在此背景之下，網(wǎng)絡(luò)信息安全態(tài)勢(shì)也愈加復(fù)雜，不但網(wǎng)絡(luò)安全所覆蓋的維度和領(lǐng)域急劇擴(kuò)張，因信息安全問題所引發(fā)的后果也更為嚴(yán)重。據(jù)《金融科技新聞》(Fintech News)報(bào)道，2020年，超過80%的公司遭受的網(wǎng)絡(luò)攻擊有所增加。而來自阿科斯實(shí)驗(yàn)室(Arkose Labs)的數(shù)據(jù)顯示，2020年網(wǎng)絡(luò)詐騙數(shù)量飆升了20%，達(dá)到4.45億次。

2021年還會(huì)如同2020年一般動(dòng)蕩嗎?我們都希望不會(huì)。但有一點(diǎn)是確定的：與以往任何一年相同，2021年，我們?nèi)詫⒗^續(xù)面臨新的、不斷演化的網(wǎng)絡(luò)安全威脅與挑戰(zhàn)。

　　關(guān)于未來安全的幾點(diǎn)思考

　　1.0day/Nday漏洞攻擊持續(xù)增加 – 勒索攻擊、后門木馬植入變本加厲

疫情防控期間可以說是中國數(shù)字化時(shí)代最大規(guī)模的一次集體性遠(yuǎn)程辦公，不僅造就了個(gè)人辦公和業(yè)務(wù)使用的突發(fā)性變化，更帶來了大量的網(wǎng)絡(luò)攻擊。瑞數(shù)信息安全專家指出遠(yuǎn)程辦公令漏洞曝光的數(shù)量顯著上漲，特別是借助自動(dòng)化工具，網(wǎng)絡(luò)罪犯可以在短時(shí)間內(nèi)以更高效、更隱蔽的方式對(duì)網(wǎng)站進(jìn)行漏洞掃描和探測(cè)，尤其是對(duì)于0day/Nday漏洞的全網(wǎng)探測(cè)，將會(huì)更為頻繁和高效，首次探測(cè)高峰已經(jīng)由POC發(fā)布后一周，提前到POC發(fā)布之前。利用這些漏洞，在過去一年大行其道的勒索攻擊很可能在2021年變本加厲，企業(yè)除了要面臨網(wǎng)站數(shù)據(jù)無法使用的困境，還要做好被迫支付數(shù)以千萬計(jì)的贖金、遭遇經(jīng)濟(jì)和名譽(yù)雙重打擊的準(zhǔn)備;同時(shí)，植入后門或木馬對(duì)于黑客來說也將更為容易，但感染大規(guī)模擴(kuò)散后產(chǎn)生的指數(shù)級(jí)安全風(fēng)險(xiǎn)和后續(xù)損失將無法估計(jì)，也更難以應(yīng)對(duì)。

　　2.“企業(yè)上云”并不代表“安全上云”- 云賬號(hào)安全岌岌可危

盡管由于疫情影響，企業(yè)上云在2020年展現(xiàn)出無與倫比的增速，但云的安全性仍然是一個(gè)關(guān)鍵問題。伴隨企業(yè)上云，對(duì)外云服務(wù)暴露的攻擊面持續(xù)增多，漏洞曝光利用、賬號(hào)盜取與竊密等各種攻擊能夠輕易達(dá)成。同時(shí)，疫情也給了黑客更多時(shí)間和精力挖掘漏洞或者開發(fā)更多針對(duì)性攻擊工具的機(jī)會(huì)，諸如Openbullet等針對(duì)密碼猜測(cè)和撞庫的通用化工具已經(jīng)被開發(fā)并應(yīng)用于Azure cloud等云服務(wù)平臺(tái)，針對(duì)賬號(hào)的攻擊門檻被進(jìn)一步降低。

