本文探讨了2024年网络安全面临的十大挑战,包括云集中风险、无恶意软件攻击的增长、二维码网络钓鱼、小语种恶意软件、工业物联网威胁、影子AI、恶意大语言模型的滥用、脚本小子的复活、驱动程序攻击和合法工具攻击。同时,文章强调了网络安全教育和人才短缺的重要性,以及提供了一份282G的学习资源包供读者参考。
2023年勒索软件、供应链攻击、地缘政治冲突与黑客活动主义、国家黑客间谍与APT组织活动成为网络安全的热点话题,生成式人工智能技术的武器化更是给动荡的全球网络安全威胁态势增加了不确定性、不对称性和复杂性。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
即将到来的2024年,随着网络犯罪的规模化和新兴网络威胁的快速增长,防御者将面临前所未有的艰巨挑战。根据Cybersecurity Ventures的预测,到2024年底,网络攻击给全球经济造成的损失预计将高达10.5万亿美元。这意味着,2024年全球网络犯罪造成的损失有望首次突破10万亿美元大关,网络犯罪已经成为“GDP”增速惊人的全球第三大“经济体”。
面对复杂动态且不断恶化种的威胁态势,如何进行威胁预测和优先级排序成为企业风险管理的头号难题,以下,GoUpSec为读者梳理分析2024年的十大新兴安全威胁和风险趋势:
一、云集中风险
2023年11月阿里云发生全球性停机事故,此次故障的严重程度、影响规模和范围在公有云历史上都极为罕见,严重打击了各行业用户对公有云可靠性和安全性的信心,进一步凸显了Gartner三季度风险报告中强调的“云集中”风险。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
导致“云集中风险”的原因有很多,许多企业为了降低IT复杂性、成本和技能要求,选择将IT服务集中在少数几个战略云供应商手中;而加剧这一风险的是,少数几个云计算巨头凭借其技术能力优势、业务覆盖范围和合作伙伴生态系统,在全球和区域市场占据主导地位。
在全球科技巨头和云服务商争先恐后“大炼数据”的生成式人工智能时代,企业和个人对存放于云端数据的安全焦虑与日俱增,密码学专家布鲁斯施奈尔认为,单纯增加云服务商数量并不能从根本上降低“云风险”,一个可行的策略是将身份、数据和行为解耦合。
“企业不应再对云服务商的数据安全能力和意愿抱有幻想,企业唯一的出路是将数据安全重新掌握在自己手中。”施奈尔说道。
二、针对中小企业的“无恶意软件攻击”暴增
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
根据Huntress发布的中小企业威胁报告,2023年针对中小企业的“无恶意软件攻击”呈上升趋势,2023年针对中小企业的网络攻击中,只有44%部署了恶意软件,其余56%的安全事件属于“无恶意软件攻击“——攻击技术和工具包括使用“离地生存”二进制文件(LOLBins)、脚本框架(如PowerShell)和远程监控和管理(RMM)软件。
在65%的“无恶意软件攻击”事件中,攻击者在初次访问受害者环境后使用RMM软件作为持久性或远程访问机制的方法。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
三、二维码网络钓鱼攻击肆虐全球
2023年,基于二维码的网络钓鱼活动开始流行。2024年,以二维码为中心的网络钓鱼活动预计会加速增长,主要原因是人们对二维码的固有信任仍未打破,人们习惯毫无戒备,不假思索地扫描二维码。网络犯罪分子利用用户对二维码的这种信任在二维码中嵌入恶意链接(指向恶意网站或者恶意软件下载地址)。
为了进一步提高攻击成功率,攻击者还会利用企业内部被盗邮件账户来发送钓鱼邮件。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
网络犯罪分子热衷使用恶意二维码的另外一个原因是传统电子邮件安全产品往往无法检测到二维码网络钓鱼攻击,因为二维码钓鱼邮件邮件往往不包含任何文本,只有一个图片文件附件,能够绕过基于文本分析的电子邮件安全方案。
四、“小语种”恶意软件激增
近年来,使用Golang、Nim和Rust等“小语种”编程语言开发的恶意软件越来越多,2024年“小语种”恶意软件将激增。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
Go的简单性和并发能力使其成为快速制作轻量级恶意软件的首选。Nim对性能和表现力的关注使其对于开发复杂的恶意软件非常有用。同时,Rust的内存管理功能对于勒索软件组织和其他注重恶意软件样本加密效率的攻击者来说很有吸引力。
Nim和Rust语言相对较新,与C或Python等流行语言相比,安全业界缺乏针对这类语言的全面分析工具,给分析和对抗用“小语种”恶意软件的网络安全专家带来了重大挑战,这进一步增加了“小语种”恶意软件的风险。
五、工业物联网边缘设备成为APT重点目标
随着IT与OT进一步融合,企业物联网资产与漏洞管理、威胁检测与事件响应难度不断加大。勒索软件、供应链攻击、地缘政治冲突、国家黑客与APT组织对工业物联网和关键基础设施的威胁不断增长。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
2024年,网络安全威胁焦点将向边缘转移,经常被忽视的边缘设备(包括防火墙、路由器、VPN、交换机、多路复用器和网关等)正在成为勒索软件和APT组织的热门目标。(物联网)边缘设备面临独特的网络安全挑战,因为黑客将更多地利用零日漏洞来实现长期驻留和访问,而且这些边缘设备与传统网络组件不同,难以通过部署IDS/IPS进行入侵检测。
六、影子AI
