2023年的網路安全:影響當前安全狀態的技術和趨勢
作者
Guncha Malik
Executive Security Architect, IBM
網路安全是一個不斷發展的領域,隨著科技進步,網路罪犯的攻擊途徑和利用漏洞的手段也在不斷演變。資料外洩和網路犯罪的後果都會讓企業付出極高的代價。根據PurpleSec的報告,自2021年以來網路安全的年度成本增加了22.7%,光是小型企業資料外洩的平均成本就在12萬美元到124萬美元之間(PurpleSec,2023年)。
企業需要網路安全專業人員來維持適當的防禦水準,無論是保護關鍵的基礎設施、網路、應用程式還是物聯網(IoT)設備,都必須了解攻擊途徑和最新的網路安全趨勢,為網路攻擊做好準備。
2023年你需要了解的四大網路安全趨勢
儘管企業在過去十多年裡一直加強網路安全的防禦,但攻擊仍不斷擴散。網路罪犯利用企業進行數位轉型的時機點,進一步實現它們惡意攻擊的目的。
Data Prot的Ivana Vojinovic指出,70%的小型企業對於即將到來的威脅毫無準備,而88%的經驗豐富的駭客可以在12小時內滲透進組織內部(2022年)。在2022年,網路犯罪造成的總損失已達到6萬億美元。根據綜合來源的統計數據,預估2023年將有超過330億個賬戶被盜(Vojinovic,2022)。雖然目前還無法確定這些預測是否接近實際數字,但確實讓企業備感壓力。
1.混合雲和多雲安全
雲端安全是極為重要的議題。企業為了優化業務成本,不斷將業務內容遷移到雲端。近年越來越多企業採用多雲或混合雲的方法,夠維護企業的關鍵性工作,同時利用不同雲端供應商的服務來滿足業務需求。這樣的架構變更和遷移的過程,企業需要聘請合適的人才,讓熟悉網路安全的專業人員參與其中,以確保在整個過程中實施正確的安全防禦和資料保護機制。
隨著行動銀行應用程式、電子預訂平台到線上購物的盛行等,入侵用戶帳戶並竊取個資的機會不斷增加;越來越多的病患記錄被儲存在雲端上,駭客也瞄準醫院病患資料,給醫療保健行業帶來嚴重風險。儘管許多行業都強制實施越來越嚴格的安全和隱私合規計劃,但錯誤配置與人為錯誤是雲端安全裡最主要的障礙。
釣魚攻擊仍然非常普遍,雲端常被用於傳播惡意軟體和其他惡意程式,並進行大規模的網路攻擊。隨著新技術的導入,新的威脅迅速增加,也意味著網路罪犯有更多的機會發動攻擊,造成更多的安全漏洞和更大的衝擊(Staff,2023年)。
由於現在的攻擊面更廣,增加了供應鏈攻擊或價值鏈攻擊的風險。儘管法規和其他安全合規框架要求定期進行供應鏈/供應商評估,但企業也應盡職調查,這對於減少供應鏈攻擊的風險至關重要。
企業必須透過身份和存取權限管理、資料意識和保護、漏洞監控等方式來保護雲端架構,加強安全策略。網路風險不斷多樣化,IT安全需要更新過時的方法和技術,才能跟上網路安全威脅的步伐。提高架構能見度、啟用多重要素驗證(MFA)和人工智能(AI)解決方案,以及採用零信任存取(ZTA)政策來保護網路是企業應對雲端漏洞和安全威脅的方式之一。
2. 進階持續性攻擊(APT)
APT是精心策劃的攻擊,入侵者在網路中不易被偵測到,因而能長時間竊取敏感資料。某些APT的規模已經相當成熟,軍事級別的APT則針對國家的基礎設施和政府機構。他們的目的在「破壞間諜活動和竊取資料」,因此在烏克蘭的網路戰爭分析報告中,「網路漏洞和持續性方法」被認定為2022年的頭號網路安全事件(SSSCIP,2023年)。
APT可以針對網路、電子郵件、軟體、實體電腦系統等各種來源進行攻擊,透過多種方式損害帳戶,如釣魚和社交工程攻擊。APT攻擊的目標可分為四個類別,包括網路間諜、資料破壞、駭客行動主義和為了獲取利益而進行的犯罪活動。由於駭客會試圖控制那些過時且脆弱的軟體的工業控制系統(ICS),營運技術(OT)安全將成為APT的新戰場。
