網(wǎng)絡(luò)風(fēng)險成為2022年全球商業(yè)領(lǐng)域關(guān)注的首要問題

根據(jù)保險機構(gòu)安聯(lián)公司日前發(fā)布的風(fēng)險晴雨表，網(wǎng)絡(luò)風(fēng)險成為2022年全球企業(yè)最擔(dān)心的問題。由于新冠疫情、數(shù)據(jù)泄露或重大IT中斷的威脅，使企業(yè)更擔(dān)心業(yè)務(wù)和供應(yīng)鏈中斷、自然災(zāi)害或疫情大流行，這些不利因素在過去一年中對企業(yè)運營影響很大。

在安聯(lián)公司的調(diào)查中，網(wǎng)絡(luò)安全事件第二次位居榜首(44%的受訪者認(rèn)為至關(guān)重要)。業(yè)務(wù)中斷緊隨其后，名列第二(42%);自然災(zāi)害排名第三(25%)，高于2021年的第6位。氣候變化從第9位上升至第6位(17%)，創(chuàng)下歷史新高，而疫情大流行則降至第4位(22%)。

這項調(diào)查匯集了來自全球89個國家和地區(qū)的2650名專家的觀點，這些專家包括首席執(zhí)行官、風(fēng)險經(jīng)理、經(jīng)紀(jì)人和保險專家。

AGCS公司首席執(zhí)行官Joachim Mueller總結(jié)說，“業(yè)務(wù)中斷可能仍是2022年的主要潛在風(fēng)險主題。對于大多數(shù)企業(yè)來說，最主要的擔(dān)憂是由于各種項目無法正常生產(chǎn)或提供服務(wù)。由于各種觸發(fā)因素，2021年遭到了前所未有的破壞。例如，嚴(yán)重的網(wǎng)絡(luò)攻擊、許多與氣候變化相關(guān)的天氣事件對供應(yīng)鏈的影響，以及與疫情相關(guān)的制造問題和運輸瓶頸造成了嚴(yán)重破壞。

普普點評

在大多數(shù)接受調(diào)查的國家和地區(qū)，網(wǎng)絡(luò)攻擊事件被列為最主要的風(fēng)險。其主要驅(qū)動因素是勒索軟件攻擊最近的激增，57%的受訪者認(rèn)為這是未來一年的最大的網(wǎng)絡(luò)威脅。對于網(wǎng)絡(luò)犯罪分子來說，勒索軟件已經(jīng)成為一項大生意，他們正在改進(jìn)策略，降低進(jìn)入門檻，只需很少訂閱費和很少的技術(shù)知識就可以實施網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)犯罪的商業(yè)化使得大規(guī)模利用漏洞變得更加容易。

元宇宙為網(wǎng)絡(luò)攻擊做好準(zhǔn)備了嗎？

去年3月，元宇宙概念股羅布樂思(Roblox)在美國紐約證券交易所正式上市;5月，F(xiàn)acebook表示將在5年內(nèi)轉(zhuǎn)型成一家元宇宙公司;8月，字節(jié)跳動斥巨資收購VR創(chuàng)業(yè)公司Pico……2021年，元宇宙無疑成為了科技領(lǐng)域最火爆的概念之一。雖然它只是一個想法，但發(fā)展勢頭很猛。它結(jié)合了增強現(xiàn)實和虛擬現(xiàn)實，是另一種數(shù)字現(xiàn)實，人們在其中工作、娛樂和社交，是繼互聯(lián)網(wǎng)之后的一大熱門。

然而在其成為一大潮流時，伴隨而來的一大挑戰(zhàn)是，如何應(yīng)對網(wǎng)絡(luò)攻擊。

元宇宙好比是共享的虛擬空間，人們由數(shù)字化身(avatar)來代表，這個虛擬世界的壯大和發(fā)展，取決于其中的社會做出的決定和行動。它是現(xiàn)實世界新的一對一數(shù)字副本，可搜索、可點擊、機器可讀。隨著虛擬世界變得更具交互性，人們必須對其在這個世界的行動和行為負(fù)責(zé)。這就需要考慮網(wǎng)絡(luò)安全，即使元宇宙數(shù)年后才會成為現(xiàn)實，也要為網(wǎng)絡(luò)攻擊做好準(zhǔn)備。

現(xiàn)在的問題是元宇宙是否準(zhǔn)備好應(yīng)對網(wǎng)絡(luò)攻擊，無論有沒有準(zhǔn)備好，網(wǎng)絡(luò)攻擊都會到來。因為元宇宙是一種熱門商品，是網(wǎng)絡(luò)攻擊的完美目標(biāo)。