　　3.線上交易屢創(chuàng)新高 – 業(yè)務(wù)欺詐風(fēng)險(xiǎn)飆升

2020年，新冠病毒大流行極大地加速了企業(yè)業(yè)務(wù)向線上虛擬化轉(zhuǎn)移的步伐，直播帶貨等新模式的興起更使得線上交易異?；钴S。然而，在限量秒殺、百億補(bǔ)貼、消費(fèi)券發(fā)放等各類營銷活動(dòng)層出不窮，各大平臺(tái)業(yè)績屢創(chuàng)新高的同時(shí)，業(yè)務(wù)欺詐風(fēng)險(xiǎn)也隨之飆升。薅羊毛、刷單刷量、虛假賬號(hào)、虛假流量、電信詐騙等業(yè)務(wù)欺詐行為在各行業(yè)繁榮生長。以某銀行網(wǎng)申信用卡業(yè)務(wù)為例，據(jù)瑞數(shù)信息觀察，業(yè)務(wù)開放第一天的短短一小時(shí)之內(nèi)就收到近3萬次的信用卡申請(qǐng)，其中75%的申請(qǐng)都是自動(dòng)化工具發(fā)起的虛假申請(qǐng)。據(jù)統(tǒng)計(jì)，電商行業(yè)在全行業(yè)欺詐流量中占比21.7%，15.2%欺詐流量流向了航空、鐵路等出行行業(yè)，金融、游戲等行業(yè)都是欺詐的重災(zāi)區(qū)。

　　4.5G加速 - 移動(dòng)端應(yīng)用安全內(nèi)憂外患

過去一年中，伴隨5G的加速普及和“宅家”新生活模式的影響，短視頻娛樂、直播、云上互動(dòng)等場(chǎng)景的火爆帶來了移動(dòng)端設(shè)備用戶規(guī)模及流量的爆發(fā)性增長，許多平臺(tái)甚至放棄PC端轉(zhuǎn)而專注移動(dòng)端的開發(fā)應(yīng)用，移動(dòng)端消費(fèi)市場(chǎng)正迎來持續(xù)的擴(kuò)大時(shí)期。然而移動(dòng)端應(yīng)用真的安全嗎?據(jù)報(bào)道，目前只有大約36%的移動(dòng)應(yīng)用完全集成了安全，大部分的移動(dòng)應(yīng)用安全系數(shù)很低或根本不安全。瑞數(shù)信息安全專家指出針對(duì)移動(dòng)端的網(wǎng)絡(luò)欺詐迅速增長，控制量更大、隱蔽性更強(qiáng)、更穩(wěn)定的云控軟件正加速取代群控工具，成為網(wǎng)絡(luò)罪犯的得力助手。除了傳統(tǒng)的漏洞掃描、注入攻擊、跨站腳本以及 APP客戶端逆向、調(diào)試等問題，還有非法第三方APP請(qǐng)求、中間人攻擊、API接口濫用、撞庫、批量注冊(cè)、刷單、爬蟲、通過外掛程序或群控設(shè)備薅羊毛等業(yè)務(wù)安全隱患。對(duì)企業(yè)平臺(tái)的正常運(yùn)營造成了嚴(yán)重的經(jīng)濟(jì)和業(yè)務(wù)影響，對(duì)企業(yè)商譽(yù)造成的負(fù)面影響，更是不可估量。

