技术的不断进步,在为人们创造更多便利的同时,也让助长了网络犯罪活动,网络安全威胁在不断演变。本文将结合多篇近期的网络安全报告,从当前全球网络安全态势,包括关键技术发展、威胁行为者活动、以及网络安全防御策略,分析网络安全的现状,探讨未来可能面临的挑战。
在CYBEREDGE的2024年《网络威胁防御报告》指出,在过去的一年中,有82% 的机构或组织去年至少遭受了一次成功的网络攻击,在支付赎金的勒索软件受害者中,只有 57% 恢复了他们的资料,86% 的安全团队面临技能短缺,各公司或组织2024年的安全预算增长了5.7%
IDC通过对全球500多位安全和IT运营领导者展开调研,了解到当前企业对现代安全威胁的看法和实现网络弹性的方法。其中61%的受访者认为由于攻击日益精进,在未来12个月内“可能”或“非常可能”发生数据丢失。受访者认为本地工作负载比云工作负载更易受到攻击。
IBM发布的《2024年资料泄露成本报告》指出:2023年 3 月至2024 年 2 月间全球 604 家机构的资料泄露事件,这些数据泄露事件的平均成本在2024 年创下 488 万美元的新高,同比增加 10%。这是自 2020 年以来资料泄露成本增幅最大的一年。70%的受访企业表示,资料泄露造成了重大或非常重大的损失。
CertiK公布的数据显示,在2024年第二季度,共发生了184起链上安全事件,损失金额达到6.88亿美元,与2024年第一季度相比,损失金额增加了37%。其中,钓鱼攻击最为严重,造成了4.33亿美元的损失;私钥泄露事件紧随其后,共造成1.7亿美元的损失。以太坊受到的打击最为严重,83起事件共造成了1.7亿美元的损失。尽管发生了这些安全漏洞,但最终有9,900余万美元的资金被追回,使得该季度最终的实际损失为5.89亿美元。
这表明网络安全造成的损失正在扩大。
一. 当前网络安全威胁态势
1.AI技术的快速发展与安全挑战
随着人工智能、区块链和量子计算等新技术的快速发展,网络安全问题日益凸显。这些技术在推动社会进步的同时,也为网络犯罪分子提供了新的攻击手段。例如,生成式人工智能(GenAI)技术被用于创建深度伪造内容,进行精准的网络钓鱼攻击。
网络犯罪组织利用GenAI实施诱骗用户信息:利用 AI 生成高度逼真、针对性强的钓鱼邮件。这些邮件在内容上与正常的业务邮件或个人通信极为相似,无论是语言表达、格式还是语气都很难让收件人察觉出异常。例如,AI 可以根据目标用户的兴趣爱好、工作领域等信息,生成与之相关的邮件主题和内容,诱导用户点击邮件中的链接或下载附件,从而获取用户的敏感信息,如账号密码、银行卡号等。
借助 AI 生成图片、视频、音频等多媒体内容来欺骗用户,利用 AI 合成逼真的语音信息,模仿主管、同事、客服等的声音,通过电话或语音信息进行诈骗。
此外,AI技术还被训练用来破解密码与身份验证,寻找系统漏洞与弱点以及实施深度伪造攻击,利用 AI 技术生成虚假的身份信息,包括头像、个人资料、社交网络动态等,以此来伪装成合法的用户或机构。黑客可以利用这些伪造的身份在网络上进行社交工程攻击,获取他人的信任,进而窃取敏感信息或进行其他恶意活动。
2.勒索软件与针对性攻击的增加
勒索软件攻击者正在利用自动化、人工智能(AI)和超大规模云系统来扩大攻击规模和提高盈利能力。在近一年的各种报告中,勒索软件攻击的频率和规模都在上升,针对关键基础设施的攻击可能导致灾难性后果。针对性攻击,如高级持续性威胁(APT)攻击,变得更加复杂且隐蔽,对特定行业或组织构成严重威胁。