普普點評

當(dāng)前，新技術(shù)不斷發(fā)展和變化，網(wǎng)絡(luò)安全很難跟上步伐。元宇宙最終可能會面臨網(wǎng)絡(luò)安全事件和數(shù)據(jù)泄露的挑戰(zhàn)，我們可能會看到更多類似科幻的攻擊(比如化身被黑)。這些事件可能更難識別、驗證和加以控制，而且很難在向用戶和數(shù)據(jù)保護機構(gòu)通知泄密事件方面確定責(zé)任界限。現(xiàn)在還很難說該如何防范未來對元宇宙的所有網(wǎng)絡(luò)攻擊。

Fortinet 全球零信任態(tài)勢報告：超半數(shù)企業(yè)組織在搭建零信任架構(gòu)時面臨挑戰(zhàn)

在網(wǎng)絡(luò)安全領(lǐng)域，零信任（zero-trust）安全概念早已風(fēng)靡多年，多數(shù)網(wǎng)絡(luò)安全權(quán)威專家對零信任安全理念表示高度認(rèn)同。盡管一些組織已經(jīng)構(gòu)建了某種形式的零信任安全體系愿景，遺憾的是，這些愿景或規(guī)劃并不足以支撐相關(guān)的解決方案付諸實踐。不僅如此，甚至關(guān)于如何定義零信任戰(zhàn)略，用戶也普遍存在困惑。零信任安全的未來已來，組織應(yīng)當(dāng)對其有正確認(rèn)知并盡快付諸實施。

據(jù)Fortinet最新發(fā)布的全球零信任態(tài)勢報告顯示，對于零信任戰(zhàn)略，77%的受訪者表示他們對零信任有所了解，75%的受訪者則表示他們熟悉零信任網(wǎng)絡(luò)訪問（ZTNA）概念。超過 80% 的受訪者表示，他們已經(jīng)構(gòu)建或正在構(gòu)建零信任和/或零信任網(wǎng)絡(luò)訪問（ZTNA）戰(zhàn)略。然而，依然有超 50% 的受訪者認(rèn)為，他們尚不具備實施零信任核心功能的組網(wǎng)能力。近 60% 的受訪者表示，他們無法持續(xù)對用戶和設(shè)備進(jìn)行身份驗證，還有54% 的受訪者表示難以在身份驗證后對用戶和設(shè)備進(jìn)行監(jiān)控和管理。

受訪者普遍對于零信任缺乏全面的認(rèn)知，由于認(rèn)知不足造成的安全能力短板情況嚴(yán)峻，令人擔(dān)憂。這些缺失的能力恰是保障零信任戰(zhàn)略順利實施的關(guān)鍵所在。

普普點評

高效的零信任解決方案作為一個全面集成系統(tǒng)協(xié)同工作所具備的基本要素，能夠抵御組織所面臨的各種安全防護和管理漏洞。例如，全面集成零信任策略、端點防護以及網(wǎng)絡(luò)安全解決方案的Fortinet Security Fabric 安全架構(gòu)，可在跨分布式網(wǎng)絡(luò)環(huán)境下自動追蹤用戶，輸出高質(zhì)量威脅情報信息，構(gòu)建積極主動的安全防御體系。

Check Point 軟件技術(shù)公司 2022 年安全報告：全球網(wǎng)絡(luò)安全事件分析

2021 年，全球各地企業(yè)與機構(gòu)遭到的網(wǎng)絡(luò)攻擊較 2020 年平均增長 50%。教育和研究部門成為重災(zāi)區(qū)，平均每周遭受 1,605 次攻擊。軟件廠商遭受的攻擊數(shù)量增長 146%，同比增長幅度創(chuàng)歷史新高。

2022 年 1 月 21 日 -- 全球領(lǐng)先網(wǎng)絡(luò)安全解決方案提供商 Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）的威脅情報部門 Check Point Research (CPR) 發(fā)布了其《2022 年安全報告》。報告揭示了 CPR 在 2021 年觀察到的關(guān)鍵攻擊向量和技術(shù)，其中包括年初空前復(fù)雜和廣泛的 SolarWinds 攻擊與年末大規(guī)模爆發(fā)的 Apache Log4j 漏洞攻擊。

