文/Bernard Marr
自2020年全球新冠疫情爆發以來,我們所生活的世界發生了變化,這對網絡犯罪分子特别有幫助。網絡管理軟體SolarWinds公司的黑客事件就能說明這一點,微軟總裁布拉德·史密斯(Brad Smith)将其描述為有史以來最複雜的網絡攻擊,其影響貫穿了整個2021年。
家庭工作、持續的社會數字化以及生活中日益增加的線上購物意味着網絡釣魚者、黑客、詐騙者和勒索者的機會,而這種情況在2022年絲毫沒有緩解的迹象,是以個人和企業必須了解不斷增加的攻擊途徑以及所能采取的降低風險的措施。
下面會介紹一些2022年影響網絡安全的最重要的趨勢,以及避免成為受害者的辦法。
人工智能驅動的網絡安全
與在金融服務中用于欺詐檢測的方式類似,人工智能可以通過識别一些預示着異常情況的行為模式來對抗網絡犯罪,這對于需要應對每秒發生數千個事件的系統來說十分有益,因為這通常是網絡犯罪分子試圖攻擊的地方。
人工智能的預測能力非常有用,也是越來越多公司将投資于這類解決方案的原因。不幸的是,網絡犯罪分子也意識到了人工智能的好處,他們通過使用機器學習等技術來規避網絡保護措施,新的威脅是以出現。這使得人工智能變得更加重要,因為它是抵抗人工智能驅動的網絡攻擊的唯一希望。
Capgemini 最近的研究發現,有三分之二的企業認為,現在人工智能對于識别和應對關鍵性的網絡安全威脅是必要的,并且有近四分之三的企業正在為此使用或測試人工智能。
日益增長的勒索軟體威脅
根據英國國家網絡安全中心(UK National Cyber Security Centre)的資料,2021年第一季度勒索軟體的數量是 2019 年的三倍。普華永道的研究則表明,61%的技術高管預計這一比例到2022年會提升。當然,我們可以在很大程度上将此歸咎于新冠疫情,以及線上和數字化行為的增加。
勒索軟體通常涉及用病毒感染裝置。通過用不可破解的加密技術将檔案鎖定,這些病毒會威脅銷毀這些檔案,除非支付贖金,而贖金通常是以無法追蹤的加密貨币的形式存在。或者,軟體病毒可能會威脅要将資料公開,進而使組織面臨巨額罰款。
在一般情況下,勒索軟體會以網絡釣魚的方式展開攻擊——即誘騙組織成員提供詳細資訊,或讓其點選下載下傳勒索軟體(有時稱為惡意軟體)的連結。不過在最近,通過USB裝置來直接感染機器的情況正變得越來越普遍。令人擔憂的是,針對關鍵基礎設施的此類襲擊有所增加,比如對水處理設施的襲擊。該襲擊短暫地改變了設施的化工作業,結果可能危及生命。其他勒索軟體攻擊的目标則包括天然氣管道和醫院。
教育是應對這種威脅的最有效方法。研究表明,意識到此類網絡攻擊危險的員工成為受害者的可能性要低八倍。
易受攻擊的物聯網
2022年,物聯網所包含的連接配接裝置的數量預計将達到180億台,其後果之一是,網絡犯罪分子尋求進入安全數字系統的潛在接入點數量将大幅增加。
長期以來,物聯網一直被認為是一種特定的威脅,過去的網絡攻擊包括黑客使用冰箱和水壺等家用電器聯網通路網絡,然後進入存儲着有價值的資料的計算機或手機。
在未來,物聯網除了變得更廣泛,也會變得更複雜。許多組織都在開發“數字化雙胞胎”資料模型,即對整個系統甚至業務進行全面的數字模拟。這些模型通常與作業系統相連,以便于把收集到的資料進行模組化,對那些不懷好意的人來說,這意味着提供了寶藏資料的通路權限。
對物聯網裝置的攻擊會繼續增加,像邊緣計算裝置——資料在盡可能接近收集點的地方運作——和集中式雲基礎設施等都容易受到攻擊。教育和意識是防止這些漏洞的兩個最有用工具,任何網絡安全政策都應始終包括對可以連接配接或通路網絡的每台裝置進行徹底審查,并全面了解它可能構成的任何漏洞。
網絡安全風險是合作決策的關鍵因素
任何網絡安全操作的安全性都取決于其最薄弱的環節,這意味着企業越來越多地将供應鍊中的每個環節都視為潛在的漏洞。是以,企業越來越多地将網絡安全的彈性和曝光度作為選擇合作夥伴的決定性因素。
Gartner的研究預測,到2025年,60%的組織在選擇業務合作對象時會将網絡安全風險作為“主要決定因素”。
随着《歐洲通用資料保護條例》(GDPR)、《中國個人資訊保護法》(Personal Information Protection Law)、《加州消費者隐私法》(Californian Consumer Privacy Act)等法律的出台,越來越多的組織可能會因為資訊安全錯誤而面臨巨額處罰,這意味着每一個可能通路組織資料或系統的合作夥伴都将受到嚴格的審查,無法回答網絡安全或評級問題的企業會越來越發現自己被冷落了。事實上,Gartner預測,對企業來說,像SecurityScorecard、Black Kite 或 UpGuard這樣的代表行業标準的安全評級方案,将與信用評級機構一樣重要。
監管開始趕上風險
多年來,由于技術的快速變化,網絡犯罪分子認識到網絡監管對他們行為的了解是薄弱的。2021年,網絡犯罪對全球經濟造成的損失将達到6 萬億美元,但這種情況難以持續。根據Security Magazine的報道,2022 年将是監管者采取止損措施以控制局勢的一年,而這樣做的後果之一,可能是将目前僅涵蓋侵入和損失的懲罰範圍擴充到對潛在損害的脆弱性和暴露性。另一個後果則可能是有越來越多的司法管轄區通過了與支付勒索軟體相關的法律。我們還可以看到,越來越多的法律義務被移交給首席資訊安全官,以減小資料盜竊、丢失和洩露對客戶造成的影響。
雖然這種做法不可避免地會增加企業資訊安全負責人的負擔,但從長遠來看,這隻會是一件好事。如今,對于希望通路我們個人資訊的特權組織而言,建立消費者信任比以往任何時候都更加重要。
Bernard Marr是福布斯撰稿人,觀點僅代表個人。