随着我们进入新冠疫情的第二年,毫不夸张地说,新冠病毒已经影响了我们个人和职业生活的各个方面。当谈到企业安全的趋势时,这场疫情已经改变了游戏规则。
数以百万计的员工现在通过家中 Wi-Fi 访问公司网络或云端资源。IT工作人员正在通过远程访问对关键业务系统进行故障排除。供应链在压力下正在受到破坏。不法分子正在抓紧时间利用这些潜在的漏洞。
以下是2022年的热门和不太热门的安全趋势,不幸的是,在这一年中,攻击事件的范围和复杂性将只会变得更糟。
七个热门和两个趋冷的网络安全趋势:
1. 热门趋势–勒索软件
2. 热门趋势–加密货币挖矿 (Cryptomining)/加密劫持 (Cryptojacking)
3. 热门趋势–深度伪造 (Deepfakes)
4. 热门趋势–视频会议攻击
5. 冷门趋势–虚拟专用网络 (科学)
6. 热门趋势–物联网和运营技术 (OT) 攻击
7. 热门趋势–供应链攻击
8. 热门趋势–扩展检测和响应 (XDR)
9. 冷门趋势–密码
热门趋势:勒索软件不会消失
网络安全主管、作家和顾问希拉•鲁比诺夫 (Shira Rubinoff) 表示,勒索软件攻击正呈上升趋势,而且没有出现放缓的迹象。“这些攻击事件呈指数级增长,并将继续上升——主要是由于此次疫情,因为我们已看到互联网使用率的大量增长和不断增加的数字环境。这种转向居家办公的局面使企业纷纷加强自身的网络安全环境。如今,企业必须应对其员工在工作及个人方面的各种要求,而员工们可能是在一个安全或不安全的环境中,使用多种设备。”
鲁比诺夫建议,企业应注重实施网络安全教育,包括对整个企业进行培训和教育,以有助于减少网络钓鱼攻击。她补充说,企业应主动保护数据,并应考虑实施零信任安全模型。
关键数字:根据Gartner最新的“新兴风险监测报告 (Emerging Risks Monitor Report)”,“新型勒索软件”的威胁是高管们最担心的问题。根据Verizon“数据泄露调查报告 (Data Breach Investigations Report)”,勒索软件攻击的频率在 2021 年翻了一番。根据IDC的“2021 年勒索软件研究”报告,大约 37% 的全球企业表示,他们在 2021 年遭受过某种形式的勒索软件攻击。
热门趋势:加密货币挖矿/加密劫持事件在持续增加
当攻击者使用勒索软件式的网络钓鱼攻击来入侵某一企业,以利用该企业的计算资源来挖掘加密货币时,就会发生加密劫持。攻击者的一个优势是,他们可以长时间不被发现。由于没有索要赎金,也没有个人身份信息被盗,因此企业也不必披露被黑客入侵的这一事件。这使得人们很难量化被入侵的成本,因为损失的是计算能力、性能下降和更高的电费等。然而,随着加密货币的升值,攻击者有更多的动力进行加密劫持。最终的回报包括作为第一个验证新交易区块的奖励(以加密货币形式给予奖励)。
IDC公司分析师弗兰克·迪克森 (Frank Dickson) 说:“我不知道企业是否关注加密劫持,因为它不像勒索软件那么引人注目。”他指出,加密劫持是一种日益增加且严重的安全威胁,因为“它本质上是进入企业的一个后门”,可以出售给其他希望发起勒索软件攻击或其他类型攻击的人。
关键数字:Sonic Wall 公司的报告称,2021 年第三季度加密劫持事件增加了 21%,整个欧洲则激增了 461%。
热门趋势:深度伪造技术 (Deepfakes) 成为武器
网络安全顾问玛格达·谢利 (Magda Chelly) 博士表示,深度伪造技术将成为今年及以后的一个热门安全问题。到目前为止,深度伪造技术主要出现在娱乐领域,经篡改的视频可使一个演员的脸变成了另一个演员的脸。或者,政客们在视频中被恶搞,说一些他们显然从未说过的话。
谢利预计,攻击者将利用深度伪造技术,通过伪造某人的面部来破坏生物识别访问控制。在企业界,使用基于 AI 的深度伪造技术还有许多其他危险的可能性。此前,发生过一个案例,其中一个行骗者伪造了首席信息官的声音,诱骗一名下属将大笔资金转入一个虚假账户。除了欺诈之外,攻击者还可以制作一段视频,其中首席执行官或其他企业高管在做一些令人尴尬或非法的事情,然后利用深度伪造技术进行勒索。