　　5.業(yè)務(wù)應(yīng)用交互頻繁 – API數(shù)據(jù)安全問題嚴(yán)峻

API 已成為數(shù)字業(yè)務(wù)生態(tài)系統(tǒng)的支柱，是加速企業(yè)業(yè)務(wù)創(chuàng)新和應(yīng)用開發(fā)的動(dòng)力。隨著遠(yuǎn)程辦公、線上辦公等工作方式的迅速上升，企業(yè)依賴API調(diào)用來整合大量的系統(tǒng)和實(shí)現(xiàn)業(yè)務(wù)彼此之間的交互。據(jù)調(diào)查，目前每個(gè)企業(yè)平均管理超過350種不同的API，其中69%的企業(yè)會(huì)將這些API開放給公眾和他們的合作伙伴，在金融和零售業(yè)的API應(yīng)用調(diào)查中發(fā)現(xiàn)，API 流量占比超過83%。雖然開放API承擔(dān)了拓寬企業(yè)技術(shù)和服務(wù)生態(tài)系統(tǒng)的責(zé)任，但同時(shí)也給了攻擊者可乘之機(jī)。以金融行業(yè)為例，盡管開放API 推動(dòng)了銀行業(yè)服務(wù)能力和服務(wù)渠道的全面對(duì)外賦能，但隨著API調(diào)用數(shù)量的增多和自動(dòng)化工具的興起，其涉及的數(shù)據(jù)泄漏和欺詐風(fēng)險(xiǎn)正對(duì)金融業(yè)務(wù)安全構(gòu)成新的挑戰(zhàn)。Gartner也預(yù)測(cè)，到2022年，API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用數(shù)據(jù)泄漏最為常見的攻擊方式。

　　6.業(yè)務(wù)應(yīng)用形態(tài)多樣化 - 企業(yè)呼喚整合型的安全防護(hù)機(jī)制

隨著企業(yè)數(shù)字化進(jìn)程的不斷遞進(jìn)和業(yè)務(wù)向云端遷移的大趨勢(shì)，移動(dòng)服務(wù)、開放銀行等愈加廣泛與多樣的業(yè)務(wù)應(yīng)用形態(tài)，正促使當(dāng)前Web應(yīng)用架構(gòu)向服務(wù)化(API、可編程)架構(gòu)邁進(jìn)，攻擊場(chǎng)景也由傳統(tǒng)的漏洞利用逐漸轉(zhuǎn)向業(yè)務(wù)欺詐，各類智能化、擬人化的Bots自動(dòng)工具則使得黑客攻擊手段得到了迅速升級(jí)。顯然，傳統(tǒng)的面向漏洞防護(hù)的WAF能力已經(jīng)無法滿足企業(yè)的實(shí)際場(chǎng)景需求，整合型的安全防護(hù)機(jī)制建立勢(shì)在必行。Gartner指出，到2023年，30%以上面向公眾的Web應(yīng)用程序和API將受到云WAF和API防護(hù)服務(wù)(WAAP)的保護(hù)，WAAP服務(wù)結(jié)合了分布式拒絕服務(wù)(DDoS)防御、機(jī)器人程序緩解(Bot Mitigation)、API保護(hù)和WAF。

　　7.AI武器更聰明了 – 自動(dòng)化攻擊防御門檻提高

2020年，AI人工智能作為前沿科技持續(xù)吸引著網(wǎng)絡(luò)惡意利用者的目光。得益于人工智能的數(shù)據(jù)挖掘和分析能力，攻擊正變得更為聰明和大膽，并逐漸向擬人化和精密化的方向發(fā)展。它們不僅能夠通過快速查明防御系統(tǒng)或環(huán)境中存在的漏洞，精確針對(duì)特定薄弱區(qū)域定制并發(fā)起大規(guī)模攻擊，還能模擬合法行為模式以繞開和躲避安全工具。然而對(duì)于人類來說，隨著安全事件接踵而至，大量的安全警報(bào)、潛在的威脅數(shù)量，單單是處理就已經(jīng)很繁瑣了，更何況是面對(duì)AI加持的攻擊武器和再次提高的自動(dòng)化防御門檻。因此如何利用AI對(duì)抗AI武器，是這場(chǎng)升級(jí)的網(wǎng)站安全戰(zhàn)中防守方應(yīng)當(dāng)著重思考的必須話題。

　　8.攻防對(duì)抗能力持續(xù)升級(jí) – 防護(hù)重心從“人防”到“技防”

