称,84% 的代码库中至少发现了一个开源漏洞。该漏洞数据包含在 Synopsys 针对 2022 年数据的 2023 年开源安全和风险分析(OSSRA) 报告中。由于大多数软件应用程序都依赖于开源代码,因此这仍然是一个需要解决的重大网络安全问题。

报告指出:“我们今年检查的几乎所有内容都是开源的;它构成了各行业的大部分代码库。”报告称,并补充说,这些代码库包含大量令人不安的已知漏洞,而组织未能修补这些漏洞,因此很容易受到攻击。航天、航空、汽车、交通、物流等行业公司的代码库均包含部分开源代码,开源代码占代码总数的 73%。 “

尽管开源代码的风险非常大,但它们可以通过渗透测试,尤其是修补来检测。报告发现补丁显然没有被应用。它指出,“在研究人员检查的 1,481 个代码库中,其中包括风险评估,其中 91% 包含过时版本的开源组件,这意味着更新或补丁可用,但尚未应用。”

请参阅: 84% 的代码库中至少发现一个开源漏洞:报告84% 的代码库中至少发现一个开源漏洞:报告 |公民社会组织在线

黑客利用代码漏洞和开源缺陷的方式是通过零日漏洞。最近,一个勒索软件团伙利用新的零日漏洞窃取了 100 万医院患者的数据。 “社区健康系统 (CHS) 是美国最大的医疗保健提供商之一,在 16 个州拥有近 80 家医院,本周证实,犯罪黑客访问了多达 100 万患者的个人和受保护的健康信息。这家总部位于田纳西州的医疗保健巨头在向政府监管机构提交的文件中表示,数据泄露源于其使用名为 GoAnywhere MFT 的流行文件传输软件。 Clop 声称它大规模黑客攻击了 130 个组织,其中包括一家美国医院网络

我的看法:作为避免漏洞利用并保持开源代码更新的补救措施,报告建议组织应使用软件物料清单 (SBOMS)。我同意,除了笔测试之外,SBOMS 是映射系统和组织以提高网络安全性的重要方法。 SBOM 基本上是构成软件组件的成分列表,并作为正式记录,包含构建软件时使用的各种组件的详细信息和供应链关系。我在之前的一篇《福布斯》文章中广泛讨论了这一点。

在文章中,德米特里·雷德曼。 Cybeats 公司的首席技术官提供了对 SBOMS 特定用例的见解。它们包括软件来源和谱系的透明度、持续的安全风险评估、访问控制和与可以访问的客户以及可以看到哪些数据的客户共享、威胁情报数据关联、软件组合许可证分析和策略执行、软件组件生命周期终止监控、 SCRM - 供应链风险管理和供应链筛选、SBOM 文档存储库和编排、数据查询和检索的效率。

显然,SBOMS 是发现和纠正代码中开源漏洞的良好途径。请参阅:利用 SBOMS 加强网络安全风险管理利用 SBOMS 加强网络安全风险管理 (forbes.com)

2023 年网络钓鱼仍将是黑客的首选方法

网络钓鱼仍然是许多黑客的首选工具。网络钓鱼通常被定义为黑客窃取您的宝贵数据或传播恶意软件的一种技术。任何人都可能被有针对性的网络钓鱼所愚弄,尤其是当它看起来像是来自工作链上层人员、银行、组织或您可能经常访问的网站的个人电子邮件时。

技术的进步使黑客更容易进行网络钓鱼。他们可以使用现成的数字图形、应用社会工程数据和大量网络钓鱼工具,包括一些通过机器学习自动化的工具。网络钓鱼通常伴随着勒索软件,黑客的策略是将公司或组织的领导层作为目标(鱼叉式网络钓鱼),因为他们通常可以更好地访问有价值的数据并因缺乏培训而准备好目标。

