亚信安全发布《2022年网络安全发展趋势及十大威胁预测》

回顾2021年,从防御的角度来看,仍然是充斥着压力和焦虑的一年。勒索软件攻击数量再破纪录、高危漏洞与供应链攻击所造成的持续威胁困扰着大家。

展望2022年,面对数字化、云化、智能化发展的当下,安全更应该放眼于未来。亚信安全期待新一年会有更多新技术补充安全能力,整合一系列离散型的安全产品和解决方案,应对持续演化的网络威胁。同时我们相信,在安全技术上持续创新和突破,在产品的防御联动上能够高效有序,就有很大可能把困难点转化为机会点。

首先在产品、理念上要保持精进,在威胁治理的数量、质量和时间上都能跑赢攻击者;此外,产业协同能力要优先于技术和产品协同,抑制网络安全生长的土壤。因此,在积极部署安全威胁预防及应对策略,多管齐下的同时,更依赖团体合作,个人、企业和政府机构携手编成的安全网,将是我们在2022年乃至今后对抗中最强大的后盾。

1.修补漏洞将是2022年的第一要务

Apache Log4j2漏洞爆发,演绎了2021的“年终大戏”。据评估,全球近一半企业到影响,堪比核弹级的高危Bug,不仅席卷了整个互联网圈,同时也引起了政府部门的高度重视。

漏洞问题持续严峻,根据美国商务部国家标准与技术研究所(NIST)国家漏洞数据库(NVD)的报告,2021年共报告18378个安全漏洞,其中高危漏洞3646个。

如果IT安全团队无法解决2021年的漏洞,再把2022年可能出现(应该说“必定出现”)的漏洞堆积起来,其防御难度可想而知。由此可以预见,越来越多的企业用户将倾向于建立漏洞补丁的快速补救以及有效防护能力,虚拟补丁(VirtualPatch)的技术以其特有的优势更受到用户的青睐。

2.考验关键基础设施数字安全能力的时候到了

关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。其内,存有大量机密资料,网络犯罪分子往往对这些有利可图的数据虎视眈眈。近两年发生了数宗备受瞩目的网络攻击事故,特别是 2021 年,美国最大的燃油管道运营商、全球最大的肉类加工企业均因黑客攻击而停摆,导致影响国家乃至全球经济运行的基础设施受损,对全产业链产生连锁影响,也引发了全球关于加强关键信息基础设施安全保护的思考。

更为严峻的是,威胁关键信息基础设施安全的幕后“黑手”早已不再是单打独斗的网络小黑客,而是装备精良、资源充足、战术复杂的黑客组织。并且网络攻击者正在利用更先进的技术,不断进化出越来越复杂、隐蔽、拟人化的攻击工具和攻击方法,特别是针对供应链弱点的攻击,这使得其更难被发现,更难利用特征被检测。因此,构建一个依法合规、具备技术前瞻性、管理高效、安全可靠的网络安全体系刻不容缓。

3.勒索软件威胁再升级,“四重攻击”危害波及更广

2021 年,勒索病毒仍然是不法分子经常使用的攻击方式之一,其已经成为了2021 年网络安全最大的威胁之一。本年度,亚信安全共拦截勒索病毒 58,412 次,虽然勒索病毒在数量上没有较大幅度增加,但其在攻击手段、攻击目标及攻击平台不断升级,持续与杀软进行对抗。

值得注意的是,当企业为防备恶意威胁对数据加密之后,勒索病毒攻击手法也在持续演化,以提高受害企业支付赎金的机会。亚信安全预测黑客将发展出“四重勒索”的攻击模式,除了通过数据加密、敏感数据外泄及发动DDos攻击等恐吓手段之外,未来恐怕将新增第四重——“供应链攻击”,这将使得企业受害层面扩大至供应链上下游,使得企业在面临勒索事件发生时的危机处理更为艰困。

4.供应链威胁暴增,“安全左移”势在必行

2021 年针对开源软件的供应链攻击暴增 650%。2021年,全球的各软件开发企业累计从第三方开源平台上引用超过 2 万亿个开源软件包或者组件,而在许多引用共享代码中不少是由个人开发者开发的,没有经过安全设计和安全测试,通常会包含大量漏洞,有攻击者会基于此,定向挖掘相关共享代码中的漏洞,这样就会造成攻击者不会再等相关漏洞公开披露后再进行攻击,而是更加主动的针对性攻击。

