2021 關于未來安全的幾點思考

2020年是不同尋常的一年。這一年，疫情黑天鵝事件突襲，掀起了“新基建”的又一輪熱潮，以5G、大數據、人工智能、云計算等為代表的新技術備受矚目，遠程辦公、在線教育、直播帶貨等新興產業快速崛起。如果說過去幾年，很多企業還在不緊不慢地探索著數字化轉型升級之道，那么在疫情影響之下，2020年的企業則全面按下了信息化建設的加速鍵。

在此背景之下，網絡信息安全態勢也愈加復雜，不但網絡安全所覆蓋的維度和領域急劇擴張，因信息安全問題所引發的后果也更為嚴重。據《金融科技新聞》(Fintech News)報道，2020年，超過80%的公司遭受的網絡攻擊有所增加。而來自阿科斯實驗室(Arkose Labs)的數據顯示，2020年網絡詐騙數量飆升了20%，達到4.45億次。

2021年還會如同2020年一般動蕩嗎?我們都希望不會。但有一點是確定的：與以往任何一年相同，2021年，我們仍將繼續面臨新的、不斷演化的網絡安全威脅與挑戰。

關于未來安全的幾點思考

1.0day/Nday漏洞攻擊持續增加 – 勒索攻擊、后門木馬植入變本加厲

疫情防控期間可以說是中國數字化時代最大規模的一次集體性遠程辦公，不僅造就了個人辦公和業務使用的突發性變化，更帶來了大量的網絡攻擊。瑞數信息安全專家指出遠程辦公令漏洞曝光的數量顯著上漲，特別是借助自動化工具，網絡罪犯可以在短時間內以更高效、更隱蔽的方式對網站進行漏洞掃描和探測，尤其是對于0day/Nday漏洞的全網探測，將會更為頻繁和高效，首次探測高峰已經由POC發布后一周，提前到POC發布之前。利用這些漏洞，在過去一年大行其道的勒索攻擊很可能在2021年變本加厲，企業除了要面臨網站數據無法使用的困境，還要做好被迫支付數以千萬計的贖金、遭遇經濟和名譽雙重打擊的準備;同時，植入后門或木馬對于黑客來說也將更為容易，但感染大規模擴散后產生的指數級安全風險和后續損失將無法估計，也更難以應對。

2.“企業上云”并不代表“安全上云”- 云賬號安全岌岌可危

盡管由于疫情影響，企業上云在2020年展現出無與倫比的增速，但云的安全性仍然是一個關鍵問題。伴隨企業上云，對外云服務暴露的攻擊面持續增多，漏洞曝光利用、賬號盜取與竊密等各種攻擊能夠輕易達成。同時，疫情也給了黑客更多時間和精力挖掘漏洞或者開發更多針對性攻擊工具的機會，諸如Openbullet等針對密碼猜測和撞庫的通用化工具已經被開發并應用于Azure cloud等云服務平臺，針對賬號的攻擊門檻被進一步降低。

3.線上交易屢創新高 – 業務欺詐風險飆升

2020年，新冠病毒大流行極大地加速了企業業務向線上虛擬化轉移的步伐，直播帶貨等新模式的興起更使得線上交易異?；钴S。然而，在限量秒殺、百億補貼、消費券發放等各類營銷活動層出不窮，各大平臺業績屢創新高的同時，業務欺詐風險也隨之飆升。薅羊毛、刷單刷量、虛假賬號、虛假流量、電信詐騙等業務欺詐行為在各行業繁榮生長。以某銀行網申信用卡業務為例，據瑞數信息觀察，業務開放第一天的短短一小時之內就收到近3萬次的信用卡申請，其中75%的申請都是自動化工具發起的虛假申請。據統計，電商行業在全行業欺詐流量中占比21.7%，15.2%欺詐流量流向了航空、鐵路等出行行業，金融、游戲等行業都是欺詐的重災區。

4.5G加速 – 移動端應用安全內憂外患

過去一年中，伴隨5G的加速普及和“宅家”新生活模式的影響，短視頻娛樂、直播、云上互動等場景的火爆帶來了移動端設備用戶規模及流量的爆發性增長，許多平臺甚至放棄PC端轉而專注移動端的開發應用，移動端消費市場正迎來持續的擴大時期。然而移動端應用真的安全嗎?據報道，目前只有大約36%的移動應用完全集成了安全，大部分的移動應用安全系數很低或根本不安全。瑞數信息安全專家指出針對移動端的網絡欺詐迅速增長，控制量更大、隱蔽性更強、更穩定的云控軟件正加速取代群控工具，成為網絡罪犯的得力助手。除了傳統的漏洞掃描、注入攻擊、跨站腳本以及 APP客戶端逆向、調試等問題，還有非法第三方APP請求、中間人攻擊、API接口濫用、撞庫、批量注冊、刷單、爬蟲、通過外掛程序或群控設備薅羊毛等業務安全隱患。對企業平臺的正常運營造成了嚴重的經濟和業務影響，對企業商譽造成的負面影響，更是不可估量。