据 Lookout 公司称,2022 年将出现历史上最高的移动网络钓鱼发生率,全球有一半的手机用户每个季度都会遭受网络钓鱼攻击。 Lookout 报告基于 Lookout 每天对超过 2.1 亿台设备、1.75 亿个应用程序和 400 万个 URL 进行的数据分析。该报告指出,“基于非电子邮件的网络钓鱼攻击也在激增,2022 年第二季度,vishing(语音网络钓鱼)、smishing(短信网络钓鱼)和 quishing(二维码网络钓鱼)增加了七倍。”对于遭受移动网络钓鱼攻击的企业来说,损失可能是巨大的:Lookout 计算得出,移动网络钓鱼对拥有 5000 名员工的组织的潜在年度财务影响接近 400 万美元。

该报告还指出,“网络犯罪分子大多在网络钓鱼攻击中滥用微软的品牌名称,超过 3000 万条消息使用其品牌或提及 Office 或 OneDrive 等产品。然而,其他公司也经常被网络犯罪分子冒充,包括亚马逊(在 650 万次攻击中提到); DocuSign(350 万);谷歌(260万); DHL(200万);和 Adob​​e(150 万)。”

请参阅:2022 年移动网络钓鱼攻击数量创纪录2022 年移动网络钓鱼攻击数量创纪录 - Infosecurity Magazine (infosecurity-magazine.com)

勒索软件和网络钓鱼:当前的网络事务状况尤其令人担忧,因为勒索软件攻击不仅数量不断增加,而且给企业和组织带来的财务和声誉成本也在不断增加。

目前,勒索软件(主要通过网络钓鱼活动)是对公众和公众的最大威胁。

私营部门。勒索软件允许黑客劫持计算机甚至整个网络进行电子现金支付。在最近的殖民地管道事件中,勒索软件攻击中断了美国东海岸的能源供应。

“2022 年,76% 的组织成为勒索软件攻击的目标,其中 64% 实际受到感染。这些组织中只有 50% 在支付赎金后设法检索数据。此外,略高于 66% 的受访者表示曾遭受过多次孤立感染。”请参阅:随着勒索软件支出的增加,新的网络攻击策略不断涌现 随着勒索软件支出的增加,新的网络攻击策略不断涌现 |公民社会组织在线

我的看法:由于我们大多数人现在都在智能手机上完成工作和处理个人事务,因此这是一个令人震惊的数据。但有补救措施。培训员工识别潜在的网络钓鱼电子邮件是预防的第一步,但许多明显的线索,例如拼写错误的单词和糟糕的语法,已不再存在。欺诈者变得更加狡猾,员工需要跟上新的范式。

然而,人为错误是不可避免的,一些员工会犯错误并意外成为网络钓鱼的受害者。此时的备份系统应包括自动化系统,该系统可以隔离员工访问并在员工帐户遭到泄露时减少损失。最好的方法是为您的公司建立和监控管理权限。您可以限制员工访问权限或要求他们在进入那里之前执行两个[身份验证]步骤。许多公司还将禁止员工无法访问的某些网站,因此更难受到网络钓鱼。

我对防范网络钓鱼和勒索软件的额外建议是,确保备份有价值的数据(也考虑对其进行加密),最好备份在与目标 PC 或手机分开的另一台设备上。如果您是小型企业或个人,投资反网络钓鱼软件并不是一个坏主意。它增加了另一个障碍。我还建议定期监控您的社交帐户和信用帐户,看看是否有任何异常情况。

商业电子邮件泄露

商业电子邮件泄露通常与网络钓鱼协同实施,但仍然是一个严重的网络安全问题。研究公司 Trellix 确定,78% 的商业电子邮件泄露 (BEC)涉及使用常见 CEO 短语的虚假 CEO 电子邮件,导致 2022 年第三季度到第四季度增加了 64%。策略包括要求员工确认他们的直接电话号码以执行语音 -网络钓鱼(或语音钓鱼)计划。 82% 是使用免费电子邮件服务发送的,这意味着威胁行为者不需要特殊的基础设施来执行他们的活动。 请参阅:恶意行为者突破了攻击向量的极限恶意行为者突破了攻击向量的极限 - 帮助网络安全