从 SolarWinds 供应链攻击到Log4j-2 开源软件漏洞所造成的影响来看,供应链攻击的影响面极广,且漏洞利用的成本较低,漏洞修复时间周期较长。因此,要防止供应商成为你的“供应伤”,就需要将安全需求尽量“左移”,在项目初期同步规划软件供应链安全,避免供应链风险滚雪球式的爆发。

5.零信任将对网络安全产生更大影响

全球疫情让远程工作已成为大多数企业的长期业务策略,越来越多的设备将会被连接,公共网络安全,尤其是身份安全的机制将迎来改变。2022年,身份安全体系将更加完善,基于现代密码学软硬件,结合人工智能、生物识别、区块链等技术将形成的,作为安全的“新边界”,身份安全将为网络安全技术的发展构建稳固基石。因此,零信任(Zero Trust)安全已从概念炒作变成解决方案的落地应用,并实实在在地走进企业,用于解决网络环境开放、用户角色增加、防护边界扩张带来的各类新型安全风险,这是大势所趋,同时让更多市场机会将随之产生。

6.APT伪装成“勒索者”,“四早”原则或可撕开外壳

通过分析一些案例,亚信安全技术团队发现,一些APT攻击会披上勒索软件的外套,作为探路的手段,或者逃跑的“烟雾弹”,甚至是作为攻击结束后毁灭踪迹的方法,帮助掩盖和抹去更严重攻击的证据。例如:某些工具表面看似勒索软件,会加密数据、发布勒索通知以及索要赎金,但实际上,这些软件会悄悄删除端点上的数据,同时让防御者相信数据丢失的原因是由于勒索软件的随机攻击。

发现APT攻击者的“伪装”有一定的难度,但并非束手无策。针对APT攻击,XDR作为统一安全事件检测和响应的方案&方法,不仅能够帮助企业增强保护、检测和响应能力,同时还能够帮助企业建立有效防御机制。当然,用户还可以采用威胁狩猎服务,以“早发现、早诊断、早处置、高质量”为原则,彻底解决缺少高级攻击防御经验、缺乏相关高级技术工具、无法对威胁进行溯源等方面的难题。

7.云安全架构呈现多样化,云原生将引出更多威胁暴露面

2021年,国内云安全市场需求旺盛,在新兴云安全技术应用上不断追赶,高速发展可期。一方面,云基础设施的投资不断增加,网络攻击的不断增长,推动云安全市场快速发展;另一方面,云原生技术应用越来越广泛,应运而生的 CASB(云访问安 全代理),CSPM(云安全配置管理),CWPP(云工作负载安全防护平台),SASE (安全访问服务边缘模型)等新兴云安全技术快速发展。

云原生技术逐渐成为云计算市场新趋势,所带来的安全问题更为复杂。以容器、服务网格、微服务等为代表的云原生技术,正在影响各行各业,但其相关的安全风险与威胁也将不断的显现出来。Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的安全攻击事件将会在2022年愈演愈烈。

8.5G安全在工业互联网、物联网、车联网等领域被攻击活动将持续增多

虽然目前 5G MEC 还未开始大规模商用,相应的真实攻击案例比较少,但是结合传统垂直行业、5G 和云计算领域已知的安全威胁,可以想象未来这个领域会面临很大的安全威胁挑战。出了传统威胁,5G、边缘端和垂直行业的新兴威胁包括:物理入侵、来自物联网终端侧的网络攻击、边缘应用供应链攻击、来自工业互联网 IT 网络侧的攻击、针对 5G 网络侧的漏洞攻击等。

9.物联网威胁将会加剧,汽车制造厂商更需要“安全伙伴”

物联网可能会成为勒索软件攻击的首选目标。僵尸网络、高级持续性威胁、分布式拒绝服务(DDoS)攻击、身份盗用、数据盗用、中间人攻击、社会工程攻击等也可能会青睐这些设备。另外,2022 年犯罪集团所追求的目标,已经不再只是入侵 IoT 设备,更会利用它们来从事各种攻击,或是让他们在企业网络内四处游走,窃取资料。

车联网数据在进行采集、传输、存储、使用、迁移、销毁等全生命周期阶段均存在不同性质的安全风险,充分、全面且深入的风险分析是做好风险应对和安全防护的关键。因此,汽车制造厂必须与网络安全厂商密切合作,共同研发统一的安全保护平台,打造车联网的生态安全,让未来的所有网联车都配备一些标准化的安全功能。