关键数字:“根据我们在暗网上跟踪的黑客聊天记录,我们发现自 2019 年以来,围绕深度伪造技术攻击的数量增加了 43%,”Rapid7 公司 IntSights 产品管理高级总监阿隆·阿尔瓦茨 (Alon Arvatz) 说。
热门趋势:针对会议软件的攻击
由于疫情没有出现放缓的迹象,许多员工都留在家里办公,通过电话会议和视频会议软件与同事交流。互联网安全中心 (CIS) 运营副总裁詹姆斯·格罗布 (James Globe) 表示,针对这些网络服务的攻击将继续是一个令人担忧的问题。
他说,企业需要采用一些正式的、供员工遵循的公司政策和程序,以打击试图利用某一会议来窃听对话和查看可能包含敏感信息的演示文稿的不法分子。
格罗布建议,企业应采取一些措施,例如删除邀请名单、对视频会议进行密码保护、在会议邀请函之外单独发送密码、让主持人手动允许与会者进入会场,以及在会议开始后锁定会议。
关键数字:根据 Acronis 公司“网络成熟度报告 (Cyber Readiness Report)”,超过 30% 的公司报告称,他们的视频会议系统在 2021 年遭到攻击。
冷门趋势:虚拟专用网络正在消失
此次疫情使居家办公员工的安全远程访问成为人们关注的焦点,这就暴露出传统的缺陷。它并不是那么安全,管理起来也很复杂,不能提供良好的用户体验,而且有点老式的边界安全模式。
“这并不是说我们要抛弃虚拟专用网络,”迪克逊 (Dickson) 说,“而是当我们想办法保证远程办公人员的安全时,并不是我们想要的东西。我们宁愿采用零信任的远程访问解决方案。”
可以在远程用户和企业资源之间提供一条安全通道,但技术无法辨别某一连接设备是否已被感染,或者是否某人正在使用被盗的凭据;它无法提供应用层的安全性,而且当某一用户连接到网络后,它无法提供基于角色的访问控制。零信任的解决方案可解决所有这些问题。
关键数字:Gartner公司预测,到 2023 年,60% 的企业将逐步淘汰其远程访问,转而使用零信任的网络访问。
热门趋势:针对物联网和运营技术 (OT) 的攻击
谢利表示,针对物联网 (IoT) 和运营技术 (OT) 基础设施的攻击将在 2022 年升温,涉及各类目标,包括关键基础设施、传统生产设施,甚至智能家居网络。
谢利表示,攻击者将以工业传感器为目标,造成可能导致装配线停工或服务中断的物理损坏。此次疫情使员工通过远程访问来管理这些系统变得更为流行,这为“网络犯罪分子提供了一个非常好的切入点”。
谢利预计,攻击者还将进行勒索软件类的攻击,将房主的智能门锁或智能恒温器锁死。在这种情况下,攻击者的目标可能是提供智能家居技术的供应商。
关键数字:根据一项测试,其中测试人员建立了一个家庭网络,并监控其受攻击的情况,而在一周内有超过 12000 次黑客攻击行为。
热门趋势:供应链攻击
供应链的强弱取决于其最薄弱的环节,这就是黑客追逐高价值目标的方式。最近,最臭名昭著的一次黑客攻击是 SolarWinds 攻击,这是一次供应链攻击,黑客利用 SolarWinds 公司的网络监控软件中的一个漏洞,入侵了数百家公司。
格罗布表示,供应链攻击仍将是一个热门话题。他建议,企业应特别关注第三方、合作伙伴、承包商、托管服务提供商和云服务提供商。应坚持让这些公司来证明自身安全实践是健全的,而且要确保不断检查这些企业是否遵守了他们的安全策略。
关键数字:Forrester公司的数据显示,55% 的安全专业人员报告称,他们的企业在过去 12 个月内遭受了涉及供应链或第三方供应商的事故或破坏行为。
热门趋势:扩展检测和响应 (XDR)
扩展检测和响应 (XDR) 是一种相对较新的威胁检测和响应方法,其试图打破安全工作方面的孤岛,同时可提供包含多个安全相关数据流的云服务。XDR 可利用云端大数据分析能力来理解来自端点安全保护代理、电子邮件安全、身份和访问管理、网络管理、云安全、威胁情报、威胁搜索等的数据。
迪克逊表示,XDR 与其说是一个具体的产品,不如说是构建一个平台,该平台可以整合多种安全工具的功能,以分析在某一情景中潜在的安全威胁。
关键数字:Gartner公司称,到 2027 年底,多达 40% 的终端用户企业将使用 扩展检测和响应。
冷门趋势:密码