“全球 75% 的组织报告去年曾遭受过商业电子邮件泄露 (BEC) 攻击。虽然英语仍然是最常用的语言,但一些非英语国家的公司发现使用自己语言进行的攻击数量更高,其中包括荷兰和瑞典的组织,报告称此类攻击猛增了 92%;西班牙,增长了 92%;德国,增长86%;和法国,增长了 80%。”请参阅:随着勒索软件支出的增加,新的网络攻击策略不断涌现 随着勒索软件支出的增加,新的网络攻击策略不断涌现 |公民社会组织在线

“商业电子邮件泄露 (BEC) 攻击不再局限于传统电子邮件帐户。攻击者正在寻找新的方法来实施他们的计划,而组织需要做好自我防御的准备。攻击者正在利用一种名为“商业通信妥协”的新方案来利用大型跨国公司、政府机构和个人。他们正在利用电子邮件以外的协作工具,包括聊天和移动消息传递——包括流行的基于云的应用程序,如 Slack、WhatsApp、LinkedIn、Facebook、Twitter 等——来实施攻击。”请参阅:商业电子邮件妥协到商业通信妥协的演变 商业电子邮件妥协到商业通信妥协的演变 (betanews.com)

我的看法:商业电子邮件一直是黑客的首要目标。因此,组织需要创建企业风险管理策略和漏洞框架,以识别要保护的数字资产和数据,包括敏感电子邮件。例如,风险管理策略应该是整体的,包括人员、流程和技术。这包括使用新的安全工具(加密、威胁情报和检测、身份访问管理、防火墙等)保护和备份电子邮件数据以及财务系统、电子邮件交换服务器、人力资源和采购系统等企业系统,以及政策。该风险管理方法还必须包括了解您的库存和差距、整合网络安全卫生实践、采购和编排适当的网络工具堆栈。

欺诈呈数字化趋势,尤其是身份盗窃

欺诈一直是一个社会问题,但随着犯罪分子在数字领域的扩张,这一问题变得更加复杂。随着越来越多的人在网上办理银行业务和购物,成本越来越高。

美国联邦贸易委员会 (FTC) 数据显示,2022 年消费者报告称因欺诈损失近 88 亿美元,比上一年增加了 30% 以上。这些欺诈行为大部分来自虚假投资骗局和冒名顶替者骗局。也许这份报告中最令人震惊的是,通过 FTC 的 IdentityTheft.gov 网站收到了超过 110 万份身份盗窃报告。 FTC 揭露诈骗活动惊人增加,导致消费者损失数十亿美元 - 帮助网络安全

我的看法:身份欺诈率上升的原因很明显。随着我们的联系越来越紧密,我们对于那些想要破解我们的帐户并窃取我们身份的人来说变得更加明显和脆弱。随着智能手机、可穿戴设备和物联网的出现,表面威胁格局呈指数级增长。此外,这些移动设备、社交媒体应用程序、笔记本电脑和笔记本电脑的安全也不容易。

对于身份盗窃没有完整的补救措施,但可以采取一些行动来帮助个人和公司阻止威胁。以下是您可以采取哪些措施来帮助保护您的帐户、隐私和声誉的快速列表:

1) 使用强密码。黑客非常擅长猜测密码,尤其是当他们深入了解您过去居住的地方(街道名称)、生日和最喜欢的短语时。定期更改密码也会使他们的任务变得复杂。

2) 维护一台单独的计算机来进行财务交易,并且不将其用于其他用途。

3) 考虑对需要保护的有价值数据使用加密软件。还可以设置虚拟专用网络,以在使用移动智能手机时增加安全层。

4)非常重要;定期监控您的信用评分、银行对账单和社交帐户。 Life Lock 和其他信誉良好的监控组织提供的帐户警报对于提高意识探索非常有帮助。越快发现欺诈行为,就越容易处理与身份盗用相关的问题。

5) 如果您遭到破坏,如果情况特别严重,请联系执法机构,因为这可能是他们应该了解的更大犯罪集团的一部分。在任何严重违约情况下,请考虑就债权人的责任问题寻求法律援助。如有必要,还可以考虑聘请外部声誉管理人员。

2023 年网络安全趋势的一些其他资源和汇编:

