闞哲

網(wǎng)絡攻擊和威脅的增長將提升對攻擊預測技術的需求，從而增加網(wǎng)絡威脅情報（CTI）的應用價值。從目前在應用實踐中觀察到的情況來看，許多企業(yè)的CTI應用局限于管理妥協(xié)指標（IOC）提要，這種方式對防范新興的零日攻擊和APT攻擊幾乎無效。2022年，很多企業(yè)已經(jīng)開始轉(zhuǎn)變，在公司內(nèi)部建立全面的CTI能力，并且在安全運營團隊中設置專門的CTI崗位，這一趨勢將在2023年進一步發(fā)展和成熟。

隨著網(wǎng)絡安全在企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展中的重要性不斷增長，網(wǎng)絡安全運營工作也得到企業(yè)管理層的高度關注和重視。日前，卡巴斯基的安全研究人員，分別從外部和內(nèi)部視角，對2023年企業(yè)組織網(wǎng)絡安全運營工作的發(fā)展態(tài)勢和挑戰(zhàn)進行了預測，這些運營挑戰(zhàn)將與2023年企業(yè)面臨的安全威脅緊密交織在一起。

勒索攻擊從加密數(shù)據(jù)轉(zhuǎn)向破壞數(shù)據(jù)

這是外部因素。網(wǎng)絡安全已經(jīng)成為國家安全的重要組成部分，地緣政治動蕩將會持續(xù)影響著網(wǎng)絡攻擊面。在2023年可以預計網(wǎng)絡戰(zhàn)的威脅將繼續(xù)存在并進一步加劇，其中最常見的攻擊場景有：對組織員工的攻擊（社會工程），對重要企業(yè)IT基礎設施的攻擊（DDoS），以及對國家關鍵基礎設施的攻擊。

另一個重要的趨勢始于2022年，并將持續(xù)到2023年，那就是勒索軟件攻擊不僅會加密受害企業(yè)的數(shù)據(jù)，還會以破壞數(shù)據(jù)作為攻擊手段。這種威脅對那些因為政治動機遭受攻擊的企業(yè)組織來說將會非常普遍。在未來的一年里，這種勒索攻擊威脅注定會快速上升。

基于邊界滲透的攻擊顯著增長

基于邊界滲透的攻擊顯著增長是外部因素。盡管企業(yè)的網(wǎng)絡邊界正在不斷地模糊和消失，但是在2021年和2022年，卡巴斯基觀察到通過網(wǎng)絡邊界成功進行初始滲透的攻擊數(shù)量卻在顯著增長。數(shù)據(jù)顯示，這種類型的攻擊數(shù)量在2022年比2021年翻了一番。研究人員發(fā)現(xiàn)，攻擊者從邊界滲透所需的攻擊準備比發(fā)起一次成功的網(wǎng)絡釣魚要少，而且一些非常老的安全漏洞仍在持續(xù)暴露并可輕松被利用；預計這種趨勢將在2023年繼續(xù)下去。

針對科技企業(yè)的供應鏈攻擊

針對科技企業(yè)的供應鏈攻擊是外部因素。據(jù)卡巴斯基觀察，攻擊者對大型科技公司和電信運營商的攻擊興趣在不斷提升。根據(jù)卡巴斯基MDR報告數(shù)據(jù)顯示，2021年電信行業(yè)安全事件統(tǒng)計數(shù)據(jù)為：平均每一萬個應用系統(tǒng)中檢測出79起高危事件，42起中危事件，28起低危事件。

2022年，盡管高危事件的比例較低，大約每一萬個系統(tǒng)中有12起高危事件，但中危事件卻有60起，低危事件22起。研究人員認為，入侵者通過攻擊電信運營商，可以進一步威脅到他們的客戶。在2023年，卡巴斯基預計通過電信運營商和大型科技企業(yè)進行的供應鏈攻擊數(shù)量將會增加，這些供應商還通常會提供額外的托管服務。