10.网络安全网格(CSMA)应时而生

Gartner在2022年重要战略技术趋势报告中提出Cybersecurity Mesh(网络安全网格),并指出这是一种现代化的安全方法,能够在需要的地方部署一致性的控制能力,以一种紧密集成、可扩展、高度灵活,并富有弹性/韧性的方式,通过提供支持服务层(整合策略管理整合控制台安全情报和身份矩阵)来让安全工具之间能够协作而不是各自为战。

众所周知,网络威胁的数量和性质正在增加,而完美的解决方案并不存在。对于用户来讲,仅仅依靠连接不同安全技术的变通方法是不够的,他们需要一个全面覆盖、深度集成和动态协同的“网络安全网格平台”,提供集中管理和可见性,支持在一个庞大的解决方案生态系统中协同运行,自动适应网络中的动态变化。对此,亚信安全认为,这也将是我们在2022,乃至未来共同努力的方向。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/512474.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Flink 1.14 新特性预览

简介: 一文了解 Flink 1.14 版本新特性及最新进展 本文由社区志愿者陈政羽整理,内容源自阿里巴巴技术专家宋辛童 (五藏) 在 8 月 7 日线上 Flink Meetup 分享的《Flink 1.14 新特性预览》。主要内容为: 简介流批一体Checkpoint 机制性能与效率…

html查看程序魅族,怎么查看源代码(什么工具能查出一个程序的代码)

什么工具能查出一个程序的代码如果我理解正确,那么您正在寻找可以通过分析exe来启动源代码的程序。 这属于“逆向工程”类别。 一般来说,最好将exe反编译为程序集,但是查看已编译的代码非常麻烦。如果将其反编译为高级语言,则很有…

2021 年云原生技术发展现状及未来趋势

简介: 作者于雨担任了 2021 年 GIAC 会议云原生专场的出品人兼讲师,组织了前后四个场子的演讲,在这个过程中作者同时作为听众从这些同行的演讲中学到了很多非常有用的知识。本文算是对 2021 GIAC 云原生专场的侧记,管中窥豹&#…

像搭“乐高”一样实现整合式网络安全体系

部署多种防护产品,却无法形成防御合力,是当前很多企业网络安全建设都面临的挑战。网络安全能力整合是企业的刚需,也是行业发展的大势所趋。虽然Gartner 提出的网络安全网格架构(CSMA,Cybersecurity Mesh Architecture …

python yaml读_python中读取yaml文件的方法是什么

python中读取yaml文件的方法是什么发布时间:2020-08-05 11:50:36来源:亿速云阅读:110作者:小新小编给大家分享一下python中读取yaml文件的方法是什么,希望大家阅读完这篇文章后大所收获,下面让我们一起去探…

合规安全大考核:移动应用安全策略全盘点

简介: 移动应用涵盖用户大量个人数据,一旦发生泄漏可能对个人、社会造成重大影响,同时对移动应用产业长远的发展来说也是毁灭性打击。移动应用开发者,也应注意开发过程中的规范性、安全性,敬畏安全问题,防范…

禁用计算机f1-f12,win10禁用F1至F12热键转为功能键的技巧

win10禁用F1至F12热键转为功能键的技巧介绍。有网友询问:Win10系统笔记本电脑上的F1-F12键上都变成了开关系统功能开关的快捷键,而失去了F1-F12键本身的快捷键的功能。因为编写程序运行的许多软件都需要使用Fn快捷功能键运行,还有制作Word文档…

Quick BI电子表格: 新手亦可表格自由

简介: 随着企业业务快速增长,单纯的表或交叉表展现的数据模式相对固定,已不能满足企业中不同角色用户、不同业务场景数据可视化分析展现的诉求。在满足业务人员可视化需求层面,Quick BI不仅提供了丰富的图表组件,也提供…

CSDN 十大技术主题盘点-云原生篇

关于2021,我们能看到的技术变化有很多。当云原生向下而生,当分布式数据库席卷而至,当低代码平台扩展了开发的边界,当万物互联蔚然成风……我们看到了太多在2021年形成的变化,但也能看到这些趋势非但没有结束&#xff0…

linux 拖动图标有拖影_想要实现元素拖动效果,但是一拖动出现禁止的图标

用jQuery实现可用鼠标创建窗口,用鼠标对窗口进行拖动。https://jsfiddle.net/r4x1toz3/7/但是有两个问题不知道怎么解决:1、创建完元素,,文字会呈被选中状态,每创建一个窗口,所有窗口都会变成选中状态(实际…

2019吉林大学计算机学硕考研,计算机科学与技术学院2019年硕士研究生复试基本要求...