目前大多數企業選擇投資Web應用程式防火牆和API Gateway,保護網路應用程式和管理業務資產。這些解決方案將與現代API安全性解決方案相互結合,以識別配置錯誤並防止API相關的網路攻擊。頻繁修補和加強基礎設施、網路和軟體元件,企業才能降低關鍵系統風險的曝露程度。
3. 元宇宙(Metaverse)的不確定性
隨著元宇宙的普及度不斷增長,市場價值預計在2027年將達到2370億美元(Research and Markets,2023),元宇宙中的用戶帳號將成為偽造和資料竊取的的目標。儘管金融、娛樂、零售等行業對擴增實(AR)和虛擬現實(VR)都躍躍欲試,但受到全球經濟衰退的影響,目前企業仍較為保守看待。
如果元宇宙成為金融交易的主要樞紐,頭像劫持(Avatar hijacking)將會成為常見的威脅,與自然語言處理(NLP)、AI、邊緣運算和區塊鏈等技術的整合,也會增加安全問題。目前生成式AI已經能夠在幾分鐘內創造出逼真的文本、動畫和影片,元宇宙的整合將加速內容的創造,由AI生成的頭像有可能比人臉看起來更真實,用戶很難區分兩者的差異。
品牌釣魚(Brand Phishing)和惡意軟體攻擊是最重要的風險之一,與生物特徵駭客、假冒和身份盜用並列。恐怖組織可透過劫持AR與VR環境來發動大規模攻擊。用來優化網路延遲和頻寬的邊緣運算也會引發安全問題,例如DoS攻擊、技術故障以及內容審查的挑戰。
在元宇宙中,應建立編碼標準和通信協議確保訊息的可信度,避免深度偽造(deep fake)和冒名頂替的威脅。機器學習和人工智能可以用於檢測人工智能相關的攻擊,並實現高級別的安全自動化。
4. 後量子密碼學
另一個有趣的趨勢是採用後量子密碼(PQC)或量子安全密碼的重要性,隨著量子計算的研究不斷取得進展,供應商也推出大型的量子計算機,對於訊息的基礎設施造成一定的威脅。
現代的加密運算廣泛用於保護資料安全和驗證身份,然而,由於量子計算機的運作方式與傳統計算機存在根本性的差異,許多數學問題在量子計算機的幫助下可以在幾小時或幾分鐘內解決,而傳統計算機可能需要數百萬年的時間。雖然這種大型的量子計算機目前還不普及,但正在快速發展中。在2022年,IBM推出了具有433量子位元的Osprey處理器,並計劃在2023年推出具有1,121量子位元的Condor處理器以及Heron處理器,將成為量子計算發展的墊腳石(IBM,2023年)。
在政府機構如NIST以及IBM等公司組織和密碼學家們的努力下,目前已發展出了抗量子計算的公鑰加密運算法,NIST預計到2024年將公布PQC標準。考慮到加密遷移需要多年的計劃,以及目前的加密系統在新的PQC系統投入使用之前還有多年的使用壽命,NIST指出“我們必須立即開始準備我們的資訊安全系統,以抵擋量子計算”(NIST,2022年)。如電信業已經開始與專家合作評估對電信行業的影響,以及“採用PQC來保護網路、設備和系統”的需求(GSMA,2023年)。
您如何才能領先於新興的網路威脅
每個企業的風險承受能力會業務性質、市場經濟、公司文化、競爭對手等而有所差異,但無論如何,若不將網路安全風險納入考量,任何風險分析都是夠不完整的。網路安全目的在確保資料安全和隱私,並為企業在線上分享和傳輸資料提供靈活性。企業可以透過推廣網路安全意識的文化,並實踐保護個人和商業資訊的方法,主動保護自己免受新興網路威脅的侵害。
企業需要持續評估並加強且跟上最新的攻防安全措施。如定期對員工進行網路安全培訓,並讓他們了解與採用新平台和下一代技術相關的新興風險。安全專業人員和領導者需要逐步將他們的策略與業務目標相互協調,建立先進的威脅防護機制和提高網路安全彈性。畢竟,網路安全準備工作不可能一蹴而就。
網路安全推薦課程
★雲端安全
0 意見:
張貼留言