两党政策研究中心就2023年需要关注的八大宏观风险做了一份非常好的报告。以下是文章中提到的,我全部同意。

  1. 不断变化的地缘政治环境:俄罗斯在乌克兰发动的战争是第一个风险的象征,包括对网络攻击的抑制减弱、对关键基础设施的数字攻击、错误信息和虚假信息活动以及贸易保护主义做法等关键因素,这些因素可能使企业陷入困境。从国外购买的技术产品更容易受到伤害。
  2. 加速网络军备竞赛:随着攻击者加大对陷入困境的组织的攻击,防御者必须在一个不成比例地有利于恶意行为者的环境中跟上步伐,这些行为者使用常用的消费者工具和欺骗手段来实现自己的目的,同时也以国家安全资产为目标。
  3. 全球经济逆风:股市波动和通货膨胀给整个网络安全领域带来风险,威胁供应链,迫使企业做出有关资源分配的艰难决定,并可能损害创新,因为初创企业面临资本供应市场疲软的局面。
  4. 重叠、冲突和主观的法规:美国公司面临“由国家、州和地方当局实施的所需网络安全、数据安全和隐私法规的复杂拼凑,具有不同的规定要求”,包括数据隐私和数据泄露的巴尔干化信息披露法、迅速提高的安全控制要求以及一刀切的监管。
  5. 滞后的公司治理:尽管近年来组织对网络安全的重视程度有了显着改善,但许多公司仍然没有将网络安全专家置于领导地位,将CISO和CSO排除在最高管理层和董事会之外,并保持网络安全与组织目标分开。
  6. 缺乏投资、准备和恢复能力:由于数据不完整和不完善,缺乏危机准备、灾难恢复和业务连续性规划,未能进行危机演习和规划,公共和私营部门对网络安全灾难的准备仍然不足,供应商风险集中、第三方保障能力不足、网络保险成本不断上升、公众的网络卫生和安全意识长期较差。
  7. 脆弱的基础设施:关键基础设施仍然脆弱,因为组织“严重依赖州和地方机构以及可能缺乏必要网络安全控制的第三方和第四方供应商”,特别是在金融、公用事业和政府服务部门,这些部门通常在未打补丁的情况下运行以及过时的代码和遗留系统。
  8. 人才稀缺:合格安全人员的持续短缺继续使组织面临网络风险,而执行良好网络安全所需的任务自动化程度不足,使这一风险变得更加明显。

请参阅:网络军备竞赛、经济逆风是 2023 年首要宏观网络安全风险之一网络军备竞赛、经济逆风是 2023 年首要宏观网络安全风险 |公民社会组织在线

要更深入地了解网络统计数据,请参阅: 2023 年令人失眠的 34 个网络安全统计数据2023 年令人失眠的 34 个网络安全统计数据 (techtarget.com)这篇文章预先指出,我们需要了解这些数据及其使用的巨大数量用于网络攻击。 “到 2025 年,人类的集体数据将达到 175 ZB——数字 175 后面跟着 21 个零。这些数据包括从流媒体视频和约会应用程序到医疗保健数据库的所有内容。保护所有这些数据的安全至关重要。”

另请参阅 Dan Lohrman 对网络安全趋势的年度分析:“经过一年的数据泄露、勒索软件攻击和俄罗斯入侵乌克兰造成的现实世界网络影响,接下来会发生什么?这是 2023 年及以后安全行业预测年度综述的第 1 部分。” 2023 年 23 项最重要的安全预测(第 1 部分) 2023 年 23 项最重要的安全预测(第 1 部分) (govtech.com)2023 年 23 项最重要的安全预测(第 2 部分) 2023 年 23 项最重要的安全预测(第 2 部分) (政府科技网)

我的看法:当然,随着时间的推移,还有许多其他趋势和统计数据值得探索。这无疑是一个危险的网络生态系统,并且随着风险和威胁的增加而不断扩大。网络意识是风险管理和安全过程的一部分,希望通过观察网络威胁形势,行业和政府能够自上而下和自下而上地优先考虑网络安全!

在这里阅读原文。

返回博客