1、考生的初试成绩必须符合吉林大学计算机科学与技术学院2019年硕士研究生复试的初试成绩基本要求:计算机系统结构专业:总分310分,英语50分,政治50分,数学75分,专业课90分;计算机软件与理论专业…

基于MaxCompute+PAI的用户增长方案实践

简介: 如何通过PAIMaxCompute完成用户增长模型AARRR全链路,包含拉新、促活、留存、创收、分享。 本文作者 李博 阿里云智能 高级产品专家 在过去一年阿里云PAI机器学习团队做了很多偏业务的实践,其中有一条就是基于 MaxComputePAI的产品方案…

Atmosic发布搭载能量收集技术的超低功耗蓝牙5.3 片上系统(SoC)高级产品系列

物联网(IoT)能量收集无线技术的全球领导者Atmosic今日宣布推出ATM33系列蓝牙5.3高性能片上系统(SoC)产品,该产品系列将Atmosic已获专利的先进能量收集及超低功耗技术推进到更高的水平。 为减少各种物联网产品高昂的电池…

基于 MaxCompute 的实时数据处理实践

简介: MaxCompute 通过流式数据高性能写入和秒级别查询能力(查询加速),提供EB级云原生数仓近实时分析能力;高效的实现对变化中的数据进行快速分析及决策辅助。当前Demo基于近实时交互式BI分析/决策辅助场景,实现指标卡近实时BI分析…

rk3568 Android UVC

rk3568 Android UVC Android UVC(USB Video Class)是一种用于在Android设备上支持外接摄像头的标准。通过UVC,用户可以将外部摄像头连接到Android设备上,并在应用程序中使用这些摄像头进行视频捕获和处理。这种标准使得外接摄像头在Android设备上的使用变得更加简单和统一…

python 爬虫工具 butter_GitHub - TheButterflyOdor/proxy_pool: Python爬虫代理IP池(proxy pool)

爬虫IP代理池______ ______ _| ___ \_ | ___ \ | || |_/ / \__ __ __ _ __ _ | |_/ /___ ___ | || __/| _// _ \ \ \/ /| | | || __// _ \ / _ \ | || | | | | (_) | > < \ |_| || | | (_) | (_) || |___\_| |_| \___/ /_/\_\ \__ |\_| \___/ \___/ \_____\__ / //___ /下…

如何使用计算机来线性拟合,Excel2019使用教程:绘制线性回归图

Excel的功能很强大&#xff0c;可以做各种数据处理和分析。想要检测两组数据是否具有线性关系&#xff0c;就可以使用excel2019来做一元线性回归分析图表&#xff0c;进行数据分析&#xff0c;从而根据结果来测试两组数据的关系。在excel2019中制作一元线性回归分析图表的方法很…

技术干货| 阿里云基于Hudi构建Lakehouse实践探索「内附干货PPT下载渠道」

简介&#xff1a; 阿里云高级技术专家王烨(萌豆)在Apache Hudi 与 Apache Pulsar 联合 Meetup 杭州站上的演讲整理稿件&#xff0c;本议题介绍了阿里云如何使用 Hudi 和 OSS 对象存储构建 Lakehouse&#xff0c;为大家分享了什么是 Lakehouse&#xff0c;阿里云数据库 OLAP 团队…

将 k8s 制作成 3D 射击游戏,好玩到停不下来 | 文末福利

作者 | 小碗汤来源 | 我的小碗汤今天演示一个项目&#xff0c;利用Unity做场景、用C#做交互逻辑&#xff0c;将k8s制作成一个3D射击游戏。正好最近在学习Unity&#xff0c;所以利用这个项目开始上手挺合适的。源码、可执行文件可以自行下载&#xff0c;也可在文末获取&#xff…

extjs grid 整行变颜色_EXTJS根据值Value改变gridpanel单元格背景颜色或者设置整行字体颜色...

第一步. 设置样式.reportColor4{background: #93A9C1;}.reportColor5{background: #EEEEEE;}第二步.修改单元格样式header : 流通类型,width : 80,sortable : true,align : center,dataIndex: BR_TYPE,// css : background: #acdaf4;, // -----设置整个单元格的样式&#xff0c…