域名預(yù)訂/競價，好“米”不錯過

2020年是不同尋常的一年。這一年，疫情黑天鵝事件突襲，掀起了“新基建”的又一輪熱潮，以5G、大數(shù)據(jù)、人工智能、云計算等為代表的新技術(shù)備受矚目，遠程辦公、在線教育、直播帶貨等新興產(chǎn)業(yè)快速崛起。如果說過去幾年，很多企業(yè)還在不緊不慢地探索著數(shù)字化轉(zhuǎn)型升級之道，那么在疫情影響之下，2020年的企業(yè)則全面按下了信息化建設(shè)的加速鍵。

在此背景之下，網(wǎng)絡(luò)信息安全態(tài)勢也愈加復(fù)雜，不但網(wǎng)絡(luò)安全所覆蓋的維度和領(lǐng)域急劇擴張，因信息安全問題所引發(fā)的后果也更為嚴(yán)重。據(jù)《金融科技新聞》(Fintech News)報道，2020年，超過80%的公司遭受的網(wǎng)絡(luò)攻擊有所增加。而來自阿科斯實驗室(Arkose Labs)的數(shù)據(jù)顯示，2020年網(wǎng)絡(luò)詐騙數(shù)量飆升了20%，達到4.45億次。

2021年還會如同2020年一般動蕩嗎?我們都希望不會。但有一點是確定的：與以往任何一年相同，2021年，我們?nèi)詫⒗^續(xù)面臨新的、不斷演化的網(wǎng)絡(luò)安全威脅與挑戰(zhàn)。

關(guān)于未來安全的幾點思考

1.0day/Nday漏洞攻擊持續(xù)增加 – 勒索攻擊、后門木馬植入變本加厲

疫情防控期間可以說是中國數(shù)字化時代最大規(guī)模的一次集體性遠程辦公，不僅造就了個人辦公和業(yè)務(wù)使用的突發(fā)性變化，更帶來了大量的網(wǎng)絡(luò)攻擊。瑞數(shù)信息安全專家指出遠程辦公令漏洞曝光的數(shù)量顯著上漲，特別是借助自動化工具，網(wǎng)絡(luò)罪犯可以在短時間內(nèi)以更高效、更隱蔽的方式對網(wǎng)站進行漏洞掃描和探測，尤其是對于0day/Nday漏洞的全網(wǎng)探測，將會更為頻繁和高效，首次探測高峰已經(jīng)由POC發(fā)布后一周，提前到POC發(fā)布之前。利用這些漏洞，在過去一年大行其道的勒索攻擊很可能在2021年變本加厲，企業(yè)除了要面臨網(wǎng)站數(shù)據(jù)無法使用的困境，還要做好被迫支付數(shù)以千萬計的贖金、遭遇經(jīng)濟和名譽雙重打擊的準(zhǔn)備;同時，植入后門或木馬對于黑客來說也將更為容易，但感染大規(guī)模擴散后產(chǎn)生的指數(shù)級安全風(fēng)險和后續(xù)損失將無法估計，也更難以應(yīng)對。

2.“企業(yè)上云”并不代表“安全上云”- 云賬號安全岌岌可危

盡管由于疫情影響，企業(yè)上云在2020年展現(xiàn)出無與倫比的增速，但云的安全性仍然是一個關(guān)鍵問題。伴隨企業(yè)上云，對外云服務(wù)暴露的攻擊面持續(xù)增多，漏洞曝光利用、賬號盜取與竊密等各種攻擊能夠輕易達成。同時，疫情也給了黑客更多時間和精力挖掘漏洞或者開發(fā)更多針對性攻擊工具的機會，諸如Openbullet等針對密碼猜測和撞庫的通用化工具已經(jīng)被開發(fā)并應(yīng)用于Azure cloud等云服務(wù)平臺，針對賬號的攻擊門檻被進一步降低。

3.線上交易屢創(chuàng)新高 – 業(yè)務(wù)欺詐風(fēng)險飆升

2020年，新冠病毒大流行極大地加速了企業(yè)業(yè)務(wù)向線上虛擬化轉(zhuǎn)移的步伐，直播帶貨等新模式的興起更使得線上交易異?；钴S。然而，在限量秒殺、百億補貼、消費券發(fā)放等各類營銷活動層出不窮，各大平臺業(yè)績屢創(chuàng)新高的同時，業(yè)務(wù)欺詐風(fēng)險也隨之飆升。薅羊毛、刷單刷量、虛假賬號、虛假流量、電信詐騙等業(yè)務(wù)欺詐行為在各行業(yè)繁榮生長。以某銀行網(wǎng)申信用卡業(yè)務(wù)為例，據(jù)瑞數(shù)信息觀察，業(yè)務(wù)開放第一天的短短一小時之內(nèi)就收到近3萬次的信用卡申請，其中75%的申請都是自動化工具發(fā)起的虛假申請。據(jù)統(tǒng)計，電商行業(yè)在全行業(yè)欺詐流量中占比21.7%，15.2%欺詐流量流向了航空、鐵路等出行行業(yè)，金融、游戲等行業(yè)都是欺詐的重災(zāi)區(qū)。

