2023 年的主要网络安全威胁及明年预测

前言

进入 2023 年，网络安全仍然是CIO 最关心的问题。这并不奇怪。2022 年上半年，全球共发生 28 亿次恶意软件攻击和 2.361 亿次勒索软件攻击。到 2022 年底，预计将发起60 亿次网络钓鱼攻击。

在IEEE 对 350 名首席技术官、首席信息官和 IT 主管进行的一项新调查中，51% 的受访者将云漏洞列为头等大事（高于 2022 年的 35%），43% 将数据中心漏洞列为头等大事（高于 2022 年的 27%）。

网络安全专业人员关注的其他领域包括：

· 勒索软件攻击 (30%)

· 对组织网络的协同攻击 (30%)

· 缺乏对安全解决方案的投资 (26%)

为了减轻其中的一些风险，安全团队可以使用零信任架构提高设备级别的合规性，例如本文的赞助商 Kolide，这是一种设备信任解决方案，使使用 Okta 的组织能够实施零信任访问模型以确保安全他们的云应用程序。

零信任基础架构提供涵盖日常设备风险所需的安全性和合规性，因此 IT 部门可以将注意力转移到其他问题上，例如 IT 部门在 2023 年可能遇到的 10 大安全威胁。了解更多关于 Kolide 如何确保安全的信息单击下面的按钮来创建您的工作区。

明年十大安全威胁

1. 恶意软件

恶意软件是注入网络和系统的恶意软件，包括病毒和蠕虫，意图造成破坏。恶意软件可以提取机密信息、拒绝服务并获得对系统的访问权限。

IT 部门使用防病毒软件和防火墙在恶意软件进入网络和系统之前对其进行监控和拦截，但不法分子继续改进他们的恶意软件以逃避这些防御。这使得维护安全软件和防火墙的最新更新变得至关重要。还有用于阻止恶意软件的硬件解决方案，例如Gryphon的 Guardian 网状路由器，它可以处理各种威胁。

2. 勒索软件

勒索软件是一种恶意软件。它阻止对系统的访问或威胁发布专有信息。勒索软件肇事者要求受害者的公司向他们支付现金赎金，以解锁系统或返回信息。

到 2022 年为止，勒索软件对公司的攻击比 2021 年高出 33%。许多公司同意支付赎金以恢复其系统，结果却再次遭到同样的勒索软件攻击者的攻击。

一家大型公用事业提供商的网络安全经理 Rob Floretta 警告说，不良行为者，无论是部署恶意软件、间谍软件、窃取有价值的数据还是部署其他种类的攻击，都可能隐藏在公司的网络中。减少他们在公司系统“内部”的停留时间是关键。

“停留时间是指某人在你发现他们之前在你的土地上生活了多长时间，”他说。“近年来这一数字已大幅下降，但仍有工作要做。”

Mandiant报告称，外部第三方发现并向受害者披露的入侵的全球中位停留时间从 2020 年的 73 天下降到 28 天。同时，在 2021 年，55% 的调查停留时间为 30 天或更短，67%其中（占总入侵的 37%）是在一周或更短时间内被发现的。然而，该报告还显示，供应链妥协占 2021 年入侵事件的 17%，而 2020 年这一比例不到 1%。

3. 供应链漏洞

供应链黑客攻击，包括臭名昭著的SolarWinds 攻击，该攻击已进入多个政府机构，以及鲜为人知的涉及JS.node 漏洞的攻击，这些攻击尤其有害，因为威胁面的大小基本上是受感染软件所到之处。

就 SolarWinds 的 Orion 更新而言，该表面包括北美、欧洲、亚洲和中东的数百个咨询、技术、电信和采掘实体。

公司可以采取的步骤之一是审核其供应商和供应商使用的安全措施，以确保端到端供应链的安全。

纽约大学计算机科学教授 Justin Cappos 创建了名为 in-toto 的开源安全协议，他解释说人们通常依靠 SBOM（软件物料清单）来“了解”他们的软件供应链中有什么。

“这些有点像食物上的营养标签，”他解释道。“如果你不能证明这些标签的准确性，那你就有问题了。这就是 in-toto 之类的东西进来的地方：你创建本质上签名的声明或证明，某些人，而且只有那些人，采取了合法的行动，比如检查代码或做有依赖性的事情。”

4. 网络钓鱼

软件在抵御社会工程学方面的作用有限。几乎每个人都收到过一封可疑的电子邮件——或者更糟糕的是，一封看似合法且来自受信任方但实际上并非如此的电子邮件。这种电子邮件欺骗被称为网络钓鱼。

网络钓鱼是对公司的主要威胁，因为毫无戒心的员工很容易打开虚假电子邮件并释放病毒。关于如何识别虚假电子邮件、报告它们以及从不打开它们的员工培训真的很有帮助。IT 应与 HR 合作，以确保培养良好的电子邮件使用习惯。

有许多供应商为寻求接近交钥匙解决方案的公司提供培训和打包解决方案。还有技术解决方案。

Cappos 表示，密码管理器是关键的第一道防线。

“你没有任何理由应该与任何人分享验证码，”他说。“你应该使用身份验证器应用程序，而不是那些向你发送短信的应用程序。”

