1、勒索攻击从加密数据转向破坏数据
(外部因素)
网络安全已经成为国家安全的重要组成部分,地缘政治动荡将会持续影响着网络攻击面。在2023年,我们可以预计网络战的威胁将继续存在并进一步加剧,其中最常见的攻击场景有:对组织员工的攻击(社会工程),对重要企业IT基础设施的攻击(DDoS),以及对国家关键基础设施的攻击。另一个重要的趋势始于2022年,并将持续到2023年,那就是勒索软件攻击不仅会加密受害企业的数据,还会以破坏数据作为攻击手段。这种威胁对那些因为政治动机遭受攻击的企业组织来说将会非常普遍。在未来的一年里,这种勒索攻击威胁注定会快速上升。
2、基于边界渗透的攻击显著增长
(外部因素)
尽管企业的网络边界正在不断的模糊和消失,但是在2021年和2022年,卡巴斯基观察到通过网络边界成功进行初始渗透的攻击数量却在显著增长。数据显示,这种类型的攻击数量在2022年比2021年翻了一番。研究人员发现,攻击者从边界渗透所需的攻击准备比发起一次成功的网络钓鱼要少,而且一些非常老的安全漏洞仍在持续暴露并可轻松被利用;我们预计这种趋势将在2023年继续下去。
【2021-2022年全球公共应用程序漏洞利用调查】
3、针对科技企业的供应链攻击
(外部因素)
据卡巴斯基观察,攻击者对大型科技公司和电信运营商的攻击兴趣在不断提升。根据卡巴斯基MDR报告数据显示,2021年电信行业安全事件统计数据为:平均每1万个应用系统中检测出79起高危事件,42起中危事件,28起低危事件。
2022年,尽管高危事件的比例较低,大约每1万个系统中有12起高危事件,但中危事件却有60起,低危事件有22起。研究人员认为,入侵者通过攻击电信运营商,可以进一步威胁到他们的客户。在2023年,卡巴斯基预计通过电信运营商和大型科技企业进行的供应链攻击数量将会增加,这些供应商还通常会提供额外的托管服务。
4、有国家背景组织发起的网络攻击
(外部因素)
数据显示,过去几年,从关键基础设施企业到政府机构等行业都受到更具针对性的网络攻击威胁,曾遭受过针对性攻击的组织面临二次攻击的可能性仍然很高,因为这是威胁行为者的长期目标。这一点在政府组织中尤为明显,它们往往受到有国家支持的非法团伙攻击。
【2021-2022年政府组织中每1万个系统中的安全事件数量】
地缘政治冲突通常伴随着信息战,而媒体组织也不可避免地发挥着重要作用。近年来,卡巴斯基观察到针对这一领域的攻击在稳步增长,2022年的统计数据证实了这一趋势,大众媒体也是攻击者的主要目标之一。到2023年,媒体和政府组织很可能仍将是最常受到攻击的领域,高危事件的比例可能会增加。为了有效防范一些有针对性的攻击,企业组织可以考虑将主动威胁搜索与MDR结合使用。
5、安全运营团队如何降本增效
(内部因素)
企业安全运营工作发展的未来在于集约而非粗放的增长,这意味着每个安全运营团队成员的价值产出需要持续增长。企业需要不断开发安全运营团队的技能,以应对2023年企业可能面临的安全威胁。这意味着企业需要加强事件响应训练和所有形式的安全运营演习,如TTX、安全红队和入侵攻击模拟,都应该成为2023年企业安全运营战略计划制定的重要组成部分。
在实际安全运营中,很多企业缺乏熟练和有经验的安全人员,这种趋势在2023年将继续存在。为了应对挑战,企业需要明确定义规范合理的安全运营流程,优化提升安全运维人员的工作效率。因此,卡巴斯基预测,2023年企业对安全运营流程开发和相关服务的需求将越来越大。
6、更高的预算成本和投入
(内部因素)
不断增长的数字威胁环境正在推动企业组织网络安全建设和安全运营预算飙升。这一趋势将把企业管理层的关注点集中在安全预算支出上,引发有关“为什么?”“效果是什么?”以及“它能带来什么价值?”等问题的思考。这些问题主要就是针对网络安全运营团队的。
在此背景下,企业应该尽快开展安全运营效率管理计划。企业需要评估业务中断或违约成本,并将其映射到安全预算投入上,以减少此类安全事件的发生。通过开展安全运营效率管理,可以让安全运营团队合理评估他们创造的价值。但在实施这种方法之前,企业组织需要制定有效的评价指标及分析方法,并建立较完善的安全运营流程。
7、更全面的威胁情报支撑和威胁搜索
(内部因素)
网络攻击和威胁的增长将提升对攻击预测技术的需求,从而增加网络威胁情报(CTI)的应用价值。从目前在应用实践中观察到的情况来看,许多企业的CTI应用局限于管理妥协指标(IOC)提要,这种方式对防范新兴的零日攻击和APT攻击几乎无效。2022年,很多企业已经开始转变,在公司内部建立全面的CTI能力,并且在安全运营团队中设置专门的CTI岗位,这一趋势将在2023年进一步发展和成熟。
此外,“假设妥协范式”(Assume Breach Paradigm)将在2023年继续存在,这意味着主动的威胁搜索可能成为一种趋势,并成为未来企业安全运营战略的重要组成部分。由于威胁搜索是安全运营体系中检测能力的关键部分,因此企业组织应该考虑定期进行威胁搜索,并制定明确的威胁发现目标,以了解如何持续地实现这些目标。
参考链接:https://securelist.com/soc-socc-predictions-2023/108512/