Information Security Media Group 咨询了一些业界知名安全专家 2023 年需要关注那些安全趋势。以下是专家对未来一年网络安全领域的展望。 网络犯罪分子将加大对 API 漏洞的攻击力度
随着企业对开源软件和定制接口来连接云和传统系统的依赖程度加深,”API 经济“正在高速增长。2022 年,API 层面发生了几起备受瞩目的违规事件,其中包括澳大利亚最大的电信公司 Optus 的违规事件。专家们预计,网络犯罪分子在新的一年,会加强对 API 漏洞的攻击。
Traceable 的 CSO 理查德-伯德(Richard Bird)表示,Gartner 多年来一直在警告 API 漏洞的风险,并预计其将成为一个主要的攻击面。后续,业内将会听到更多关于这方面的消息,到 2023 年,美国将出现大规模 API 漏洞。
Contrast Security 的 CSO Tom Kellermann 则表示,大多数公司在保护 API 方面做得并不好,相比开发人员的投入来说,安全团队规模较小,投入资源匮乏。 攻击者将盯上电网、石油和天然气供应商以及其它关键基础设施
从以往发生的往案例来看,关键基础设施一直是民族主义攻击者的首选目标。许多工厂依靠 IT 和 OT 系统来保持顺利运行,但部分工业控制系统已经运转几十年,容易受到网络攻击。事实上,去年 IBM X-Force 观察到针对 TCP 502 端口的对抗性“侦察”增加了 2000%以上,这可能使的黑客轻松控制物理设备,扰乱企业运营。
网络安全专家警告,应当随时准备好应对针对电网、石油和天然气供应商以及其它关键基础设施的网络攻击。
Cybereason 的 CSO Sam Curry 指出,尽管 CISA 肩负着巨大责任,但每个关键基础设施部门都有很多工作要做,对于北半球大部分地区来说,能源生产等领域在冬季中期都非常非常脆弱,需要格外防范网络安全威胁。 攻击者将增加对多因素身份认证漏洞的利用
多因素身份认证曾被认为是身份管理的“黄金标准”,为密码安全提供了一个重要保障。今年,随着一系列使用 MFA 绕过技术,成功实施网络攻击的案例出现,再加上网络钓鱼和社会工程,这一切可能都改变了。接下来,攻击者肯定会增加对多因素认证漏洞的利用。
此外,黑客成功进行网络攻击的新闻也会吸引了下一波想利用最新方法发动攻击的“失败者”和其他潜在攻击者。 勒索软件将会针对更大的目标、索要更多的赎金
近几年,勒索软件攻击激增,受害者支付赎金也增长了两倍甚至三倍。由于许多受害者不愿意报案,没有人真正知道事勒索软件目前发展的具体趋势。网络安全专家声称,往后几年,勒索软件的攻击目标会更大,索要的赎金也会更多。
全球隐私和网络安全实践合伙人兼主席 Lisa Sotto 强调,毫无疑问,勒索软件将会继续有增无减,环境比以往任何时候都更加恶劣,虽然每年都这么说,但后续似乎比以往任何时候都更加恶劣。
发表于 2023-1-16 15:40:06