根据Gartner的报告,2022年82%的数据泄露是“员工不安全或疏忽行为造成的”,三分之一的成功网络攻击来自影子IT,给企业造成数百万美元的损失。而影子AI正在加速放大这种“人为因素”产生的威胁。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
根据The Conference Board的一项调查,56%的北美企业员工在工作中使用生成式AI,但只有26%的企业制定了明确的生成式AI使用政策。在没有制订AI政策的企业中,使用影子AI的员工中只有40%向主管如实汇报。
很多公司都在尝试限制或规范员工在工作中使用生成式AI的行为。但是,在提高生产力的“第一性”需求刺激下,多达30%的员工在没有IT部门的许可,不计后果地使用生成式AI,也就是所谓的影子AI。
七、恶意大语言模型成为主流黑客工具
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
大型语言模型是一柄双刃剑,激发生产力的同时也容易被网络犯罪分子滥用进行大规模攻击。
GPT-4、Claude和PaLM2等领先的大语言模型在生成连贯文本、回答复杂查询、解决问题、编码和许多其他自然语言任务方面取得了突破性的进展,同时也为黑客提供了一种经济高效的工具,无需大量专业知识、时间和资源就可发动大规模针对性攻击。
2023年,FraudGPT和WormGPT等武器化的恶意大语言模型工具已经在网络犯罪网络中占据主导地位,用于自动化创建网络钓鱼电子邮件、假冒网页以及能够逃避检测的恶意软件,使得大规模网络钓鱼活动变得更便宜且更容易实施。根据CrowdStrike的报道,恶意大语言模型已经成为暗网最畅销的黑客工具,吸引了数以千计的不法分子。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
恶意大语言模型应用极大地降低了网络犯罪的门槛并极大提高攻击效率和成功率,预计2024年恶意大语言模型工具的开发和滥用将加速。
八、“脚本小子”复活
免费和开源软件导致了“脚本小子”的崛起,这些人几乎没有任何专业技术知识,使用自动化工具或脚本来发起攻击。随着企业网络安全工具和措施的不断健全,脚本小子逐渐淡出视野。但是,过去一年随着勒索软件即服务(RaaS)和人工智能技术的爆炸式增长,以及恶意大语言模型工具的泛滥,低技能攻击者比以往任何时候都更容易发起大规模的复杂攻击。脚本小子将再次复活,并对企业构成重大安全威胁。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
九、驱动程序攻击将构成重大威胁
最近的许多安全事件表明,易受攻击的驱动程序构成了重大威胁。签名的易受攻击驱动程序在黑客论坛“炙手可热”,因为它们可用于隐秘驻留并能在攻击的早期阶段禁用安全解决方案。在此类攻击中,攻击者会删除使用有效证书签名并能够在受害者设备上以内核权限运行的合法驱动程序。成功利用该漏洞使攻击者能够实现内核级权限升级,从而授予他们对目标系统资源的最高级别访问和控制权。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
ZeroMemoryEx Blackout项目、Spyboy的Terminator工具和AuKill工具都成功利用易受攻击的驱动程序绕过安全控制并成功实施了震惊业界的攻击。虽然业界发布了一些缓解措施,例如微软的Vulnerable Driver Blocklist和LOL Drivers项目。然而,这并没有改变这样一个事实:驱动程序攻击执行起来既简单成功率又高,并且易受攻击的驱动程序更容易访问。预计2024年基于驱动程序的漏洞利用将产生广泛影响。
十、基于合法工具的攻击
随着企业网络安全工具和措施的不断升级,越来越多的攻击者开始利用合法工具来绕过安全工具检测实施破坏,包括禁用安全措施、横向移动和传输文件等,因为基于合法商业工具的攻击更容易逃避检测。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
利用合法工具的攻击可以伪装成日常操作,从而绕过检测横向移动或者长期驻留,因为端点安全产品通常可以检测到自定义攻击工具或恶意软件,但往往会为合法商用工具放行。
例如GMER,PC Hunter,Process Hacker和Defender Control等第三方和内置的Windows工具都不是恶意软件,但却常被攻击者用来禁用或卸载安全产品。上述工具的滥用已经多次出现在真实的网络攻击中,尤其是勒索软件攻击。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
攻击者还热衷使用远程监控和管理(RMM)软件来访问或长期驻留系统。经常被利用的RMM软件包括ConnectWise Control(以前称为ScreenConnect),AnyDesk,Atera和Syncro等。
还有一些用于审核、AD枚举和密码恢复的合法工具,攻击者可以方便地使用这些工具来实施侦测或凭据转储。
被滥用的不仅仅是第三方工具。攻击者还尝试使用操作系统自身的合法二进制文件执行恶意活动,或利用内置Windows进程(如taskkill或net stop命令)杀死或停止进程,以停止与备份相关的进程。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全该如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
如果你对网络安全入门感兴趣,
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
1152
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