微软的《2023年数字防御报告》(Microsoft Digital Defense Report 2023)指出:勒索软件运营商越来越多地采用手动加密和数据泄露技术,以隐藏他们的踪迹。80-90%的成功勒索软件入侵源自未管理的设备。针对中小企业的针对性勒索软件攻击增加了200%以上。
2023年IBM《资料泄露成本报告》(Cost of Data Breach Report)报告发现,人工智能及自动化让数据泄露处理周期缩短了108天; 未寻求法律说明的勒索软件受害者平均遭受47万 美元的额外损失; 只有三分之一的企业能够依靠自身检测到漏洞。2023年全球数据泄露的平均成本达到445万美元,创该报告有史以来以来最高记录,也较过去3年均值增长了15%。同一时期内,检测安全漏洞和漏洞恶化带来的安全成本上升了42%,占安全漏洞总成本的比值也来到史上最高。
一些被研究组织在遭勒索软件攻击后仍不愿与执法部门接触,因为他们担心这只会使情况变得复杂。今年,IBM《资料泄露成本报告》首次深入研究了这个情况,并证明,结论与担忧的恰恰相反。无执法部门介入的情况下,被攻击组织的数据泄露生命周期比有执法组织介入的情况平均长 33 天。而这种"沉默"意味着巨大的代价。研究表明,相比采取法律行动的勒索软件受害者,未采取法律行动的受害者平均要承受高出 47 万美元的资料泄露成本。
图:勒索软件受害者在涉及执法时节省了时间和金钱 图片来源:IBM
趋势科技(Trend)在2024年上半年的报告指出,银行、科技与政府机关是今年上半年遭勒索病毒攻击最多的前三大产业,而即便全球执法机关2月成功瓦解LockBit的攻击行动,LockBit仍是上半年档案侦测数量最多的勒索病毒,侦测数量超过其他勒索病毒家族的一半以上。趋势科技提醒,勒索病毒集团仍不断地演变,试图采用各种不同的攻击手法、技巧与程序(TTP)来进行突破防线、长期潜伏受害者系统、存取登入凭证等动作以窃取数据、操作加密勒索任务。
3.物联网设备的安全风险
物联网(IoT)设备的广泛部署带来了新的安全挑战。这些设备往往安全防护不足甚至没有防御机制的状态,很容易成为攻击者的主要目标。从路由器、摄像头到工业物联网边缘设备,IoT设备的安全性问题日益突出。
很多物联网设备由于尺寸功耗的限制,因此在软硬件安全防护、通信方式、数据传输方面相对薄弱,甚至很多部署在边远地区的物联网设备,面对物理攻击也无法做出有效应对。
最近的研究估计,当今企业平均拥有 3,000 多台互联的物联网设备,而 2020 年只有不到 700 台。这种快速增长是由多种因素推动的,包括传感器成本的下降以及低功耗连接选项(如低功耗蓝牙和 LoRa)的激增。最近的研究还预测,未来几年互联物联网设备的数量将继续增加,到 2025 年,平均每个企业将超过 9,000 台。
随着IT与OT进一步融合,企业物联网资产与漏洞管理、威胁检测与事件响应难度不断加大。供应链攻击、地缘政治冲突、国家黑客与APT组织对工业物联网和关键基础设施的威胁不断增长。
根据 Deloitte 的连接和移动趋势 (CMT) 调查,随着物联网的不断扩展,平均每个家庭拥有 22 台智慧设备,保护这些设备的挑战变得越来越复杂。
图:德勤研究报告指出 物联网设备的迅速普及使得其安全问题变得复杂 图片来源:deloitte.com
2024年,物联网安全威胁焦点将向边缘转移,经常被忽视的边缘设备(包括防火墙、路由器、VPN、交换机、多任务器和网关等)正在成为勒索软件和APT组织的热门目标。(物联网)边缘设备面临独特的网络安全挑战,因为黑客将更多地利用零日漏洞来实现长期驻留和访问,而且这些边缘设备与传统网络组件不同,难以通过部署IDS/IPS进行入侵检测。
