Check Point发布2023年网络安全趋势预测,枚举企业在未来一年将面临的安全挑战。
相较2021年,2022年第三季各产业遭遇的网络攻击增加28%,Check Point预测在勒索软件漏洞攻击持续增加、由国家支持的黑客激进主义(state-mobilized hacktivism)因国际冲突不断演进的情况下,全球网络攻击事件将继续大幅增长。同时,随着全球340万安全人才缺口进一步扩大,各组织安全团队面临的压力将持续增加;各国政府也需要采取新兴安全法规,保护国民免受资料外泄威胁。
2022年,网络犯罪份子和由国家支持的攻击者持续趁各组织采取混合办公模式时发动攻击;在新冠疫情与俄乌冲突持续影响全球之时,网络攻击加剧的态势也丝毫未减缓。Check Point建议各组织集成并自动化自身的安全基础建设,进一步监控及管理攻击表面,以较低复杂性和精简人力有效防御各类型威胁。
2023年网络安全趋势预测分为四种类型,包含恶意软件与网络钓鱼、黑客激进主义、新兴政府法规及安全集成。
勒索软件有增无减:勒索软件为2022年上半年组织面临的主要威胁,其生态系将不断演变和升级,以更小、更敏捷的犯罪群体活动规避法规。
破坏协作工具:尽管针对企业和个人电子邮件的网络钓鱼攻击威胁已屡见不鲜,预期在2023年犯罪份子将扩大其攻击范围,利用网络钓鱼程序向Slack、Microsoft Teams、Microsoft OneDrive和Google Drive等协作工具发动攻击;因大多数组织的员工仍经常远程办公,这些工具中皆包含大量敏感资料。
由国家支持的黑客激进主义:过去一年中,黑客主义已经从没有具体规范的社群团体,例如黑客组织匿名者(Anonymous),演变为由国家支持、更有组织性也更为复杂的群体;近期美国、德国、意大利、挪威、芬兰、波兰和日本皆沦为攻击目标,预期这类因意识形态而起的攻击将于2023年更加严重。
Deepfake武器化:今年10月美国总统Joe Biden在演讲中献唱《鲨鱼宝宝》而非美国国歌的深伪视频被广泛传播,令人不禁猜测这究竟是个玩笑也或是企图影响美国期中选举的举措;深伪技术将愈加频繁被用于发动攻击及操纵消息,或诱骗员工交出访问凭证。
关于资料外泄的新兴法律:澳洲电信公司Optus资料外泄事件促使该国政府颁布电信企业均须遵守的全新资料外泄法规,保护消费者免于承受随之而来的欺诈风险。2023年除了欧盟一般资料保护规则(GDPR)等现有措施外,预期其他国家也将陆续效法澳洲推行相关法律规范。
国家网络犯罪工作小组成立:越来越多国家将效仿新加坡成立跨机构工作小组,联合企业、国家相关部门及执法部门,应战勒索软件及网络犯罪,打击对企业及消费者来说日益严峻的威胁。对于此类工作小组的需求增加是因为人们开始怀疑在安全事件发生时,网络保险企业是否真有其作用。
强制要求将安全与隐私纳入设计:汽车业已采取此措施保护车主资料,预期此方法将进一步应用于其他消费品领域在存储和处理资料的过程中,要求制造商对其产品漏洞负责。
减少复杂性以降低风险:2022年,全球网络技能落差(cyber-skills gap)扩张了超过25%。由于新冠疫情暴发,企业的分布式网络与云计算部署比以往更加复杂,安全团队需集成其IT和安全基础建设,提升防御能力并减少工作量,进而有效抵御威胁。据Check Point调查,超过三分之二的首席安全官(CISO)认为使用较少厂商的解决方案有助于提升企业安全。