我們已經發生了 2023 年第一起與 API 相關的重大網絡安全事件,而這一年才剛剛開始。 T-Mobile API 漏洞暴露了 3700 萬客戶的個人身份信息 (PII)。 API攻擊從去年11月就開始了,直到1月19日才被發現和披露,說明API攻擊“低和慢”方式的威脅還在穩步增長。根據 Sam Curry 的研究,發現了汽車中的數百個 API 漏洞行業——從梅賽德斯-奔馳到日產到起亞再到法拉利等等——2023 年被稱為“API 安全年”也就不足為奇了。
不幸的是,威脅並不止於 API 安全。當今的組織——乃至整個世界——都面臨著過度的安全風險。來年我們還會看到哪些其他威脅和趨勢?
博士Edward Amoroso,TAG Cyber 首席執行官兼紐約大學研究教授
針對工業控制系統 (ICS) 基礎設施的自動化攻擊將在 2023 年爆發,緊隨勒索軟件類型的節奏和專為最大程度的破壞而設計。
烏克蘭正在進行的戰爭肯定是一個因素。我們可以看到 ICS 的網絡中斷來自真正的民族國家起源(即俄羅斯)或來自聲稱由俄羅斯政府贊助的團隊。有針對性的 ICS 可能會在美國、英國等地。烏克蘭也將像 2015 年俄羅斯那樣遭受 ICS 攻擊。
對於預期的攻擊,我們還沒有看到大規模的 Stuxnet,自那次事件以來已經過去了 12 年多。我們的威脅建模表明,將會發生一系列重複的大規模持續 Stuxnet 類型攻擊,並且通過公共 API 進行的自動惡意訪問將成為主要載體。
Jeff Farinich, SVP Technology 和 CISO,New American Funding
最近的攻擊證明多因素身份驗證 (MFA) 不再足夠,需要採用無密碼身份驗證來增強保護。
雲安全不再局限於基礎設施即服務 (IaaS),基於雲的應用的廣泛採用需要軟件即服務 (SaaS) 安全態勢管理。
瀏覽器已成為主要工作區,但仍然相當不安全,需要企業瀏覽器或插件提供精細的安全控制。
在聯邦層面(FTC、SEC)和州層面(加利福尼亞州、科羅拉多州、康涅狄格州、紐約州、猶他州和弗吉尼亞州)通過更強有力的執法行動擴大法規將需要控制、政策和實踐的成熟以進一步保護客戶數據。
Michael Farnum,首席技術官,Set Solutions, Inc.
隨著 SaaS 供應商數量的不斷增加,以及 PaaS 和低代碼/無代碼工具推動公民開發者運動,非 IT 員工將越來越多地構建應用程序和功能,而無需 IT 和安全部門的參與。隨著未經批准/非聯合的應用程序和 API 中內置了更複雜的功能,公司將難以領先(並保持領先)影子 IT。
CISO 首先需要確保政策和教育到位因此員工了解非聯合 SaaS 和 PaaS 實施的危險和潛在後果。其次,現在必須調查圍繞 SaaS 和 PaaS 工具的發現、聯合、控制和卸載的工具,以控制影子 IT(即使他們不知道自己有這個問題)。
Richard Stiennon,IT-Harvest 首席研究分析師
兩年前,我們了解了有史以來最具破壞性的直接攻擊之一——SolarWinds 軟件更新的損壞。
不安全的 CI/CD 流程不是根本問題。真正的問題是我們花了幾十年的時間勸說團隊立即打補丁。持續掃描系統,按嚴重性或“風險”和補丁、補丁、補丁對發現的漏洞進行評分。
惡意軟件更新並不新鮮。 2004 年雅典奧運會期間,這家希臘電信提供商的愛立信交換機進行了更新,以開啟標準的合法攔截功能,運動員、奧運官員和政客的電話遭到非法竊聽。 NotPetya 是一種在烏克蘭播種的惡意蠕蟲,源於一家會計軟件公司的受損更新。 FLAME 惡意軟件是通過欺騙性的 Microsoft 更新傳送到特定目標的。
在 2023 年,我們將收到更多提醒,我們不能信任軟件更新,即使是直接從供應鏈簽名、密封和交付的。在下一個 SolarWinds 之前,我們現在必須想辦法保護自己。
Patricia Titus, Markel Corporation 首席隱私和信息安全官
網絡安全勞動力市場將繼續努力填補空缺和多樣性。具有安全操作和身份工程師經驗的技術人才將很難找到和留住。網絡安全專業人員將要求更多福利,例如遠程工作和高薪。
CISO 也將受到影響,因為他們要求董事和高級職員保險、賠償以及離職前和離職後福利。他們可能會選擇二號人物來規避風險或完全離開該職位,從而增加網絡安全領導力的差距。
機會的目標永遠是盔甲中最薄弱的環節——人類。隨著老練的威脅行為者精心策劃更真實的網絡釣魚活動以及多因素身份驗證 (MFA) 轟炸/疲勞的盛行,攻擊者將繼續進入電子郵件系統,意圖將金融交易轉移到欺詐性銀行賬戶。
技術驅動的投資不會有回報。大多數公司投資於技術驅動的網絡安全,結果如下:沒有概覽、成本飛漲,解決方案只是繃帶但不能止血。
組織必須將網絡安全投資與潛在的數字業務風險聯繫起來可能會嚴重影響核心業務目標。
公司需要一種“自上而下”的方法,在這種方法中,業務目標和對業務風險的研究引導他們做出決策。創建可能的基於風險的場景和基於風險的用例使公司能夠確定需要哪些日誌記錄、工具和軟件來管理數字業務風險。通過關注真正重要的事情,公司可以控製網絡安全措施和投資。
Colin Williams,Computacenter UK 業務線首席技術官
組織現在面臨著額外的挑戰,可能與網絡防禦戰每天都在打——複雜性。
維護成本高昂且高度複雜的企業安全環境,同時應對尋找合格的安全專業人員來維護這些環境的更大挑戰,可能會使組織處於難以管理和不安全的運營狀態. 2023 年的第一項舉措是針對重疊區域調查現有安全解決方案並消除重複。唯一要引入的新安全“靈丹妙藥”應該提供明確、差異化的保護,以保護當前不安全的資產。公司必須簡化以降低成本、提高可見性和提高運營效率。關注真正的安全覆蓋缺口,並為增加自動化的使用奠定基礎。
隨著我們進一步邁向 2023 年,公司應該關注真正重要的事情,以便他們能夠控製網絡安全措施和投資。
圖片來源:IgorVetushko/depositphotos.com
Michael Nicosia 是 鹽安全