2023年,全球网络安全态势和2022年相比未见好转,在勒索攻击领域更是愈发严重,大量巨头型企业遭遇勒索攻击,勒索赎金金额也在持续上升。据网络安全公司Crowdstrike Holdings数据显示,针对大公司、银行、医院或政府机构的勒索攻击增长了51%。勒索攻击已经成为企业的心头大患,众多安全机构认为勒索攻击将持续发展。
在2023年,网络安全行业也诞生了许多新概念、新技术和新趋势,其中人工智能是最火热的概念之一。以ChatGPT为代表的生成式AI让行业看到了新的发展方向,并且正在尝试重新塑造网络安全产业技术方向。而企业云安全、物联网安全、隐私计算等领域也诞生了许多新的解决方案,体现了各赛道为应对新形势、新风险的不断适应与创新。
为应对新风险,展望新趋势,FreeBuf收集整理了权威市场研究机构卡巴斯基、Gartner、谷歌、趋势科技、Check Point等发布的2024年网络安全市场预测,供大家参考。
2024年,FreeBuf收集整理了多家权威机构的安全趋势预测,发现对于某些方向的预测,机构们保持着相似的看法或共同的主题,称之为共性预测。FreeBuf总结了5条共性预测,具体如下:
几乎所有主流机构都对当下火热的人工智能(AI)进行了预测,主要涵盖了如下几点:
生产力的提高将推动生成式AI工具快速和广泛地采用
随着人工智能技术的不断发展和成熟,生成式AI工具将成为提高生产力的关键驱动力。这些工具可以自动化繁琐的任务、加速创新和解决更复杂的问题。随着人们对这些工具的认识和接受度的增加,预计企业和个人将更加广泛地采用这些工具来提升效率和竞争力。
企业必须使用基于AI的网络防御才能跟上时代的步伐
企业须采用基于AI的网络防御技术,通过分析大量的数据和模型识别来检测和应对威胁,并提供更出色的实时威胁情报和自动化的响应机制,帮助企业更好地保护其网络资产和敏感信息。
针对组织和个体的网络攻击也会比以往任何时候都更加有效,攻击者会利用AI工具来查找关键部门的漏洞
攻击者将使用AI工具来扫描和分析目标组织的网络,以寻找潜在的漏洞和弱点。这将使得网络攻击更加精确和有效,给组织和个人的网络安全带来更大的挑战。
使用生成式AI进行攻击的复杂深度伪造和商业电子邮件泄露 (BEC) 有所增加
攻击者可以使用生成式AI工具来制作逼真的伪造视频、图片和声音,以欺骗受害者并实施欺诈行为。此外,商业电子邮件泄露也可能通过使用AI技术来更好地伪装发送者身份,使得这类攻击更具欺骗性和破坏力。
更多的语音和视频模仿,包括特定口音和使用社交媒体、个人账户进行有针对性的账户接管
攻击者可以使用这些技术来模仿特定的口音、声音和外貌,以获取目标用户的信任并实施欺骗行为。此外,攻击者还可以利用社交媒体和个人账户的信息来进行有针对性的攻击,例如高价值账户的接管,从而造成更大的损失和影响。
需要关注针对各类大模型(LLM)的攻击
随着此类模型的广泛应用,攻击者将更加关注这些模型的安全性和漏洞。攻击者可能利用针对LLM的攻击手段来干扰其输出结果、操纵其决策过程或者获取敏感信息。因此,对于大模型的安全性和防护措施的研究和加强将变得尤为重要。
有关规范使用AI的监管法律及政策将会增多
随着欧盟于2023年末敲定全球首部专门针对人工智能制定明确使用规则的法案,预计2024年更多监管法律和政策也将出台,在确保其安全性、公平性和透明性的前提下,充分保护个人隐私、防止滥用和不当使用AI技术,并促进AI的可持续发展和社会效益。
2024 年,全球将举行 40 场大型选举投票,成为历史上规模最大的选举年。针对选举进行的网络攻击将包括:
此外,Corvus Insurance 首席信息安全官 Jason Rebholz 表示,利用AI进行的深度伪造技术也将针对选举大规模地传播虚假信息;美国网络安全与基础设施安全局也指出,网络犯罪分子利用社会分歧,使用复杂的社会工程策略针对选举来传播错误信息。