5.業務應用交互頻繁 – API數據安全問題嚴峻

API 已成為數字業務生態系統的支柱，是加速企業業務創新和應用開發的動力。隨著遠程辦公、線上辦公等工作方式的迅速上升，企業依賴API調用來整合大量的系統和實現業務彼此之間的交互。據調查，目前每個企業平均管理超過350種不同的API，其中69%的企業會將這些API開放給公眾和他們的合作伙伴，在金融和零售業的API應用調查中發現，API 流量占比超過83%。雖然開放API承擔了拓寬企業技術和服務生態系統的責任，但同時也給了攻擊者可乘之機。以金融行業為例，盡管開放API 推動了銀行業服務能力和服務渠道的全面對外賦能，但隨著API調用數量的增多和自動化工具的興起，其涉及的數據泄漏和欺詐風險正對金融業務安全構成新的挑戰。Gartner也預測，到2022年，API濫用將成為導致企業Web應用數據泄漏最為常見的攻擊方式。

6.業務應用形態多樣化 – 企業呼喚整合型的安全防護機制

隨著企業數字化進程的不斷遞進和業務向云端遷移的大趨勢，移動服務、開放銀行等愈加廣泛與多樣的業務應用形態，正促使當前Web應用架構向服務化(API、可編程)架構邁進，攻擊場景也由傳統的漏洞利用逐漸轉向業務欺詐，各類智能化、擬人化的Bots自動工具則使得黑客攻擊手段得到了迅速升級。顯然，傳統的面向漏洞防護的WAF能力已經無法滿足企業的實際場景需求，整合型的安全防護機制建立勢在必行。Gartner指出，到2023年，30%以上面向公眾的Web應用程序和API將受到云WAF和API防護服務(WAAP)的保護，WAAP服務結合了分布式拒絕服務(DDoS)防御、機器人程序緩解(Bot Mitigation)、API保護和WAF。

7.AI武器更聰明了 – 自動化攻擊防御門檻提高

2020年，AI人工智能作為前沿科技持續吸引著網絡惡意利用者的目光。得益于人工智能的數據挖掘和分析能力，攻擊正變得更為聰明和大膽，并逐漸向擬人化和精密化的方向發展。它們不僅能夠通過快速查明防御系統或環境中存在的漏洞，精確針對特定薄弱區域定制并發起大規模攻擊，還能模擬合法行為模式以繞開和躲避安全工具。然而對于人類來說，隨著安全事件接踵而至，大量的安全警報、潛在的威脅數量，單單是處理就已經很繁瑣了，更何況是面對AI加持的攻擊武器和再次提高的自動化防御門檻。因此如何利用AI對抗AI武器，是這場升級的網站安全戰中防守方應當著重思考的必須話題。

8.攻防對抗能力持續升級 – 防護重心從“人防”到“技防”

網絡空間安全的本質是對抗，隨著攻擊者技術實力的不斷提高和網絡攻擊面的不斷擴大，攻擊事件也不斷增加，企業不斷涌現出對網絡攻防對抗的建設需求。加以近年來《國家網絡空間安全戰略》《網絡安全法》《網絡安全等級保護2.0》等一系列政策法規、標準的持續落地，網絡安全攻防演習活動已經逐漸成為慣例。2021年，隨著企業對網絡安全的愈加重視和新一代信息技術的深度應用，網絡安全向更深層次的滲透，網絡安全攻防演習活動的重要性勢必還將繼續提高，企業防護重心應逐漸從“人防”過渡到“技防”，通過人技結合，更好地解決批量自動化攻擊和人為的定點攻擊，為企業提供應用安全與業務安全的雙重保障，實現網絡空間攻防對抗能力的持續升級。

瑞數安全專家建議

加強企業自動化威脅管理與防護

隨著自動化威脅發展的愈演愈烈，加強自動化威脅管理與防護在企業應用和業務威脅管理架構中的地位與能力，通過Bots識別、提高攻擊成本、可視化展示等多維度手段對各類Bots進行管理與威脅防護，是企業的必須配備。

配置與部署整合性的安全防護機制

選擇支持WAF、Bot管理、API防護等多種安全能力的整合性防御機制，通過不同組件在不同場景下的獨立或聯合部署，幫助企業形成分層遞進的防護策略與能力，令企業能夠安全地將各類Web業務和應用交付在混合架構中，實現Web安全一體化防御。

對用戶行為進行相應的審計

遠距工作已成為常態，員工終端缺乏在辦公環境的層層防護，更容易遭到惡意代碼感染與釣魚詐騙，大幅降低了賬戶盜用的門檻;同時，企業應用向云端遷移已成為不可逆的趨勢，不但容易遭到外部入侵者的攻擊，也使得內外共謀舞弊變得更為容易。因此，對合法用戶操作行為進行審計，以及早發現可能的賬號盜用、權限濫用與內外共謀舞弊等惡意行為，已成為后疫情時代必要的防護手段之一。

升級防護手段，構建更智能的主動安全防御機制

將企業防護理念由“被動防御”向“主動防御”轉變，防護重心由“人防”向“技防”轉變，借助AI人工智能技術、自動化響應機制等新手段，實現網絡空間攻防對抗能力的持續升級，構建更智能的主動安全防御機制。

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！