2024年十大新兴网络安全威胁

最新推荐文章于 2024-09-24 13:45:00 发布

白帽胡子哥

最新推荐文章于 2024-09-24 13:45:00 发布

阅读量768

点赞数 19

文章标签： web安全安全网络学习系统安全

本文链接：https://blog.csdn.net/wangluo12138/article/details/141269303

版权

在这里插入图片描述
2023年勒索软件、供应链攻击、地缘政治冲突与黑客活动主义、国家黑客间谍与APT组织活动成为网络安全的热点话题，生成式人工智能技术的武器化更是给动荡的全球网络安全威胁态势增加了不确定性、不对称性和复杂性。

即将到来的2024年，随着网络犯罪的规模化和新兴网络威胁的快速增长，防御者将面临前所未有的艰巨挑战。根据Cybersecurity Ventures的预测，到2024年底，网络攻击给全球经济造成的损失预计将高达10.5万亿美元。这意味着，2024年全球网络犯罪造成的损失有望首次突破10万亿美元大关，网络犯罪已经成为“GDP”增速惊人的全球第三大“经济体”。

面对复杂动态且不断恶化种的威胁态势，如何进行威胁预测和优先级排序成为企业风险管理的头号难题，以下，GoUpSec为读者梳理分析2024年的十大新兴安全威胁和风险趋势：

一、云集中风险

2023年11月阿里云发生全球性停机事故，此次故障的严重程度、影响规模和范围在公有云历史上都极为罕见，严重打击了各行业用户对公有云可靠性和安全性的信心，进一步凸显了Gartner三季度风险报告中强调的“云集中”风险。

导致“云集中风险”的原因有很多，许多企业为了降低IT复杂性、成本和技能要求，选择将IT服务集中在少数几个战略云供应商手中；而加剧这一风险的是，少数几个云计算巨头凭借其技术能力优势、业务覆盖范围和合作伙伴生态系统，在全球和区域市场占据主导地位。

在全球科技巨头和云服务商争先恐后“大炼数据”的生成式人工智能时代，企业和个人对存放于云端数据的安全焦虑与日俱增，密码学专家布鲁斯施奈尔认为，单纯增加云服务商数量并不能从根本上降低“云风险”，一个可行的策略是将身份、数据和行为解耦合。

“企业不应再对云服务商的数据安全能力和意愿抱有幻想，企业唯一的出路是将数据安全重新掌握在自己手中。”施奈尔说道。

二、针对中小企业的“无恶意软件攻击”暴增

根据Huntress发布的中小企业威胁报告，2023年针对中小企业的“无恶意软件攻击”呈上升趋势，2023年针对中小企业的网络攻击中，只有44%部署了恶意软件，其余56%的安全事件属于“无恶意软件攻击“——攻击技术和工具包括使用“离地生存”二进制文件（LOLBins）、脚本框架（如PowerShell）和远程监控和管理（RMM）软件。

在65%的“无恶意软件攻击”事件中，攻击者在初次访问受害者环境后使用RMM软件作为持久性或远程访问机制的方法。

三、二维码网络钓鱼攻击肆虐全球

2023年，基于二维码的网络钓鱼活动开始流行。2024年，以二维码为中心的网络钓鱼活动预计会加速增长，主要原因是人们对二维码的固有信任仍未打破，人们习惯毫无戒备，不假思索地扫描二维码。网络犯罪分子利用用户对二维码的这种信任在二维码中嵌入恶意链接（指向恶意网站或者恶意软件下载地址）。

为了进一步提高攻击成功率，攻击者还会利用企业内部被盗邮件账户来发送钓鱼邮件。

网络犯罪分子热衷使用恶意二维码的另外一个原因是传统电子邮件安全产品往往无法检测到二维码网络钓鱼攻击，因为二维码钓鱼邮件邮件往往不包含任何文本，只有一个图片文件附件，能够绕过基于文本分析的电子邮件安全方案。