【TechOrange 编辑部导读】
据《IBM 2022 年度资讯安全威胁报告》,2021 年全球制造业受骇客攻击的次数,首次超越金融业。骇客攻击防不胜防,尤其资安人才缺口至今还无法填平,企业在 2023 年资安防护上又该注意哪些新挑战呢?
2022 年全球政府、企业及各级组织,预计在网络安全上花费 1700 亿美元,相较 2021 多出 400 亿美元。即便如此,仍有组织持续蒙受损失。
据美国资安公司 Illumio 今年 6 月发布的一份报告,有超过 76% 组织遭受过勒索软体攻击,另外有 66 % 组织经历过至少一次的软体供应链攻击(Software supply chain attack),也就是供应商所交付的软体,在软体被编译及授与凭证签章前,就被骇客植入恶意程式,使得受感染的软体能神不知鬼不觉的入侵组织的资料与系统。而这些攻击背後,都可能造成数十亿美元不等的损失。
如同细菌也会逐渐对药物产生抗药性,网路病毒、骇客攻击,随着资安防护力道加大,许多前所未有的入侵方式因应而生,科技媒体《ZDNET》盘点了 3 个 2023 年资安防护可能需面对的新问题。
1. 资安人力短缺, 70 万生力军仍填不了市场缺口
无论公司添购什麽样的防护软体,总是有更新的骇客伎俩、安全漏洞,等着组织破解。因此对於资安维护,人才一直是比技术更重要的核心。
据全球资安专业人员协会(ISC)² 去年一份报告指出,尽管每年约有 70 万名新生力军投入资安市场,但是全球资安技术人才市场至今仍是需求远超越供给。情报技术谘询公司 Booz Allen Hamilton 的国防资安事业负责人 Kelly Rozumalski 认为,网路威胁日趋复杂,一旦缺乏专业人才,等於把组织置於险境。
企业若想解决资安人员不足的燃眉之急,Kelly Rozumalski 建议企业不妨放宽搜索标准,将招募对象扩大到计算机科学、软体工程,甚至心理学系,鼓励来自不同背景的人才投入资安防护,快速壮大公司的资安团队。
另外,除了一线资安人员,最新趋势也显示公司越来越重视整体资安防护措施的制定与监控,找到具有资安专业知识的董事成员越来越重要。据顾问公司海德思哲调查, 2020 年至 2021 年,大企业的新董事会成员其拥有资安专业知识的比例,从过去的 8% 跃升至 17% 。
一个可能的原因是,有懂资安的董事进入董事会,除了能给予资安团队更有力支持,由上而下 Top down 资安政策到公司每个角落,也能为组织营造更无懈可击的防护力。
2. 地缘政治掀骇客危机,慎防病毒潜藏於供应链
2022 年初乌俄战争爆发,俄罗斯向世界展示了网路攻击如何成为现代战争的一大助力,促使全球政府单位更正视网路安全问题,并将资安防护议题升级为国安危机。
微软一份报告显示,2 月底到 4 月初期间俄罗斯在乌克兰境内发动至少 37 次网络攻击。主要针对乌克兰的关键基础设施、当地电信供应商、能源网络及政府网络发动攻击,例如在入侵初期,俄罗斯多次试图切断乌克兰与他国的卫星通讯以及宽频联系。
而受牵连的不仅是交火双方,与该国有供应链来往、提供政治或军事支持的国家,都可能遭受波及。例如今年上半年美国多家大型软体科技公司以及政府机构,就发现被俄罗斯境外情报局攻击,多间机构使用的软体被迫更新成藏有恶意程式的版本。
前 FBI 网路部门助理主任 Matt Gorham 指出,这意味着组织不能只考虑遭受单一网路攻击的风险,也要懂得如何检测从盟友、上下游捎来的资源,揪出潜入供应链中的恶意程式与攻击,学会如何集体控制、预防。
Matt Gorham 提醒,发动攻击的骇客不一定总是使用高级技术,许多生活常见漏洞,例如系统密码的安全等级薄弱、未定时定期更新应用程式版本,以及缺少双重身份验证(2FA),都可能成为使系统沦陷的最後一根稻草。
3. 新技术漏洞成骇客最爱,落地速度与安全性成两难
Web3 和物联网(IoT)等技术在今年取得长足发展,预计 2023 年这些新技术也能再创颠峰。
但就像任何新技术,伴随着市场的期待情绪与炒作,软体与服务往往会因为急着发布,而牺牲其安全性。如同过去无数起加密货币交易所遭骇客攻击,被窃走百万加密货币的事件,人们常常会因为过於兴奋地使用新技术,而忽略安全漏洞。
尽管目前有许多发展 Web3 技术的单位会邀请众多白帽骇客参与漏洞回报奖励计划(bug bounty hunter),揪出更多系统潜在的资安漏洞。但这些漏洞若率先被有攻击意图的骇客发现,仍可能对用户造成代价高昂的损失。
而这还只是实验性质的技术。近几年发展飞速的物联网技术,促使全球家庭与工作场所至少安装了数十亿台相关设备,其中甚至有助物联网设备牵涉基础民生设施或医疗保健。而这些与其他新技术一样,都存在潜藏大量漏洞的风险,如果这些连线设备没有得到妥善保护,一旦遭受攻击破坏,足以使人们的生活与工作环境陷入困境。(责任编辑:游绒绒)
(本文开放夥伴转载,参考资料:zdnet、dailysabah、illumio、heidrick、reuters、fortune,图片来源:unsplash)