4.网络安全防御能力不足
尽管2024年企业和机构的平均 IT 安全预算增长了 5.7%,而且6成以上的公司配备了具有安全背景的董事会成员,但是这些投入仍显不足。安全漏洞未及发现,即便发现也需要花费较长事件来修复。
以云端应用为例,40% 的安全应用程序和服务通过云部署。企业的上云速度正在加快。到2025年,企业和机构的云端市场预计将从2021年的3,700亿美元增长至8,300亿美元。威胁者往往会利用云中的常见问题发动入侵,例如配置错误、凭证弱、身份验证不足、漏洞未修复、恶意OSS资源包等。
派拓网络副总裁兼亚太及日本地区首席安全官Sean Duca表示:“云技术的发展日趋成熟。但随着云使用量不断上涨,威胁者也变得更加狡猾和强大,他们会利用隐藏的薄弱环节和漏洞实施攻击。云对象存储服务的大范围采用加剧了企业的安全紧张态势,使攻击者能够更快、更轻易地入侵共享软件供应链,同时伏击大量受害者。云给威胁者提供了可乘之机——一旦管理不当,企业就会暴露于风险之中。因此,企业需要采取全面的平台策略,在云环境被入侵之前实时发现和消灭威胁。”
而Palo Alto Networks(派拓网络)的研究发现,受害者企业的安全团队平均需要145个小时(6天)解决一个警报,这给给潜在攻击者留下了大量可乘之机。
此外,安全意识和培训的缺乏也使得员工容易成为钓鱼攻击等社会工程学攻击的目标。远程工作的增加也带来了新的安全风险,如对VPN、RDP等远程访问技术的依赖。
根据Gartner的报告,2022年82%的资料泄露是“员工不安全或疏忽行为造成的”,三分之一的成功网络攻击来自影子IT,给企业造成数百万美元的损失。而影子AI正在加速放大这种“人为因素”产生的威胁。
根据The Conference Board的一项调查,56%的北美企业员工在工作中使用生成式AI,但只有26%的企业制定了明确的生成式AI使用政策。在没有制订AI政策的企业中,使用影子AI的员工中只有40%向主管如实汇报。
很多公司都在尝试限制或规范员工在工作中使用生成式AI的行为。但是,在提高生产力的需求刺激下,多达30%的员工在没有IT部门的许可,不计后果地使用生成式AI,也就是所谓的影子AI,这些AI工具在给使用者带来便利的同时,也是攻击者手中的利器。
二.未来网络安全挑战
生成式AI应用如火如荼的大型语言模型,在激发生产力的同时也被网络犯罪分子滥用进行正在成为攻击的武器。
GPT-4、Claude和PaLM2等领先的大语言模型在生成连贯文本、回答复杂查询、解决问题、编码和许多其他自然语言任务方面取得了突破性的进展,让威胁者发现了一种经济高效的工具,使用这项工具,威胁者们无需大量专业知识、时间和资源就可发动大规模针对性攻击。
2023年,FraudGPT和WormGPT等武器化的恶意大语言模型工具已经在网络犯罪网络中占据主导地位,用于自动化创建网络钓鱼电子邮件、假冒网页以及能够逃避检测的恶意软件,使得大规模网络钓鱼活动变得更便宜且更容易实施。根据CrowdStrike的报导,恶意大语言模型已经成为暗网最畅销的黑客工具,吸引了数以千计的不法分子。
恶意大语言模型应用极大地降低了网络犯罪的门坎并极大提高攻击效率和成功率,预计2024年恶意大语言模型工具的开发和滥用将加速,恶意软件的数量将以前所未有的速度增加。
图:恶意软件家族区域流行度排行榜 图片来源:fortinet.com
Fortinet发布《2024 年网络威胁趋势预测报告》预测高级持续性网络犯罪变得更加复杂且更具针对性、网络犯罪集团之间的“地盘争夺战”愈加激烈以及AI应用于攻击战术的巨大变革。
