Canalys网安报告:疫情后复杂的网安生态 – 作者:yannichen

3月28日,市场调研机构Canalys发布报告《网络安全产业的现在时和将来时》,剖析2021年及以后网络安全产业面临的机遇和挑战。

由于上一年新冠疫情在全球肆虐,网络安全行业面临着不少挑战。例如,企业在被迫数字转型过程中,造成数据泄露威胁加剧。另一方面,攻击者的攻击手段和方式也日趋复杂和成熟,加密勒索和针对新冠疫情的网络钓鱼层出不穷。

基于此情况,去年网络安全投资已经明显高于IT行业的其他领域。网络安全支出增长到530亿美元,大增10%。

数字转型加剧数据泄露

2020年以来行业的数据泄露加速,尤其是教育、医疗保健、媒体、娱乐和游戏。在新冠疫情期间,上述部门都经历着数字化转型的巨大转变。

图片[1]-Canalys网安报告:疫情后复杂的网安生态 – 作者:yannichen-安全小百科各行业发生的数据泄露事件占比

Zoom是吃到了疫情红利的产品之一,但它却成为了数据泄露的目标。暗网上有超过50万个Zoom帐户信息被出售或免费赠送,黑客利用以往数据泄露事件中流出的账户,通过“证书填充攻击”(credential stuffing attack)收集数据。这导致平台上出现了一些案件和恶意活动。

2005年以来,数据泄露事件的主体是技术部门、数据分析部门、社交媒体和数据代理公司。

图片[2]-Canalys网安报告:疫情后复杂的网安生态 – 作者:yannichen-安全小百科历年通告的数据泄露事件及损失

但在近些年的数据泄露事件中,攻击者看到了数据潜在的高价值,专注于窃取高价值的个人身份信息(PII),并转向其他能带来高收益的攻击手段,例如勒索软件和加密劫持。

2020年,网络钓鱼活动中的勒索软件激增,报告的案件数量增加了近60%。攻击者在过去的一年演变出了新战术,首先从目标中渗出数据,然后加密资产,以向目标受害者施压,要求支付赎金。Maze、Conti、REvil、DoppelPaymer和NetWalker是惯用此类手法的勒索组织。

由于2020年远程工作需求的爆发,钓鱼活动开始针对安全意识和保障较弱的远程办公人员。并且这种情况由于新冠疫情未结束而持续下去。

钓鱼活动起初针对在网络上搜索新冠疫情信息的人,然后演变成模拟云平台、服务和工具这些远程办公所依赖的生产工具;接着,钓鱼行为开始针对搜索和接种新冠疫苗的人。

此外,暴力破解远程桌面协议(RDP)也是攻击者的主要攻击手段之一。

攻击复杂程度上升

如今攻击者的行为已经变得更加复杂和成熟。自动技术化的发展一定程度上加剧了攻击行为,僵尸网络操纵者借助自动化快速成长并攫取利益。

据估计,将近三分之一的互联网流量由恶意机器人制造,超过三分之一网站登录和其他数字服务的登录记录是虚假的。

盗刷团伙利用先进的机器人和自动化技术,抢夺新冠疫情期间在线电商的流量红利。他们利用泄露的个人身份信息,大规模进行凭证滥用、盗刷、网络刷单、库存抓取、DDoS攻击和漏洞扫描。

最有利可图的是新一代游戏机发售。例如索尼的PlayStation 5和微软的Xbox X、S系列。由于线下实体零售店的关闭,新一代游戏机的发布和发售全都在网上进行。限量发售的大部分货源被机器人拍下,转而在拍卖网站上高价售出。

虽然这一行为在大多数国家并不违法,但转卖所得得收益可能会用来资助其他恶意网络活动。

图片[3]-Canalys网安报告:疫情后复杂的网安生态 – 作者:yannichen-安全小百科

除了操纵僵尸网络之外,攻击者对人工智能的使用还处于早期阶段,但它带来的新挑战需要缓解和应对方法。

利用Deepfake技术合成人物形象进行欺诈由来已久。主要是窃取知名人物的图像、视频和音频信息,对特定的个人和组织进行有目的性欺诈。起初,这项技术主要用于影视特效,例如塑造一个虚拟角色。

知名度最高的一个案例是,一家英国能源公司被攻击者利用合成语音技术诈骗24万美元。攻击者伪造母公司首席执行官的声音,要求该公司总经理向一家新供应商汇款。最近发生的Sunburst攻击事件和SolarWinds供应链攻击,是攻击者部署日趋复杂和成熟的又一个例子。

更广泛的供应链攻击已经大量国家流传,包括商业电子邮件泄露、证书钓鱼和凭证欺诈。攻击者还会开发假的网络安全应用程序和恶意应用程序来伪装。

数据监管加强倒推企业革新

针对数据方面的立法落后于个人的隐私和网络安全需求,也落后于数据集成者和攻击者的意图。

但随着各国提升数据保护的优先级,立法开始跟上。然而,在实际情况中,处于数据泄露中心的组织和企业没有及时响应和承担责任。那些在网络安全技术和流程方面没有足够投入的公司更是脆弱。

欧盟的《通用数据保护条例》(GDPR)是一个优秀标杆,它为隐私数据设定了全球基准,但仍有不明确之处。

GDPR要求实施数据保护措施,来安全地处理数据。包括使用双重身份验证(2FA)和端到端加密,以及员工培训、制定公司数据隐私政策和限制对个人数据的访问。

此外,处理个人资料亦须获得当事人同意。组织或企业被要求在72小时内告知当局数据泄露。如果不遵守,企业将被处以2000万欧元(2400万美元)的罚款,或全球营收的4%。

图片[4]-Canalys网安报告:疫情后复杂的网安生态 – 作者:yannichen-安全小百科各地区出台的数据保护政策和措施

GDPR于2018年5月在所有欧盟成员国生效,目的是为数据保护提供统一的框架。2020年,GDPR共发出12.1万份违规通知,比2019年增加19%。在此期间,GDPR罚款增加了40%,共计1.92亿美元。在2020年开出的五大罚单中,有两笔是针对数据泄露的。

去年网络安全投资明显高于IT行业的其他领域

Canalys首席分析师Matthew Ball在评论这份全新的有关网络安全的报告时表示:

“网络安全必须成为数字计划的前沿和中心,否则将出现大规模的企业组织损失,这将威胁到新冠疫情后的经济复苏。对网络安全关注的失误已经产生了重大影响,导致当前数据泄露危机的升级和勒索软件攻击的加速。”

虽然Canalys表示,在网络安全支出方面还需要做更多的工作,但报告也表示,去年网络安全投资已经明显高于IT行业的其他领域网络安全支出增长到530亿美元,大增10%,但并非增长最快领域,表现优于网络安全的领域是业务连续性和劳动力生产力,其中云基础设施服务增长33%,云软件增长20%。

来源:freebuf.com 2021-04-13 22:53:46 by: yannichen

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论