勒索软件仍然是对企业和全球社会最具影响力的网络犯罪形式,谷歌指出,2023年关于盗窃数据的广告和勒索收入估计显示这一威胁正在增长,预计这种增长将在2024年持续,除非市场出现重大干扰因素。Splunk预测勒索软件攻击将更加多样化,包括更多地使用0Day漏洞。BeyondTrust则预测,攻击重点将从勒索数据转向出售漏洞可识别信息(VII)和利用可识别信息(EII),而不再专注于赎金勒索。
谷歌预测,针对混合云和多云环境的攻击条件已趋于成熟,且破坏性更大,攻击者将不断寻找新方法在不同的云环境中持久驻留并横向移动,例如利用云安全常见的配置错误和身份与访问管理漏洞。此外,攻击者还将更广泛地利用云中的无服务器技术,因为这些技术提供更大的可扩展性、灵活性,并可通过自动化工具部署。
趋势科技预测,云环境将成为专门为利用云技术而设计的蠕虫的游乐场,而错误配置将成为攻击者的简单切入点。只要成功利用一次,特别是通过 Kubernetes、Docker 和 WeaveScope 等错误配置的 AP1,具有虫功能的攻击就可以在云环境中引发快速传播。
过去几年,由于安全风险不断累积,网络安全保险费不断上涨且保险覆盖范围缩小。2024年,随着网络安全保险市场的竞争加剧,谷歌预测网络安全保险费用将趋于稳定,承保范围扩大。网络保险市场将继续增长和发展。大多数报告称价格将会稳定。
BeyondTrust预测,网络保险将更多地采用基于核心控制或框架的方法。在降低与网络保险相关的风险和责任方面,这种演变将使提供商能够针对所有威胁实现标准化。
Check Point预测,人工智能也将影响网络安全保险市场,并改变保险公司评估潜在客户网络适应能力的方式。
网络安全和网络弹性在过去是经常互换使用的两个术语,福布斯认为,二者的区别将在2024年及以后变得越发明显。虽然网络安全的重点是防止攻击,但许多组织越来越重视恢复能力。企业已经越发意识到即使是最好的安全性也无法保证 100% 的保护。弹性措施旨在确保遭遇安全事件后业务也能继续运行。开发敏捷恢复能力,同时最大程度地减少数据丢失和停机时间将成为 2024 年的战略重点。
Gartner预测, 2024年,全球75%人口的个人数据将得到隐私法规的保护,许多新出台的隐私法规直接或间接地提出了数据本地化要求。面对尺度不一的监管环境,安全和风险管理者需要在不同地区采取不同的本地化策略,这使得企业机构为应对跨国业务战略风险而采取一种适合所有服务模式的新型云服务设计和获取方法。由此,数据本地化规划将成为云服务设计和获取方面的首要任务。
在公有云等不可信环境中进行数据处理以及与多方共享和分析数据,已成为企业机构取得成功的基础。随着分析引擎和架构的日益复杂化,厂商必须提前在设计中加入隐私保护功能,而不是在产品完成后再添加这一功能。企业机构已将AI模型运用至很多领域,同时也必须对AI模型进行训练,这给隐私保护带来了新的隐患。
与常见的静态数据安全控制不同,隐私增强计算(PEC)可以对使用中的数据实施保护。因此,企业机构可以执行此前因隐私或安全担忧而无法实现的数据处理和分析活动。Gartner预测,到2025年60%的大型企业机构将使用至少一种PEC技术来支持分析、商业智能和/或云计算的应用。
Cyber??Ark预测,越来越多的企业组织会考虑逐渐转向无密码访问管理来更好地抵御安全威胁。无密码身份验证可以使用除记住的秘密之外的任何方式来验证用户,可以是登录时显示的二维码、带有一次性代码的短信或物理 USB 密钥等。尽管完全消除密码还很遥远,但通过实施支持无密码用例的正确 IAM 解决方案,减少对密码的依赖被认为是可行的。
由于监管压力不断增加、攻击面不断扩大等因素,Gartner预测首席信息安全官(CISO)将把他们的职责扩展到网络安全之外。Gartner 认为,既往的安全管理和数字资产的职责分散在多个部门和团队、首席信息安全官负责监督整体数字资产组合这一架构在支持监管披露、保证数字安全和有效管理安全事件方面造成了不一致,降低了组织的整体绩效。扩大首席信息安全官的工作范围将实现安全管理的统一,从而对整个组织的综合安全事件管理流程进行监督。
卡巴斯基预测,由于地缘政治紧张局势日益加剧,国家发起的网络攻击数量可能在2024年激增。这些攻击可能会涉及数据盗窃或加密、IT 基础设施破坏、长期间谍活动和网络破坏。