他还指出，Android 和 iPhone 改进了保护措施，例如 iPhone 上的锁定模式和开源 GrapheneOS for Pixel 中的功能。

5. 物联网

2020 年，61% 的公司在使用物联网，而且这一比例还在继续增加。随着物联网的扩展，安全风险也在增加，尤其是随着5G 电信的出现，即连接设备的实际通信网络。

物联网供应商因在其设备上几乎没有实施安全措施而臭名昭著，这种威胁可以通过在RFP 流程中预先对物联网供应商进行更严格的安全审查以及通过重置设备上的物联网安全默认值以使其符合企业标准来缓解。

“物联网设备通常包含易于猜测的凭据，或者它们的默认密码很容易在互联网上获得，”Floretta 说。“遵循简单的网络安全最佳实践，例如在安装后更改密码，将使不良行为者更难妥协。”

6 、内部员工

心怀不满的员工可能会破坏网络或窃取知识产权和专有信息，而养成不良安全习惯的员工可能会无意中共享密码并使设备不受保护。这就是为什么越来越多的公司使用社会工程审计来检查员工安全政策和程序的运作情况。

到 2023 年，将继续使用社会工程审计，以便 IT 可以检查其员工安全政策和实践的稳健性。

7. 数据中毒

一项 IBM 2022 研究发现，35% 的公司在其业务中使用人工智能，42% 的公司正在探索它。人工智能将为各行各业的公司开辟新的可能性。不幸的是，坏演员也知道这一点。

只需看看 Log4J Log4Shell 错误，就可以证明人工智能系统中的数据中毒正在上升。在数据中毒中，恶意行为者找到一种方法将损坏的数据注入 AI 系统，这将扭曲 AI 查询的结果，可能会向公司决策者返回错误的 AI 结果。

数据中毒是进入企业系统的新攻击媒介。一种防范方法是持续监控您的 AI 结果。如果您突然发现一个系统的趋势明显偏离它过去揭示的内容，那么就该查看数据的完整性了。

8 、新技术

组织正在采用生物识别等新技术。这些技术带来了巨大的好处，但它们也引入了新的安全风险，因为 IT 对它们的经验有限。IT 可以采取的一个步骤是在签署购买协议之前仔细审查每项新技术及其供应商。

“生物识别技术包含一系列技术：它可以是语音、视网膜扫描甚至是行为，”Floretta 说。

一个主要的好处是一些生物特征是不可变的，不像密码。

上下文身份验证（或自适应身份验证）是一种基于行为的身份验证，其本质是：“我很确定我根据你的行为知道你是谁，但如果我看到一些对你来说不正常的东西，我需要行动。”

9. 多层安全

多少安全就足够了？如果您已为您的网络设置防火墙、安装安全监控和拦截软件、保护您的服务器、向员工发布多因素身份识别登录并实施数据加密，但您忘记锁定包含服务器的物理设施或安装最新的安全更新在智能手机上，你覆盖了吗？

IT 必须保护和监控许多安全层。IT 可以通过为工作流中的每个安全漏洞点创建清单来加强安全性。 “多层防御至关重要，”TAGCyber 首席执行官兼 AT&T 前 CISO 埃德·阿莫罗索 (Ed Amoroso) 说。“密码是一个关键层，但两端的数据加密是下一个，依此类推。底线：仅仅因为你加入并不意味着我信任你。坦率地说，多层安全的唯一障碍就是成本。”

10. 云安全

是的，西雅图黑客在 2019 年发生的数据泄露事件导致约 1 亿份信用申请被盗，但云中配置错误的 AWS 存储桶的泄露导致了其他问题——公司的监管难题。

矛盾的是，容器监管可能面临的罚款是专家指出的 2023 年的主要网络挑战之一。当涉及到企业声誉和钱包时，反击可能与闯入一样糟糕。

在上述案例中，联邦法院裁定 Capital One 因未能保护财务数据而存在疏忽。随之而来的是 8000 万美元的罚款，以及 1.9 亿美元的客户诉讼。

Hyperproof 的现场 CISO 和 IEEE 的高级成员 Kayne McGladrey 说：“如果公司不进行配置管理并跟踪他们必须遵守的法规遵从性，他们就会面临风险。”

他解释说，现代网络安全和相关监管框架需要静态和传输中的数据加密。

“如果公司进行加密，那将是轻松的一天，而且没有问题，”他说。“在像 B2B 采购协议这样的供应商谈判中，我开始看到的真正风险是，公司希望证明 [供应商] 正在监控其所有云存储的加密。公司之间互相询问：你能验证吗，你是否定期检查你的云存储是否加密？

从技术角度来看，这很容易做到，但正如 Mcgladrey 指出的那样，组织中任何有权使用 AWS、Microsoft Azure 或 Google Cloud 等云计算平台的人都可以建立一个存储桶。他们可以在云中创建一个存储位置，但不一定要对其进行加密。

以上内容为信息搜集部分。

如何入门学习网络安全【黑客】

【----帮助网安学习，以下所有学习资料文末免费领！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

大纲

首先要找一份详细的大纲。

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段：技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

CTF比赛视频+题库+答案汇总

实战训练营

面试刷题

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码 即可免费领取↓↓↓
或者
【点此链接】领取