有國家背景組織發(fā)起的網(wǎng)絡攻擊

這是外部因素。數(shù)據(jù)顯示，過去幾年，從關鍵基礎設施企業(yè)到政府機構等行業(yè)都受到更具針對性的網(wǎng)絡攻擊威脅，曾遭受過針對性攻擊的組織面臨二次攻擊的可能性仍然很高，因為這是威脅行為者的長期目標。這一點在政府組織中尤為明顯，它們往往受到有國家支持的非法團伙攻擊。

地緣政治沖突通常伴隨著信息戰(zhàn)，而媒體組織也不可避免地發(fā)揮著重要作用。近年來，卡巴斯基觀察到針對這一領域的攻擊在穩(wěn)步增長，2022年的統(tǒng)計數(shù)據(jù)證實了這一趨勢，大眾媒體也是攻擊者的主要目標之一。到2023年，媒體和政府組織很可能仍將是最常受到攻擊的領域，高危事件的比例可能會增加。為了有效防范一些有針對性的攻擊，企業(yè)組織可以考慮將主動威脅搜索與MDR結合使用。

安全運營團隊如何降本增效

這是內(nèi)部因素。企業(yè)安全運營工作發(fā)展的未來在于集約而非粗放的增長，這意味著每個安全運營團隊成員的價值產(chǎn)出需要持續(xù)增長。企業(yè)需要不斷開發(fā)安全運營團隊的技能，以應對2023年企業(yè)可能面臨的安全威脅。這意味著企業(yè)需要加強事件響應訓練和所有形式的安全運營演習，如TTX、安全紅隊和入侵攻擊模擬，都應該成為2023年企業(yè)安全運營戰(zhàn)略計劃制定的重要組成部分。

在實際安全運營中，很多企業(yè)缺乏熟練和有經(jīng)驗的安全人員，這種趨勢在2023年將繼續(xù)存在。為了應對挑戰(zhàn)，企業(yè)需要明確定義規(guī)范合理的安全運營流程，優(yōu)化提升安全運維人員的工作效率。因此，卡巴斯基預測，2023年企業(yè)對安全運營流程開發(fā)和相關服務的需求將越來越大。

更高的預算成本和投入

這是內(nèi)部因素。不斷增長的數(shù)字威脅環(huán)境正在推動企業(yè)組織網(wǎng)絡安全建設和安全運營預算飆升。這一趨勢將把企業(yè)管理層的關注點集中在安全預算支出上，引發(fā)有關“為什么？”“效果是什么？”“它能帶來什么價值？”等問題的思考。這些問題主要是針對網(wǎng)絡安全運營團隊的。

在此背景下，企業(yè)應該盡快開展安全運營效率管理計劃。企業(yè)需要評估業(yè)務中斷或違約成本，并將其映射到安全預算投入上，以減少此類安全事件的發(fā)生。通過開展安全運營效率管理，可以讓安全運營團隊合理評估他們創(chuàng)造的價值。但在實施這種方法之前，企業(yè)組織需要制定有效的評價指標及分析方法，并建立較完善的安全運營流程。

更全面的威脅情報支撐和威脅搜索

這是內(nèi)部因素。網(wǎng)絡攻擊和威脅的增長將提升對攻擊預測技術的需求，從而增加網(wǎng)絡威脅情報（CTI）的應用價值。從目前在應用實踐中觀察到的情況來看，許多企業(yè)的CTI應用局限于管理妥協(xié)指標（IOC）提要，這種方式對防范新興的零日攻擊和APT攻擊幾乎無效。2022年，很多企業(yè)已經(jīng)開始轉(zhuǎn)變，在公司內(nèi)部建立全面的CTI能力，并且在安全運營團隊中設置專門的CTI崗位，這一趨勢將在2023年進一步發(fā)展和成熟。

假設妥協(xié)范式將在2023年繼續(xù)存在，這意味著主動的威脅搜索可能成為一種趨勢，并成為未來企業(yè)安全運營戰(zhàn)略的重要組成部分。由于威脅搜索是安全運營體系中檢測能力的關鍵部分，因此企業(yè)組織應該考慮定期進行威脅搜索，并制定明確的威脅發(fā)現(xiàn)目標，以了解如何持續(xù)實現(xiàn)這些目標。