2022的画卷已经缓缓的展开,新的一年里,网络信息安全将会有哪些需要重点关注的动向呢?笔者进行了大胆的预测:
网络安全服务持续增长:作为共享经济的一个细分领域,网络安全服务将会出现持续的增长。网络安全涉及到的专业领域跨度大、技能要求高,使得很多企业难以承受其成本的增加,专业网络安全服务的出现,有效的缓解了企业对网络安全的需求和成本之间的矛盾。这里提到的网络安全服务是广义的网络安全服务,即cyber security service,与狭义的网络安全服务即网络安全事件响应服务的区别在于广义的网络安全服务贯穿企业的业务全流程,覆盖企业内外部网络安全工作,从安全界限划分上包括防火墙内部、外部网络安全,从业务流程看包括企业内部安全与供应链安全,是解决业务、技术与合规的综合诉求的广泛意义的基础安全支撑。需要注意的是,网络安全服务并不减少企业在网络安全方面的责任和义务。
服务驱动代替产品驱动:网络安全服务将使得企业与服务商拥有更加紧密的关系,而传统的安全厂商需要通过安全服务将其价值传递到企业,产品驱动将被服务驱动持续侵蚀。通过服务驱动和安全服务云化,企业将能够体验到更多的安全产品组合的收益,其网络安全产品选择范围更广,网络安全韧性将持续提高,服务驱动的安全厂商将获得长足的发展。影响安全服务的法律法规将会不断出台,安全服务监管与资质认证并进,使得企业在选择安全服务厂商上获得更多信息,而安全服务的方法论和框架会更加成熟和便于使用。
网络威胁跨边界攻击大幅增长:如果说过去的网络威胁是以防火墙为边界的对抗,那么,随着数字化进程的推进,网络威胁的边界将逐步消失,外部网络威胁不可小觑,尤其是暴露在互联网上的数字资产,使得犯罪者无需接近“火线”而展开攻击,仿冒钓鱼等行为带来的巨大利益和执行攻击的低风险,使得企业更加难以寻找对手进行“决战”,而保持数字化下的网络安全,企业需要在CSO带领的下综合作战能力,IT、风控、法务、业务……,所有部门一个都不能少。
威胁情报导向的网络安全:威胁情报的应用更加成熟,从辅助安全事件优先级确认和降低告警噪音等基础应用走向选择性防御和知识、流程协同辅助的征程,企业通过对所获取的威胁情报进行攻击动机、威胁类别的分析研判,能够更加主动地应用多种响应策略进行网络安全对抗,基于网络威胁情报的攻防演练将进一步促进和提高企业应用威胁情报的能力,而威胁狩猎也将获得更广泛的应用,形成威慑性防御能力,提高犯罪成本。
安全意识教育仍是企业安全重点工作:迄今为止,通过邮件这一社会工程方法进行计算机网络犯罪,仍然是效费比最高的方法。根据Greathorn的数据分析【1】,仿冒企业、个人、管理者、客户的比例分别高达68%,66%,53%,49%。针对利用电子邮件进行欺诈、钓鱼、传播恶意软件,并且尚无有效的根治技术手段,安全意识教育不失为应对这一攻击方法的有效措施的最佳选项。安全意识不仅仅能提高防范社会工程攻击这一方法,对其他攻击方法也能够起到助力作用,例如:当员工察觉登录日志异常时,和安全人员的沟通有可能帮助企业防范一起重大恶意攻击事件。因此,在2022年,安全意识的加强,仍将是企业的重点治理的范围之一。
勒索事件继续增长:以经济为目的的网络攻击是未来一年的主要攻击动机,而DDoS(针对服务依赖型企业,例如:游戏行业、XaaS行业)、文件锁定(通过对关键数据加锁,以密钥交换作为经济条件,利用邮件传播勒索软件是常见手段,针对企业的攻击往往伴随其他攻击行为)带来的困扰使得很多企业或个人选择了屈服,他们的屈服使得勒索事件继续发酵,进一步推动了勒索事件的发生。另外,不排除更高等级的对抗采用勒索常用的手段来进行打击。
ML&AI加入网络安全对抗:由于网络数据的持续增长,基于传统的规则、特征的网络安全解决方案在应对网络安全问题上越来越吃力,而越来越容易获取的算力和算法带来了新的解决思路,因此ML(机器学习)和AI(人工智能)将加入网络安全武库。然而,需要注意的是,ML和AI不仅仅可以被企业方所应用,攻击者可能也精通此类工具,从而形成基于ML&AI的新对抗平衡。
¥aaS:由于以aaS作为尾缀的命名实在过多,因此笔者在此使用了¥作为预测,代表了基于经济利益的各种云端服务,而这种云端服务包含了大量的犯罪、恶意的服务,包括前面提到的勒索攻击,亦即DDoS攻击、勒索攻击等行为,采用网络服务即可以实现,从而给本就脆弱的网络信任关系带来雪上加霜的效果,在此前提下0信任框架将成为企业安全的必然选择。
以上预测基于个人的知识和调查,仅代表个人观点。
注释:【1】https://info.greathorn.com/hubfs/Reports/2021-Business-Email-Compromise-Report-GreatHorn.pdf