UCOM 職能補給站

提供您專業技能的最佳管道,IT企業主管唯一推薦

2023年1月10日 星期二

網路安全:2023年需要持續關注的資安問題:Log4j、培訓人才、web3與物聯網,更重要的是全面提升資安意識!


在網路安全中,一年是很漫長的時間,很多事情會快速變化,但有一些事情卻是不斷發生。多年來,勒索軟體一直是一個很大的網路安全問題,隨著網路罪犯,勒索軟體並沒有銷聲匿跡,反而更加蓬勃發展,多數企業網路仍然容易受到攻擊,通常是由於長期以來一直存在的安全漏洞造成的。

即使身為資安專家,認為已經掌握每個軟體背後的漏洞,但新的漏洞也會繼續出現,並且產生重大的影響。

2021年最嚴重的資安事件之一:Log4j

2年前它完全不為人知,靜悄悄潛伏在程式碼中,202112月曝光後,CISA 負責人將其描述為最嚴重的缺陷之一。到 2022 年末,它仍然是隱藏在許多程式碼中的一個安全漏洞,而且可能會持續很久。

網路安全最大的重心:人

無論研究人員如何加速找到最新的駭客技術或安全漏洞,網路安全的重心一直都是以人為主,而不是技術;從最基本來說,員工應該要能辨識網路釣魚或者是詐騙電子郵件,搭配企業的資安團隊,定期檢視企業的資安措施。

 在資安方面,需求的人員很多,可惜的是,大部分企業沒有足夠的相關技術人員。

隨著網路威脅變得越來越複雜,我們需要資源跟正確的技術才能對抗,但因為沒有專業人才,許多企業組織的確很危險;我們需要鼓勵不管是什麼樣背景的人,你都可以加入網路安全領域,要真正贏得這場戰,所有企業都要努力招募相關人才,並且留住資安人才--博思艾倫公司高級副總裁兼國家網絡防禦負責人Kelly Rozumalski


更大的資安威脅

雖然網路安全一直是國際間諜組織和其他駭客活動的最大舞台,可是當前全球的政治環境,正悄悄被這些間諜組織和駭客盯上。

 網路資安將帶領我們將回到以國家競爭為特徵的地緣政治,這是我們幾十年來從來沒有想過或是真正實施過的,當網路安全一直沒有達到共識,或者是沒有更明確的界線規範時,我們可能會這樣做--聯邦調查局網路部主任Gorham

 例如,涉及運行關鍵基礎設施的技術成為俄羅斯在入侵烏克蘭時的目標。

 入侵開始前的幾個小時內,衛星通信提供商 Viasat 受到中斷的影響,中斷了烏克蘭和歐洲其他國家的網路連接,西方情報機構將此事件歸因於俄羅斯。特斯拉執行長馬斯克甚至表示,俄羅斯試圖破解Starlink的系統,Starlink是由他的SpaceX 火箭公司運營的衛星通信網絡,為烏克蘭提供網路接口。

 但不僅僅是在國與國之間的敵對之中,那些涉及關鍵的相關企業或組織,也發現自己成為俄羅斯國家政府支持的駭客目標。

 (俄羅斯駭客駭入美國政府機構報導:https://www.zdnet.com/article/solarwinds-heres-how-were-building-everything-around-this-new-cybersecurity-strategy/)

最被容易忽視的網路安全

通常,成功被駭客入侵都不是太高深的技術,而是常見的小缺失,例如你的密碼太容易被猜到、沒有立即更新應用程式,或者少了雙重身分驗證(2FA)等等,尤其在一些關鍵基礎的系統中,這些系統的軟體可能已經有多年歷史,風險極高。

Web3和物聯網:新技術不代表沒有資安隱憂

Web3和物聯網雖然是很新的技術,但不代表很安全,隨著Web3和物聯網持續發展蓬勃,網路攻擊和駭客也悄悄盯上他們。

Web3是網路使用者對網路新的願景,通過使用區塊鏈、加密貨幣和經濟學,將控制權從大公司手中奪走,並在用戶之間分散權力;但就像任何新技術一樣,尤其是那些伴隨著大量炒作的新技術,隨著軟體開發、發布產品和服務,安全性往往被忽略,正如針對加密貨幣交易所的各種駭客攻擊所證明的那樣,攻擊者竊取了數百萬的加密貨幣。

人們對新技術感到非常興奮。然後他們忘記了考慮安全漏洞,因為他們急於實現,對於Web3,我們都看到了這種情況--曼徹斯特城市大學網路安全講師、HackerOne的漏洞賞金獵人Katie Paxton-Fear說。由於漏洞賞金獵人在 Web3 應用程序和服務中發現了許多漏洞,它們通常是重大漏洞,如果讓懷有惡意的駭客率先發現它們,最後很可能讓用戶付出很高的代價。



 要找出這些漏洞的確是一個棘手的問題,但將網路安全基礎知識落實到每個人,可以幫助阻止Web3漏洞,特別是該技術變得越來越流行,更容易成為網路犯罪分子的目標。

 這種感覺就像我跟同事們正在研究很酷的漏洞,吸引我們的注意同時,我們卻忘記最基本的訪問安全控制之類的事情--曼徹斯特城市大學網路安全講師、HackerOne的漏洞賞金獵人Katie Paxton-Fear

雖然區塊鏈和 Web3 目前可能仍被視為利基技術,但物聯網不是,全世界家家戶戶和工作場所安裝了數十億台設備,其中包括一些有助於為關鍵基礎設施和醫療保健提供動力的設備,如同其他技術一樣,如果這些設備沒有妥善的保護,一旦被駭客攻擊,未來會是相當棘手的問題,而類似這樣的連接設備在我們的生活中越來越普遍。

互聯網的隱憂:構成更大的網路安全威脅

 Kelly Rozumalski同時提到「我們所處的困境確實很艱難,因此我們必須更加注意它。」「就目前的狀況來說,懷有惡意的人其實可以透過可以通過醫療設備駭入,並以此為中心點來摧毀整個醫院網路,這顯然會造成很大的危險。」

她認為,關鍵是醫院、或是其他組織的關鍵基礎設施供應商都必須理解到網路安全,盡可能安全地防止惡意入侵。

2023年網路安全展望

「安全問題真的很重要,非常關鍵。但我們需要從策略上考慮如何降低這些風險,因為這些基礎設備很重要」--Rozumalski說,她並不是唯一一個認為網路安全和相關預算仍需要更多關注的人。

聯邦調查局網路部主任Gorham說:「人們越來越了解到網路安全是一個重大的威脅,而且存在著巨大的風險,我覺得很棒,同時,威脅不會消失,只會隨著全球IT轉型而變得更加重要,我認為,如果所有人都開始瞭解到網路安全相當重要而且需要關注,是一個很好的開始。」


完整文章:https://www.zdnet.com/article/cybersecurity-these-are-the-new-things-to-worry-about-in-2023/

 

👉👉👉推薦課程:

區塊鍊資安課程
駭客攻防課程
最完整資安認證課程
手機App應用程式開發資安課程

0

0 意見:

張貼留言