趋势 1:Attack Playbook再升级
随着越来越多的网络犯罪分子发起勒索软件攻击,以期获得丰厚回报,攻击者也将更精密、更复杂的攻击技术渗透网络,攻势愈发猛烈。我们预测2024年网络犯罪分子将更加猖狂,且抱着“要么出众,要么出局”的心态,争相扩大目标列表和Attack Playbook (攻击预定步骤和策略)。而且,不法分子还将继续追逐“高额获利”,将攻击目标转向医疗保健、公用事业、制造业和金融业等关键基础设施行业,试图挖掘成功入侵后可对社会产生重大不利影响的目标。除了将目光投向更高价值目标外,攻击者还将升级现有战术,其Attack Playbook将变得更加激进和更具破坏性,攻击手段将从数据加密转为拒绝服务和敲诈勒索。
趋势 2:零日威胁更易获利
随着组织不断扩大其赖以支持日常业务运营的平台、应用程序和技术的数量,犯罪分子在发现和利用软件漏洞方面得以获得无数可乘之机。对于攻击者而言,发现新的零日威胁非常有利可图。鉴于这类漏洞的高价值属性,Fortinet预测许多零日漏洞不会被公开披露。可以预见,未公开披露的零日漏洞对攻击者而言更具价值,因为攻击者可通过利用多数人未发现的零日漏洞勒索更多的不义之财,这意味着安全团队需时刻保持高度警惕,沉着布防汹涌而来的零日漏洞攻击。与此同时,组织不应忽视“N-days”漏洞,应将其视为仍具有攻击性的零日漏洞。Fortinet预测,CaaS 小区将出现“零日经纪人”,即一类在暗网上向多个买家兜售零日漏洞的网络犯罪集团。“零日经纪人”的兴起将成为网络犯罪分子扩展攻势的有效路径,并通过更协同配合的攻击活动挖掘更广泛的攻击面。
趋势 3:内部威胁持续上升
为有效应对不断演进的威胁态势,许多组织正着手升级安全控制措施,并采用新技术和新流程强化防御机制。这些效能增强的控制机制,使攻击者从目标组织内部招募人员协助其完成初始访问。例如,网络犯罪分子可轻易使用生成式AI,克隆高管或授信人员的声音,继而利用这些伪造录音,迫使毫无戒心的目标执行命令、泄露密码或数据甚至进行资金转账。我们预测,招募即服务模式将发展为下一个新趋势,说明攻击者获得更多信息以分析其潜在攻击目标。
趋势 4:事件驱动成为新一波攻击浪潮
2024 年攻击者将聚焦更具针对性和事件驱动性的攻击机遇,例如2024 年巴黎奥运会。过去,不少攻击者曾试图破坏重大事件或利用地缘事件发动攻击,但如今,网络犯罪分子可使用全新工具,尤其是生成式AI,助其达成不法目的。即将举办的巴黎奥运会的与会者和观众可能遭遇来自“铁粉”的骗局轰炸。随着各大赛事越来越依赖各项技术进行比赛计时、赛事管理和转播,相关赛事系统可能沦为攻击者的靶标。
趋势 5:缩小 TTP 攻击范围
攻击者将不可避免地继续扩大其用以入侵目标的策略、技术和战术(TTP)集。然而,通过缩小攻击范围并找到破坏这些活动的方法,防御者可抢占先机。
Crowdstrike在《2024年全球网络安全威胁报告》中指出,CrowdStrike CAO观察到APT攻击者在有针对性的入侵、电子犯罪和黑客行动领域以前所未有的隐蔽方式开展行动。2023年,在地缘政治冲突(即俄罗斯-乌克兰和以色列-哈马斯冲突)引发了大量有针对性的入侵和黑客网络活动,特别是对伊朗关系和俄罗斯关系的攻击者。2024年,这些冲突和其他备受瞩目的冲突仍将是黑客活动的重要驱动因素。除了与以色列-哈马斯冲突相关的网络活动外,伊朗的攻击者一直在攻击电信组织,这一趋势在2024年可能会继续。俄罗斯的攻击者也继续以乌克兰、北约成员国和伙伴国为目标。可以肯定,他们将在2024年继续在这些地区开展情报收集行动和信息运营工作。
