小言_互联网的博客

2023年主要网络安全趋势:软件供应链攻击已成为第二大威胁

226人阅读  评论(0)

2023年,网络安全仍然是企业在加强数字防御任务中的重点。随着勒索软件攻击持续上升,零信任模型变得更加普遍,越来越多的公司开始使用在线技术来自动化他们的运营,而这也导致大量数据存在于互联网中,在一定程度上造成了数据的泄露和失窃,这对于小型企业、个人和大公司来说竟已经是司空见惯的事情。在2022年第一季度,有超过90%的数据泄露都是由于网络攻击造成的

随着越来越多的企业开始尝试数字化转型,企业中负责安全和风险管理的人员也随着肩负起了更多任务和责任,这也使得集中式的网络安全控制管理机制作用不如以前那么有效。同时,混合办公机制以及云上的数字业务运营也给企业带来的新的威胁。面对复杂的勒索软件、针对软件供应链的网络攻击以及企业某些根深蒂固的弱点暴露了应对挑战时的技术差距和人才缺乏。

了解网络安全世界的主要趋势可以帮助企业更好地应对新出现的风险与挑战。让我们深入了解2023网络安全趋势。

软件供应链攻击

当网络威胁参与者渗透到软件供应商的网络并使用恶意代码在供应商将软件发送给客户之前破坏软件时,就会发生软件供应链攻击。然后受感染的软件会损害客户的数据或系统,更复杂的攻击可以利用供应商网络的特权访问来破坏目标网络。最典型的软件供应链攻击便是 SolarWinds 事件。攻击者使用恶意软件修改了供应商软件的签名版本,然后他们利用这些恶意软件感染了 18,000 家私营企业和政府机构。一旦将其安装在目标环境中,病毒就会通过更大的攻击媒介传播。

软件供应链攻击日益普遍,Gartner 将其列为2022 年的第二大威胁。Gartner 预测,到 2025 年,全球 45% 的组织将遭受一次或多次软件供应链攻击。为了更好地防范软件供应链风险,企业需要加强代码和构建安全,仔细排查复杂的依赖项带来的潜在威胁,同时安全和风险管理专业人员必须与其他部门协同合作。

 网络钓鱼

IT 行业面临的最常见的安全风险是网络钓鱼,到目前许多人仍然因网络钓鱼电子邮件而中招。黑客利用越来越复杂的技术来生成执行良好的商业电子邮件泄露攻击 (BEC) 以及恶意 URL。与此同时,攻击者的攻击方式也变得更加老练。他们已开始调查潜在受害者以收集信息,这些信息可以让他们的攻击更有针对性,同时增加网络钓鱼攻击成功的可能性。攻击者会尝试使用测试电子邮件地址并查看谁会做出反应,这种方法也叫做诱饵攻击

根据 Barracuda 的2021年9月的一份报告显示,在参与调研的10500公司中,有35%的受访者表示他们所在的公司遭受过至少一次诱饵攻击,其中每封邮件平均可以到达每个企业的三个不同的邮箱。幸运的是,邮件过滤技术有了显着改善。目前邮件服务提供商能够过滤掉不可靠来源,并且不包含恶意负载。不过相比之下,给予员工更全面的安全意识教育也同样重要,比如不随意点开来路不明的邮件以及其携带的附件,这可以从根本避免网络钓鱼攻击带来的危害和损失。此外,企业还可以借助给予人工智能的防御来避免网络钓鱼攻击,人工智能可以通过从各来源收集的信息,包括通信图,信誉系统和网络分析,以防御网络钓鱼攻击。

网络安全网格架构

无论企业资产是在现场、数据中心还是云上,企业都可以使用一种现代安全架构概念方法,也就是网络安全网格方法,来部署和集成安全性。通过实施网络安全网格架构,企业可以在未来几年内将单个安全事件的成本效益平均降低 90%。随着越来越多的企业将其活动转移到云基础设施和多云环境,这一概念将变得更加重要。

网络安全网格在结构上由多个安全控制层组成,这些安全控制层相互协作,保护公司免受各种危险,包括恶意软件、病毒、网络钓鱼攻击等。从理论上讲,网格可以提供更好的 IT 安全性和网络威胁保护,其安全保护级别更高。通常网络安全网格是通过结合多种不同技术构建的,包括本地防火墙、基于云的安全服务和外部管理的安全服务提供商。这些解决方案可以相互结合使用,以涵盖组织的各个方面。与传统的单点解决方案相比,其目标是实现对整个网络流量的持续可见性,从而提供卓越的保护。

随着企业的数字化转型,越来越多的工作量压到了首席信息安全官(CISO)身上,而领先的企业已经开始或已经创建 CISO 办公室来尝试分散执行安全决策,但有时 CISO 和集中的职能部门仍可能负责制定政策。不过需要明确的是,大多数数据泄露的根源来自人为错误,这证明传统的安全意识培训方法仍然不足。在有了合理的预算情况下,现代企业必须摆脱老式的基于合规意识的努力,转而采取全面的行为和安全文化变革举措,鼓励更安全的工作方式和实践。


转载:https://blog.csdn.net/SEAL_Security/article/details/127764897
查看评论
* 以上用户言论只代表其个人观点,不代表本网站的观点或立场