文｜本刊記者 孫杰賢

“這幾年的新冠疫情讓我們發(fā)現(xiàn)這樣一個(gè)事實(shí)，那就是數(shù)字化轉(zhuǎn)型做得好的企業(yè)受到的疫情沖擊要相對(duì)小得多?！?F5安全事業(yè)部總經(jīng)理陳亮在接受采訪時(shí)表示，“進(jìn)入信息社會(huì)和數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)字化轉(zhuǎn)型已經(jīng)成為企業(yè)的必選項(xiàng)。但是有一個(gè)問題不能忽視，隨著企業(yè)數(shù)字化轉(zhuǎn)型深度和廣度的增加，安全的風(fēng)險(xiǎn)會(huì)越來越大。對(duì)于企業(yè)來說，數(shù)字化轉(zhuǎn)型，安全是一切?！?/p>

數(shù)字化轉(zhuǎn)型的本質(zhì)是企業(yè)將自己的資產(chǎn)、技術(shù)、服務(wù)和能力等通過技術(shù)手段打包到可重復(fù)利用的模塊化軟件和系統(tǒng)中。而這種資產(chǎn)、技術(shù)、服務(wù)和能力在軟件和系統(tǒng)中以數(shù)據(jù)的形式被呈現(xiàn)。要利用好這些數(shù)據(jù)讓其發(fā)揮最大價(jià)值便需要企業(yè)擁有良好的API 能力以打破數(shù)據(jù)孤島，讓數(shù)據(jù)在不同環(huán)境中使用。所以，數(shù)字化轉(zhuǎn)型是由API驅(qū)動(dòng)的，反之，數(shù)字化轉(zhuǎn)型大勢(shì)也成就了API經(jīng)濟(jì)。因此，從這一點(diǎn)看，應(yīng)用安全是企業(yè)數(shù)字化轉(zhuǎn)型的重中之重。

作為應(yīng)用交付的鼻祖，F(xiàn)5自創(chuàng)立之初便將安全作為企業(yè)的基因之一。通過持續(xù)的研發(fā)、創(chuàng)新，以及并購、整合，F(xiàn)5鞏固了在應(yīng)用交付和應(yīng)用安全領(lǐng)域的領(lǐng)先優(yōu)勢(shì)。F5安全運(yùn)營中心（SOC）預(yù)測(cè)了2023年會(huì)出現(xiàn)的五大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，希望為數(shù)字化轉(zhuǎn)型中的企業(yè)提供參考。

威脅一：影子API將帶來不可預(yù)知的漏洞。與網(wǎng)絡(luò)安全的所有方面一樣，企業(yè)無法為未知內(nèi)容提供保障。F5認(rèn)為，影子API代表了一種日益增長(zhǎng)的風(fēng)險(xiǎn)，可能會(huì)導(dǎo)致大規(guī)模數(shù)據(jù)泄露，而受到侵害的企業(yè)甚至不知道這種風(fēng)險(xiǎn)的存在。

威脅二：多重身份驗(yàn)證將失去效力。攻擊者會(huì)使用實(shí)時(shí)網(wǎng)絡(luò)釣魚代理來繞過多重身份驗(yàn)證（MFA）系統(tǒng)，這種攻擊的目的是通過用大量的認(rèn)證請(qǐng)求騷擾受害者，使企業(yè)意外或無奈地允許通知請(qǐng)求。這種類型的攻擊將為企業(yè)帶來直接的風(fēng)險(xiǎn)，因?yàn)閱T工通常是最容易受到社交工程攻擊的威脅載體。2023年，這種攻擊會(huì)越來越頻繁和有效。

威脅三：云部署故障排除將帶來更多問題。無論是意外還是出于故障排除的目的，許多云用戶會(huì)采取創(chuàng)建臨時(shí)服務(wù)用戶的方式，通過內(nèi)置身份和訪問管理（IAM）策略或內(nèi)聯(lián)策略為其分配非常廣泛的權(quán)限，然而這種臨時(shí)的配置往往會(huì)變成永久性的配置，這將給企業(yè)帶來極大的安全風(fēng)險(xiǎn)。

威脅四：開源軟件庫將成為攻擊的主要目標(biāo)。許多現(xiàn)代應(yīng)用利用軟件即服務(wù)（SaaS）進(jìn)行安全防護(hù)，如集中式認(rèn)證、數(shù)據(jù)庫即服務(wù)或數(shù)據(jù)泄密防護(hù)（DLP）。如果攻擊者能夠破壞開源軟件（OSS）的代碼庫或被應(yīng)用消耗的SaaS產(chǎn)品，那么攻擊者就在應(yīng)用內(nèi)部有了立足點(diǎn)，能夠繞過如Web應(yīng)用防火墻和API網(wǎng)關(guān)的外圍防御，從而進(jìn)行攻擊。

威脅五：勒索軟件將進(jìn)一步擴(kuò)張。有組織的網(wǎng)絡(luò)犯罪將繼續(xù)發(fā)展勒索軟件技術(shù)，并將特別關(guān)注關(guān)鍵基礎(chǔ)設(shè)施。針對(duì)云數(shù)據(jù)庫的勒索軟件攻擊將在2023年大幅增加，因?yàn)槠髽I(yè)和政府的關(guān)鍵數(shù)據(jù)都存儲(chǔ)在其中。此外，攻擊者將增加嘗試次數(shù)，通過各種詐騙和下游欺詐手段（如申請(qǐng)新的信用卡），直接從受影響的個(gè)人身上獲取漏洞數(shù)據(jù)。