产业数字化加速,企业面临网络安全新挑战,金融、专业和法律服务等行业成为攻击主要目标。网络安全技术公司派拓网络近期发布《2022年Unit 42事件响应报告》显示,网络攻击者正大量利用软件漏洞和弱点实施攻击,其中勒索软件和商业电子邮件泄露占比最大,高达70%,金融和房地产是受勒索金额最大的行业。
其中又以勒索攻击最为猖獗,且因其支柱属性容易被攻击者掌握命门。"最多的还是勒索软件攻击,因为容易通过比特币、区块链等产生回报。从统计数据来看,勒索软件攻击在我们内部的调查里是首要安全事件,占所有案件种类的36%。”派拓网络大中华区技术总监耿强近日告诉界面记者等称,随着勒索攻击的流行,涉及的赎金金额也在增长,企业支付的赎金可以达到54万美元,比前一年增加了58%。
另据微软旗下网络安全公司RiskIQ的数据,全球每分钟就有6家企业遭到勒索攻击,每年有315万家企业遭到勒索攻击。网络安全问题导致全世界企业的损失每分钟达到180万美金,一年下来这一损失接近1万亿美金。
勒索攻击指的是以勒索赎金为目的的网络攻击,通常攻击者会对数据进行窃取、加密等,以此来要挟受害企业支付赎金。
“低成本和高回报使得网络犯罪的入行门槛较低。”派拓网络高级副总裁Wendi Whitmore称,不熟练的新手攻击者往往使用黑客即服务等工具,这些工具在暗网上可以轻易获取且日渐流行。而勒索软件攻击者在与网络犯罪分子和受害企业接触的过程中,也通过客户服务和满意度调查使自身行为变得越来越“有序”。目前,与软件即服务模式类似,勒索攻击产业也发展出“勒索软件即服务”的黑灰产模式。有开发者开发勒索软件包、支付工具等,也有人执行勒索攻击并负责与受害者沟通。
从行业来看,金融和房地产的赎金金额位于第一梯队,平均分别被勒索近800万美元和520万美元。总体而言,勒索病毒和商业电子邮件泄露为派拓网络过去一年应对的首要安全威胁类型,约占整体的70%。这些行业往往会存储、传输和处理大量攻击者可以从中获利的敏感信息。
其中又以金融业占据网络攻击的影响之大,后果之恶劣,受到广泛瞩目。“金融行业的客户他们拥有大量的金融资产和数据资产,他们受到攻击后,黑客能够比较容易地获得更多的利益,因此我们看到金融行业是遭遇安全事件和数据泄露最多的行业之一。”派拓网络大中华区总裁陈文俊称,他提供数据显示,金融服务业过去数据泄露的平均成本有570万美元,仅次于医疗行业。
值得注意的是,随着网络攻击威胁加大,“零信任”在安全领域受到追捧,该理念核心在于进一步强化网络授权管理,保证最小权限原则,进而大幅提高攻击者成本。“永不信任,持续验证,永远都不应该相信,特别是在网络世界虚拟化的环境里,都要持续去验证用户、应用和设备。”耿强称。
目前,在国外,思科、阿卡迈、派拓网络等已经跻身零信任第一梯队。国内,根据IDC最新报告,中国零信任市场竞争格局初见雏形,奇安信、深信服、网宿科技、安恒信息等位列前十。
另一方面,企业逐渐上云,连带产生安全问题。陈文俊称,由于云敏捷性、便利性,大量应用开发者都深度基于云环境开发,也使用了一些API的接口互相对接,但在敏捷多变的系统架构里,广泛调用API接口的时候,也造成了安全策略的复杂性,使得攻击面扩大,让更多隐藏的攻击者抓住可乘之机。
陈文俊以目前云端流行的“容器”为例称,很多企业将核心业务在云端以容器实现,“到底这些容器原本的设计有没有安全机制?”他表示,业界流行的容器作为一种开源形式,从设计上难以对安全做更多考量,反而用户额外“加固”。
对此,陈文俊建议,开发者应从从开发流程上做出改变,在开发源代码的阶段就把安全功能或者理念加入,即“安全左移”。