密码是一种较弱的安全形式,这是一个由来已久的事实,但直到现在,该领域在采用其他替代方案方面仍进展缓慢。在线上快速身份验证联盟 (FIDO Alliance)、微软公司 Hello 系统以及苹果和谷歌等行业巨头的大力推动下,基于生物特征(指纹或面部识别)的无密码身份验证的势头正在增长。
迪克逊建议,企业“应尽可能淘汰密码”。他补充说,完全无密码的解决方案优于双重身份验证方案,后者是依赖密码作为其中一个验证因素。
关键数字:根据Verizon公司最新的“数据泄露报告”,80% 的数据泄露事故是由于较弱的密码或重复使用密码造成的。
以下哪个技术标准是采用公钥密码体系的证书机制来进行身份验证的
ca的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。 (三)ca中心ca中心为每一个使用公钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。 ca认证中心的数字签名技术使得攻击者不能伪造和篡改证书。 在set交易中,ca不仅对持卡的消费人、商家发放证书,还对交易过程中所涉及到的银行、网关也发放证书。 它负责产生、分配并管理所有参与网上交易的个体所需的数字证书。 (四)ca证书的种类ca中心发放的证书分为两类:ssl证书和set证书。 一般地说,ssl(安全套接层)证书是服务于银行对企业或企业对企业的电子商务活动的;而set(安全电子交易)证书则服务于持卡消费、网上购物。 虽然它们都是用于识别身份和数字签名的证书,但它们的信任体系完全不同,而且所符合的标准也不一样。 简单地说,ssl证书的作用是通过公开密钥证明持证人的身份。 而set证书的作用则是,通过公开密钥证明持证人在指定银行确实拥有该信用卡账号,同时也证明了持证人的身份。 用户想获得证书时,首先要向ca中心提出申请,说明自己的身份。 ca中心在证实用户的身份后,向用户发出相应的数字安全证书。 认证机构发放证书时要遵循一定的原则,如要保证自己发出的证书的序列号各不相同,两个不同的实体所获得的证书的主题内容应该相异,不同主题内容的证书所包含的公开密钥相异等。 (五)ca证书的基本原理及功能?ssl协议的握手和通讯为了便于更好的认识和理解ssl协议,这里着重介绍ssl协议的握手协议。 ssl协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份认证技术。 ssl的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:①客户端的浏览器向服务器传送客户端ssl协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。 ②服务器向客户端传送ssl协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。 ③客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的ca是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。 如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。 ④用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。 ⑤如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。 ⑥如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的ca是否可靠,发行ca的公钥能否正确解开客户证书的发行ca的数字签名,检查客户的证书是否在证书废止列表(crl)中。 检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。 ⑦服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于ssl协议的安全数据通讯的加解密通讯。 同时在ssl通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。 ⑧客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。 ⑨服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。 ⑩ssl的握手部分结束,ssl安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。 ca中心主要职责是颁发和管理数字证书。 其中心任务是颁发数字证书,并履行用户身份认证的责任。 ca中心在安全责任分散、运行安全管理、系统安全、物理安全、数据库安全、人员安全、密钥管理等方面,需要十分严格的政策和规程,要有完善的安全机制。 另外要有完善的安全审计、运行监控、容灾备份、事故快速反应等实施措施,对身份认证、访问控制、防病毒防攻击等方面也要有强大的工具支撑。 ca中心的证书审批业务部门则负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果,因此,它应是能够承担这些责任的机构担任;证书操作部门(certificatep-rocessor,简称cp)负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有授权者发放证书等,它可以由审核业务部门自己担任,也可委托给第三方担任。 (六)ca证书管理包括哪些方面工作ca策略管理管理员可以指定ca管理策略,包括:根证书、个人证书、企业证书、服务器证书的密钥长度、有效期、是否备份等策略。 (七)画图说明ca证书申请流程。 (八)申请ca证书的用户导出证书的目的是什么?简要介绍导出的操作步骤1当普通的恢复失效时,数据恢复代理需要使用数据恢复密钥,以允许代理恢复加密数据。 因此,保护恢复密钥是非常重要的。 有一种好方法可以防止丢失恢复密钥,那就是仅在需要时才将这些恢复密钥导入本地计算机。 而在其他时候,您应将数据恢复代理的数据恢复证书和私钥导出,并以格式文件存储到安全的可移动介质。 2步骤第一步,从ie中导出证书。 点击ie菜单工具,打开internet选项对话框,选中内容页,点击证书,弹出证书对话框,请您选择您要导出的证书,然后选择导出操作,您就可以根据证书导出向导操作完成证书导出了,请注意,证书导出向导第二步提示您是否导出私钥?,请选择是,导出私钥,成功导出证书后,您会得到一个以结尾的文件。 第二步,导入证书到webmail。 在webmail左帧选择个人资料,然后在右帧点击设置个人证书。 请点击导入证书,在上传证书对话框中请浏览找到您在第一步操作中所导出的文件,按下一步,输入您在第一步的证书导出向导里要求您输入的秘匙保护密码,您可以选择保存密码,以后查看加密邮件就不需要输入密码了。 成功的话,webmail将会显示证书的简略信息。 有了个人证书,你就可以发送有你数字签名的信件了。
网络安全未来发展怎么样?
在大数据的发展下,我国较为重视网络安全问题
实际上,我国政府较为重视网络安全问题的发展,仅在2020-2021年,我国就发布了多条政策规范网络安全的发展。 但是在有明确规定的情况下,滴滴依然选择了收集个人信息的行为是对我国网络安全的极大挑战。 因此,我国应加快修订《网络安全审查办法》,加强数据安全建设,保护我国公民的数据隐私安全。
在我国政府的重视下,不断推出政策促进网络安全市场的发展促使我国网络安全市场规模不断提升。 2020年,我国网络安全行业市场规模达到了513亿元,较2019年同比提升16.06个百分点。 滴滴事件后,我国或会更加重视网络安全的发展,未来我国网络安全的市场规模或将进一步提高。
网络安全专业未来发展怎么样?
只要是人写的代码就有漏洞,没有不存在漏洞的系统,只有没有发现漏洞的系统。 这个行业目前是形势很好,算是朝阳产业了。 我觉得这对于网络安全行业的学习者和从业者都是一个好事,安全是被冷落了很多年,现在可以算是开始繁荣的阶段。 这个领域现在人才缺口非常大,未来会更大。 所以如果有志于从事这个领域的年轻人,扎实打好技术基础,有意识的提高学识学历,这个领域未来一定是高素质和高学历人才的天下,并且是科技主宰,核心技术至上。
发表评论