網(wǎng)絡(luò)空間安全的本質(zhì)是對(duì)抗，隨著攻擊者技術(shù)實(shí)力的不斷提高和網(wǎng)絡(luò)攻擊面的不斷擴(kuò)大，攻擊事件也不斷增加，企業(yè)不斷涌現(xiàn)出對(duì)網(wǎng)絡(luò)攻防對(duì)抗的建設(shè)需求。加以近年來《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》等一系列政策法規(guī)、標(biāo)準(zhǔn)的持續(xù)落地，網(wǎng)絡(luò)安全攻防演習(xí)活動(dòng)已經(jīng)逐漸成為慣例。2021年，隨著企業(yè)對(duì)網(wǎng)絡(luò)安全的愈加重視和新一代信息技術(shù)的深度應(yīng)用，網(wǎng)絡(luò)安全向更深層次的滲透，網(wǎng)絡(luò)安全攻防演習(xí)活動(dòng)的重要性勢(shì)必還將繼續(xù)提高，企業(yè)防護(hù)重心應(yīng)逐漸從“人防”過渡到“技防”，通過人技結(jié)合，更好地解決批量自動(dòng)化攻擊和人為的定點(diǎn)攻擊，為企業(yè)提供應(yīng)用安全與業(yè)務(wù)安全的雙重保障，實(shí)現(xiàn)網(wǎng)絡(luò)空間攻防對(duì)抗能力的持續(xù)升級(jí)。

　　瑞數(shù)安全專家建議

　　加強(qiáng)企業(yè)自動(dòng)化威脅管理與防護(hù)

隨著自動(dòng)化威脅發(fā)展的愈演愈烈，加強(qiáng)自動(dòng)化威脅管理與防護(hù)在企業(yè)應(yīng)用和業(yè)務(wù)威脅管理架構(gòu)中的地位與能力，通過Bots識(shí)別、提高攻擊成本、可視化展示等多維度手段對(duì)各類Bots進(jìn)行管理與威脅防護(hù)，是企業(yè)的必須配備。

　　配置與部署整合性的安全防護(hù)機(jī)制

選擇支持WAF、Bot管理、API防護(hù)等多種安全能力的整合性防御機(jī)制，通過不同組件在不同場(chǎng)景下的獨(dú)立或聯(lián)合部署，幫助企業(yè)形成分層遞進(jìn)的防護(hù)策略與能力，令企業(yè)能夠安全地將各類Web業(yè)務(wù)和應(yīng)用交付在混合架構(gòu)中，實(shí)現(xiàn)Web安全一體化防御。

　　對(duì)用戶行為進(jìn)行相應(yīng)的審計(jì)

遠(yuǎn)距工作已成為常態(tài)，員工終端缺乏在辦公環(huán)境的層層防護(hù)，更容易遭到惡意代碼感染與釣魚詐騙，大幅降低了賬戶盜用的門檻;同時(shí)，企業(yè)應(yīng)用向云端遷移已成為不可逆的趨勢(shì)，不但容易遭到外部入侵者的攻擊，也使得內(nèi)外共謀舞弊變得更為容易。因此，對(duì)合法用戶操作行為進(jìn)行審計(jì)，以及早發(fā)現(xiàn)可能的賬號(hào)盜用、權(quán)限濫用與內(nèi)外共謀舞弊等惡意行為，已成為后疫情時(shí)代必要的防護(hù)手段之一。

　　升級(jí)防護(hù)手段，構(gòu)建更智能的主動(dòng)安全防御機(jī)制

將企業(yè)防護(hù)理念由“被動(dòng)防御”向“主動(dòng)防御”轉(zhuǎn)變，防護(hù)重心由“人防”向“技防”轉(zhuǎn)變，借助AI人工智能技術(shù)、自動(dòng)化響應(yīng)機(jī)制等新手段，實(shí)現(xiàn)網(wǎng)絡(luò)空間攻防對(duì)抗能力的持續(xù)升級(jí)，構(gòu)建更智能的主動(dòng)安全防御機(jī)制。