4.5G加速 - 移動端應(yīng)用安全內(nèi)憂外患

過去一年中，伴隨5G的加速普及和“宅家”新生活模式的影響，短視頻娛樂、直播、云上互動等場景的火爆帶來了移動端設(shè)備用戶規(guī)模及流量的爆發(fā)性增長，許多平臺甚至放棄PC端轉(zhuǎn)而專注移動端的開發(fā)應(yīng)用，移動端消費市場正迎來持續(xù)的擴大時期。然而移動端應(yīng)用真的安全嗎?據(jù)報道，目前只有大約36%的移動應(yīng)用完全集成了安全，大部分的移動應(yīng)用安全系數(shù)很低或根本不安全。瑞數(shù)信息安全專家指出針對移動端的網(wǎng)絡(luò)欺詐迅速增長，控制量更大、隱蔽性更強、更穩(wěn)定的云控軟件正加速取代群控工具，成為網(wǎng)絡(luò)罪犯的得力助手。除了傳統(tǒng)的漏洞掃描、注入攻擊、跨站腳本以及 APP客戶端逆向、調(diào)試等問題，還有非法第三方APP請求、中間人攻擊、API接口濫用、撞庫、批量注冊、刷單、爬蟲、通過外掛程序或群控設(shè)備薅羊毛等業(yè)務(wù)安全隱患。對企業(yè)平臺的正常運營造成了嚴(yán)重的經(jīng)濟和業(yè)務(wù)影響，對企業(yè)商譽造成的負面影響，更是不可估量。

5.業(yè)務(wù)應(yīng)用交互頻繁 – API數(shù)據(jù)安全問題嚴(yán)峻

API 已成為數(shù)字業(yè)務(wù)生態(tài)系統(tǒng)的支柱，是加速企業(yè)業(yè)務(wù)創(chuàng)新和應(yīng)用開發(fā)的動力。隨著遠程辦公、線上辦公等工作方式的迅速上升，企業(yè)依賴API調(diào)用來整合大量的系統(tǒng)和實現(xiàn)業(yè)務(wù)彼此之間的交互。據(jù)調(diào)查，目前每個企業(yè)平均管理超過350種不同的API，其中69%的企業(yè)會將這些API開放給公眾和他們的合作伙伴，在金融和零售業(yè)的API應(yīng)用調(diào)查中發(fā)現(xiàn)，API 流量占比超過83%。雖然開放API承擔(dān)了拓寬企業(yè)技術(shù)和服務(wù)生態(tài)系統(tǒng)的責(zé)任，但同時也給了攻擊者可乘之機。以金融行業(yè)為例，盡管開放API 推動了銀行業(yè)服務(wù)能力和服務(wù)渠道的全面對外賦能，但隨著API調(diào)用數(shù)量的增多和自動化工具的興起，其涉及的數(shù)據(jù)泄漏和欺詐風(fēng)險正對金融業(yè)務(wù)安全構(gòu)成新的挑戰(zhàn)。Gartner也預(yù)測，到2022年，API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用數(shù)據(jù)泄漏最為常見的攻擊方式。

6.業(yè)務(wù)應(yīng)用形態(tài)多樣化 - 企業(yè)呼喚整合型的安全防護機制

隨著企業(yè)數(shù)字化進程的不斷遞進和業(yè)務(wù)向云端遷移的大趨勢，移動服務(wù)、開放銀行等愈加廣泛與多樣的業(yè)務(wù)應(yīng)用形態(tài)，正促使當(dāng)前Web應(yīng)用架構(gòu)向服務(wù)化(API、可編程)架構(gòu)邁進，攻擊場景也由傳統(tǒng)的漏洞利用逐漸轉(zhuǎn)向業(yè)務(wù)欺詐，各類智能化、擬人化的Bots自動工具則使得黑客攻擊手段得到了迅速升級。顯然，傳統(tǒng)的面向漏洞防護的WAF能力已經(jīng)無法滿足企業(yè)的實際場景需求，整合型的安全防護機制建立勢在必行。Gartner指出，到2023年，30%以上面向公眾的Web應(yīng)用程序和API將受到云WAF和API防護服務(wù)(WAAP)的保護，WAAP服務(wù)結(jié)合了分布式拒絕服務(wù)(DDoS)防御、機器人程序緩解(Bot Mitigation)、API保護和WAF。