2021 年，全球企業(yè)與機構(gòu)每周遭受的網(wǎng)絡(luò)攻擊較 2020 年增長了 50%。其中教育/研究部門首當(dāng)其沖，每周遭受 1,605 次攻擊（增長 75%）。其次是政府（每周 1,136 次，增長 47%）和通信相關(guān)機構(gòu)（每周 1,079 次，增長 51%）。軟件廠商所遭受的攻擊同比增長幅度最大 (146%)，這與 2021 年觀察到的軟件供應(yīng)鏈攻擊不斷增長的趨勢一致。去年，移動設(shè)備攻擊不斷升級，主要云服務(wù)漏洞日益增加，臭名昭著的 Emotet 僵尸網(wǎng)絡(luò)卷土重來。

普普點評

隨著世界各地的政府和執(zhí)法機構(gòu)采取了更強硬的態(tài)度，嚴(yán)厲打擊勒索軟件組織，勒索軟件生態(tài)系統(tǒng)正開始瓦解。一些令人震驚的網(wǎng)絡(luò)事件讓各國政府意識到，與其亡羊補牢、被動應(yīng)戰(zhàn)，不如主動出擊消滅網(wǎng)絡(luò)風(fēng)險。這種理念也同樣適用于企業(yè)，脫節(jié)、孤立、被動的防御方法并不可取，全方位的可視性、實時的威脅情報以及能夠整體調(diào)度的安全基礎(chǔ)設(shè)施才是良藥。

截至2021年底我國每萬人擁有5G基站數(shù)達(dá)10.1個

工業(yè)和信息化部近日發(fā)布《2021年通信業(yè)統(tǒng)計公報》(以下簡稱《公報》)，顯示截至2021年底，我國累計建成并開通5G基站142.5萬個，總量占全球60%以上，每萬人擁有5G基站數(shù)達(dá)到10.1個。

《公報》指出，2021年通信業(yè)發(fā)展質(zhì)量進(jìn)一步提升，5G、千兆光網(wǎng)等新型信息基礎(chǔ)設(shè)施建設(shè)覆蓋和應(yīng)用普及全面加速，移動互聯(lián)網(wǎng)流量持續(xù)快速增長，行業(yè)綜合價格下降，同時業(yè)務(wù)收入保持增長，為“十四五”發(fā)展奠定堅實基礎(chǔ)。

數(shù)據(jù)顯示，2021年，我國電信業(yè)務(wù)收入累計完成1.47萬億元，比上年增長8.0%，實現(xiàn)自2014年的8年來較高增長水平，增速較上年提高4.1個百分點。其中，云計算、大數(shù)據(jù)、數(shù)據(jù)中心等面向企業(yè)的新興數(shù)字化服務(wù)快速發(fā)展，收入比上年增長27.8%，拉動電信業(yè)務(wù)收入增長3.6個百分點，對電信業(yè)務(wù)收入增長貢獻(xiàn)率上升至44.5%，成為收入增長第一拉動力;固定、移動數(shù)據(jù)及互聯(lián)網(wǎng)業(yè)務(wù)繼續(xù)發(fā)揮穩(wěn)定器作用，收入占比為61.5%，對電信業(yè)務(wù)收入增長貢獻(xiàn)率為39.4%。按照上年不變單價計算，全年電信業(yè)務(wù)總量完成1.7萬億元，比上年增長27.8%;按電信業(yè)務(wù)總量和收入測算，電信業(yè)綜合價格比上年下降13.6%。

普普點評

據(jù)了解，2021年，全行業(yè)加快“雙千兆”建設(shè)，推動國家大數(shù)據(jù)中心發(fā)展，構(gòu)建云網(wǎng)融合新型新型基礎(chǔ)設(shè)施，賦能社會數(shù)字化轉(zhuǎn)型的供給能力不斷提升。此外，2021年，通信行業(yè)開展了面向老年人等特殊群體適老化改造，持續(xù)開展精準(zhǔn)降費、互聯(lián)網(wǎng)行業(yè)專項整治和APP專項整治工作，不斷提升服務(wù)水平。通信大數(shù)據(jù)在高效支撐常態(tài)化疫情防控發(fā)揮重要作用，有力服務(wù)經(jīng)濟社會大局。