作为地缘政治冲突的一部分,黑客行动主义恐变得更加普遍。地缘政治紧张局势表明黑客活动可能会增加,这些活动既具有破坏性,又旨在传播虚假信息,从而导致不必要的调查以及 SOC 分析师和网络安全研究人员随后的警报疲劳。
为有效应对不断演进的威胁态势,许多组织正着手升级安全控制措施,并采用新技术和新流程强化防御机制。这些效能增强的控制机制,使攻击者从目标组织内部招募人员协助其完成初始访问。例如,网络犯罪分子可轻易使用生成式AI,克隆高管或授信人员的声音,继而利用这些伪造录音,迫使毫无戒心的目标执行命令、泄露密码或数据甚至进行资金转账。Fortinet预测,招募即服务模式将发展为下一个新趋势,帮助攻击者获得更多信息以分析其潜在攻击目标。
趋势科技预测,由于越来越多的企业转向私有区块链来降低成本,预计到 2024 年,私有区块链可能会受到攻击者有针对性的攻击。由于私有区块链通常面临的压力测试较少,并且与面临不断攻击的公共区块链相比缺乏相同水平的弹性,因此攻击者可能会设法夺取私有区块链的管理权限。
卡巴斯基曾曝光了利用“三角测量”(Operation Triangulation)针对iOS系统设备进行的间谍活动。卡巴斯基预测, APT 攻击者可能会扩大监视范围,将更多智能家居技术设备纳入其中,例如智能家居摄像头和联网汽车系统,因为这些设备通常不受控制,没有更新或修补,并且容易配置错误。由于现在越来越多的人在家工作,他们的公司可能会通过员工家庭设备成为攻击目标。
免费和开源软件的出现最初导致了“脚本小子”的兴起,这类群体几乎没有任何技术专业知识,使用现有的自动化工具或脚本来发起网络攻击。Trellix预测,现在网络上所充斥的AI工具让他们可以更轻松地编写恶意代码、创建深度伪造视频、制定社会工程方案等。虽然目前主流的AI工具(例如 ChatGPT、Bard 或 Perplexity AI)都配备了安全机制,以防止被利用来编写恶意代码,但一些在暗网上开发的AI工具却不会受到这方面的限制。Trellix认为需要在2024年加强对这类恶意工具的监测。
Proofpoint发现,2023年针对移动移动设备的网络钓鱼明显增加,并预计这一趋势在2024年会得到延续。攻击者正在战略性地将受害者重定向到虚假移动交互界面,利用移动平台固有的漏洞进行对话滥用。攻击者通过二维码和欺诈性语音通话等策略,将用户从台式设备引诱到移动设备,不仅可以实施更加有效的网络钓鱼攻击,同时也使安全检测变得更加复杂。
卡巴斯基认为,尽管采用了内核模式代码签名、PatchGuard、HVCI(虚拟机管理程序保护的代码完整性)等现代安全措施,但 APT 和网络犯罪团伙正在绕过内核级代码执行障碍。由于 WHCP 滥用,Windows 内核攻击呈上升趋势,EV 证书和被盗代码签名证书的地下市场也在不断增长,攻击者越来越多地在其策略中利用 BYOVD(自带易受攻击的驱动程序)。
托管文件传输 (MFT) 系统面临着不断升级的网络威胁,2023 年 MOVEit 和 GoAnywhere 的违规事件就是例证。卡巴斯基预测,随着网络对手虎视眈眈地谋求经济收益和运营中断,这一趋势有望升级。组织应实施强大的网络安全措施,包括数据丢失防护和加密,并培养网络安全意识,以增强 MFT 系统应对不断变化的威胁。
不断发展的加密货币格局带来了重大的网络安全风险,诺顿已观察到针对加密钱包的攻击明显增加,攻击者越来越多地以精致而复杂的方法瞄准加密钱包。这种趋势可能会加剧,对加密货币领域的个人和机构投资者构成重大威胁。诺顿注意到如Lumma等针对加密货币钱包的恶意软件即服务 (MaaS) 正在不断发展,并预测加密货币交易所会面临更多的攻击和欺诈行为。
Trellix预测,威胁格局正在发生某种隐秘的转变,主要集中在经常被忽视的边缘设备。这些设备有其独特的复杂性,它们既是被攻击的目标,又是检测威胁的盲点,APT 组织不断演变的策略与边缘设备架构的多样性相结合,将给针对边缘设备的入侵检测带来巨大的挑战。