国家支持的APT集团一直在探索新的方法、潜入连网络由器甚至利用全球事件议题来变换其发展攻击的工具和手法,扩大攻击范围。他们会使用更复杂的工具和技术,如定制植入物和零日漏洞的快速利用。这些行为者通常拥有更多的资源和更高级的技术,使得防御更加困难。俄罗斯、伊朗和北韩等国家的行为者继续提高他们的网络攻击能力。网络雇佣兵市场扩张可能破坏更广泛的在线环境。
APT攻击:高级持续性威胁(Advanced Persistent Threat,APT),又叫高级长期威胁,是一种复杂的、持续的网络攻击,包含三个要素:高级、长期、威胁。高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度,需要花费大量时间和资源来研究确定系统内部的漏洞;长期是为了达到特定目的,过程中“放长线”,持续监控目标,对目标保有长期的访问权;威胁强调的是人为参与策划的攻击,攻击目标是高价值的组织,攻击一旦得手,往往会给攻击目标造成巨大的经济损失或政治影响,乃至于毁灭性打击。比较知名的案例有: 2010年,Stuxnet病毒成功攻击了伊朗核设施的离心机,导致大量设备报废;2014年,索尼影业遭受来自朝鲜的APT攻击,大量资料被删除和泄露;2020年,SolarWinds供应链被植入恶意代码,导致多个美国政府部门和大型企业遭受攻击,美国政府认为是俄罗斯情报机构所为。
三.小结
网络安全是一个不断变化的领域,需要持续的创新和合作来应对日益复杂的威胁。必须投资于先进的技术,如AI和零信任架构,并加强跨部门合作,以确保数字环境的安全和韧性。同时,随着网络犯罪的规模化和新兴网络威胁的快速增长,防御者将面临前所未有的艰巨挑战。根据Cybersecurity Ventures的预测,到2024年底,网络攻击给全球经济造成的损失预计将高达10.5万亿美元。这意味着,2024年全球网络犯罪造成的损失有望首次突破10万亿美元大关,网络犯罪已经成为“GDP”增速惊人的全球另一大“经济体”。面对复杂动态且不断恶化的威胁态势,如何进行威胁预测和优先级排序成为从政府、企业到个人风险管理的头号议题。我们需要更为先进的工具,并且不断评估和更新其安全策略,以应对这些不断变化的威胁。
IBM商业价值研究院最新报告显示,全球仅 24% 的生成式 AI 计划获得了保护,随着全球网络攻击面不断扩大,网络安全人员面临巨大挑战。世界经济论坛预测,到 2030年,全球网络安全人员的缺口可能达到 8500 万人,这一短缺将进一步推高资料泄露成本。资源紧张的安全团队将越来越多地转向以 AI 为特色的安全技术,以加强网络防御能力,最大限度地减少被成功攻击的影响。
图:AI框架的安全性 图片来源:ibm.com
AI框架的安全性 构建值得信赖的AI
人工智能驱动的预防工作正在取得成效。超过6成的企业和更多机构正在其安全运营中心(SOC)中部署安全人工智能和自动化技术。当用户在预防阶段广泛使用 AI 和自动化工具,其平均数据泄露成本与未使用这些技术的组织相比要少 220 万美元,这表明 AI 和自动化技术有助于加速威胁缓解和补救,为防御者争取更多时间。
如Gartner所说:GenAI引发短期疑虑,但同时也点燃了长期希望。
参考资料:
Gartner:2024年网络安全重要趋势
Crowdstrike:2024年全球网络安全威胁报告
2023 Microsoft 数位防御报告
CyberEdge:2024网络威胁防御报告
Fortinet:2023年下半年全球威胁态势研究报告
IBM:生成式AI时代的网络安全
趋势科技2024上半年资安总评报告