7.AI武器更聰明了 – 自動化攻擊防御門檻提高

2020年，AI人工智能作為前沿科技持續(xù)吸引著網(wǎng)絡(luò)惡意利用者的目光。得益于人工智能的數(shù)據(jù)挖掘和分析能力，攻擊正變得更為聰明和大膽，并逐漸向擬人化和精密化的方向發(fā)展。它們不僅能夠通過快速查明防御系統(tǒng)或環(huán)境中存在的漏洞，精確針對特定薄弱區(qū)域定制并發(fā)起大規(guī)模攻擊，還能模擬合法行為模式以繞開和躲避安全工具。然而對于人類來說，隨著安全事件接踵而至，大量的安全警報、潛在的威脅數(shù)量，單單是處理就已經(jīng)很繁瑣了，更何況是面對AI加持的攻擊武器和再次提高的自動化防御門檻。因此如何利用AI對抗AI武器，是這場升級的網(wǎng)站安全戰(zhàn)中防守方應(yīng)當(dāng)著重思考的必須話題。

8.攻防對抗能力持續(xù)升級 – 防護重心從“人防”到“技防”

網(wǎng)絡(luò)空間安全的本質(zhì)是對抗，隨著攻擊者技術(shù)實力的不斷提高和網(wǎng)絡(luò)攻擊面的不斷擴大，攻擊事件也不斷增加，企業(yè)不斷涌現(xiàn)出對網(wǎng)絡(luò)攻防對抗的建設(shè)需求。加以近年來《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護2.0》等一系列政策法規(guī)、標(biāo)準(zhǔn)的持續(xù)落地，網(wǎng)絡(luò)安全攻防演習(xí)活動已經(jīng)逐漸成為慣例。2021年，隨著企業(yè)對網(wǎng)絡(luò)安全的愈加重視和新一代信息技術(shù)的深度應(yīng)用，網(wǎng)絡(luò)安全向更深層次的滲透，網(wǎng)絡(luò)安全攻防演習(xí)活動的重要性勢必還將繼續(xù)提高，企業(yè)防護重心應(yīng)逐漸從“人防”過渡到“技防”，通過人技結(jié)合，更好地解決批量自動化攻擊和人為的定點攻擊，為企業(yè)提供應(yīng)用安全與業(yè)務(wù)安全的雙重保障，實現(xiàn)網(wǎng)絡(luò)空間攻防對抗能力的持續(xù)升級。

瑞數(shù)安全專家建議

加強企業(yè)自動化威脅管理與防護

隨著自動化威脅發(fā)展的愈演愈烈，加強自動化威脅管理與防護在企業(yè)應(yīng)用和業(yè)務(wù)威脅管理架構(gòu)中的地位與能力，通過Bots識別、提高攻擊成本、可視化展示等多維度手段對各類Bots進行管理與威脅防護，是企業(yè)的必須配備。

配置與部署整合性的安全防護機制

選擇支持WAF、Bot管理、API防護等多種安全能力的整合性防御機制，通過不同組件在不同場景下的獨立或聯(lián)合部署，幫助企業(yè)形成分層遞進的防護策略與能力，令企業(yè)能夠安全地將各類Web業(yè)務(wù)和應(yīng)用交付在混合架構(gòu)中，實現(xiàn)Web安全一體化防御。

對用戶行為進行相應(yīng)的審計

遠距工作已成為常態(tài)，員工終端缺乏在辦公環(huán)境的層層防護，更容易遭到惡意代碼感染與釣魚詐騙，大幅降低了賬戶盜用的門檻;同時，企業(yè)應(yīng)用向云端遷移已成為不可逆的趨勢，不但容易遭到外部入侵者的攻擊，也使得內(nèi)外共謀舞弊變得更為容易。因此，對合法用戶操作行為進行審計，以及早發(fā)現(xiàn)可能的賬號盜用、權(quán)限濫用與內(nèi)外共謀舞弊等惡意行為，已成為后疫情時代必要的防護手段之一。

升級防護手段，構(gòu)建更智能的主動安全防御機制

將企業(yè)防護理念由“被動防御”向“主動防御”轉(zhuǎn)變，防護重心由“人防”向“技防”轉(zhuǎn)變，借助AI人工智能技術(shù)、自動化響應(yīng)機制等新手段，實現(xiàn)網(wǎng)絡(luò)空間攻防對抗能力的持續(xù)升級，構(gòu)建更智能的主動安全防御機制。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！