網(wǎng)絡(luò)安全與自動化威脅情報共享優(yōu)秀做法

許多組織選擇通過多種方式共享網(wǎng)絡(luò)威脅情報(Cyber Threat Intelligence, CTI)訂閱各種信息源，其中包括妥協(xié)指標(biāo)方案(Indicators of Compromise, IOC)。在當(dāng)前市場上，威脅情報最普遍的使用場景是利用IOC情報(Indicators of Compromise, IOC)進(jìn)行日志檢測來發(fā)現(xiàn)內(nèi)部重要風(fēng)險。這種方式可以發(fā)現(xiàn)傳統(tǒng)安全產(chǎn)品無法發(fā)現(xiàn)的很多威脅，并且因為這其中大多是已經(jīng)被成功攻擊的操作，所以“亡羊補牢”對于安全運營仍會有較大的幫助。

IOC信息通常通過信息共享和分析中心或組織(Information Sharing and Analysis Center or Organization, ISAC/ISAO)來傳播。在這些信息流中尋找可操作、實用的IOC是一個重大挑戰(zhàn)，只有實用的IOC才能為網(wǎng)絡(luò)防御提供實質(zhì)性的好處，然而即使是實用的IOC中大部分也通常在未使用或丟失直到不再有價值時才使用，此時網(wǎng)絡(luò)攻擊者往往會迅速停止使用特定IOC。

通過多項研究和試點工作，約翰·霍普金斯大學(xué)申請的應(yīng)用物理實驗室(Applied Physics Laboratory, APL)已成功部署威脅源，可在幾分鐘內(nèi)收集、提取、識別可操作的IOC，并將其共享給共享組織，如ISAC或ISAO，該方法被稱為基于“無悔”策略的方法。

普普點評

“無悔”策略的使用能夠提取運營成本中目前被網(wǎng)絡(luò)防御行動忽視的許多CTI的價值。它不是一個靈丹妙藥，它不會捕獲從CTI的積極分析中得出的見解，但它可以提供社區(qū)成員可在其安全操作中使用的可操作數(shù)據(jù)，以破壞針對其網(wǎng)絡(luò)的惡意活動。簡而言之， “無悔”策略的價值之處在于低影響下的自動處理，因此對實時性支持較好，有利于威脅的快速發(fā)現(xiàn)與響應(yīng)。

安全“左移”將成為2022年云安全熱議話題

安全“左移”是IT開發(fā)和DevOps人員使用的專業(yè)術(shù)語，用于描述將安全測試和安全技術(shù)向軟件開發(fā)周期上游移動。當(dāng)前，安全“左移”已經(jīng)成為軟件行業(yè)的共識，因為在軟件開發(fā)生命周期早期修復(fù)漏洞遠(yuǎn)比在后期進(jìn)行補救更加省時省力。在云安全領(lǐng)域，安全“左移”需要把更多的自動化、安全和網(wǎng)絡(luò)功能直接融入到應(yīng)用程序開發(fā)中，以便安全人員根據(jù)應(yīng)用程序要求，編排和自動化基礎(chǔ)架構(gòu)，包括安全性。這個概念在業(yè)內(nèi)又叫“X即代碼”模型(網(wǎng)絡(luò)即代碼和安全即代碼等)。

日前，在舉行的NetEvents Interactive網(wǎng)絡(luò)研討會上，安全“左移”這個主題備受矚目，風(fēng)險投資公司DNX Ventures執(zhí)行合伙人Hiro Rio Maeda表示：“當(dāng)今網(wǎng)絡(luò)界的兩大主題是供應(yīng)鏈風(fēng)險以及如何在應(yīng)用程序構(gòu)建的早期階段確保安全——換句話說，我們稱之為網(wǎng)絡(luò)安全界中的‘左移’?！?/span>

NetFoundry創(chuàng)始人兼首席執(zhí)行官Galeal Zino贊同這一說法。他表示：“除非可以將網(wǎng)絡(luò)和安全移到開發(fā)交付生命周期的核心……否則事后添加安全為時已晚?！盡aeda提到的供應(yīng)鏈風(fēng)險在SolarWinds黑客事件中盡顯無遺，當(dāng)時不法分子將惡意代碼插入到軟件更新中。

普普點評

許多安全工具旨在事后檢測泄密或威脅，但這時壞人早已潛入系統(tǒng)，可能已經(jīng)造成了威脅。安全“左移”是可以在開發(fā)早期階段實施安全代碼和策略，比如零信任策略方法，可以驗證來自多個途徑的代碼和更改，在惡意程序添加進(jìn)來之前就阻止威脅。在不斷倡導(dǎo)加速軟件開發(fā)流程的環(huán)境、尤其在云端——即所謂的持續(xù)集成和交付服務(wù)(CI/CD)中，非常需要這種方法。