|
國(guó)外安全網(wǎng)站《安全周刊》以2022年網(wǎng)絡(luò)安全回顧���,影響安全生態(tài)系統(tǒng)的頭條新聞和趨勢(shì)�����,探討了所謂的《影響2022 年網(wǎng)絡(luò)安全的五個(gè)故事》����,讓我們一起看看他們的一些看法。當(dāng)回顧過(guò)去一年中需要關(guān)注的安全事件��、事件和故事時(shí)����,很明顯,引人注目的數(shù)據(jù)泄露和零日攻擊將繼續(xù)占據(jù)頭條新聞���。似乎幾乎一周過(guò)去了���,某種網(wǎng)絡(luò)安全事件沒(méi)有成為頭條新聞,隨著 CISO 和防御者應(yīng)對(duì)經(jīng)濟(jì)惡化和損害安全計(jì)劃的裁員�,將支出預(yù)算擴(kuò)大到極限。在這篇對(duì) 2022 年熱點(diǎn)事件的回顧中����,《 安全周刊》的編輯們仔細(xì)研究了影響 2022 年的五個(gè)重大事件,以及它們對(duì)未來(lái)大規(guī)模保護(hù)數(shù)據(jù)可能意味著什么���。 Lapsus$ 肆虐 這一年開(kāi)始時(shí)�,防御者仍在爭(zhēng)先恐后地緩解Log4j 供應(yīng)鏈危機(jī),但在表面之下��,潛伏著同樣危險(xiǎn)的東西���,并準(zhǔn)備對(duì)高科技領(lǐng)域的一些知名企業(yè)造成大屠殺�����。 Lapsus$ 是一群出于經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪分子的代號(hào)�,其“勒索和破壞”黑客狂潮引起了人們的注意�,這使英偉達(dá)、三星���、育碧�����、優(yōu)步和 Rockstar Games 等知名公司暴露并蒙羞�����。 Lapsus$ 大屠殺還打擊了科技巨頭Microsoft 和 Okta,Redmond 公開(kāi)記錄了“大規(guī)模的社會(huì)工程和勒索活動(dòng)”����,而 Okta 在其違規(guī)程度方面嚴(yán)重破壞了與客戶的溝通�。 “[該組織] 以使用純粹的勒索和破壞模型而不部署勒索軟件有效載荷而聞名�����,”微軟在一份說(shuō)明中警告說(shuō)���,承認(rèn)其自己的系統(tǒng)在備受矚目的突襲中受到損害�����。 到 2022 年底��,Lapsus$ 的妥協(xié)非常嚴(yán)重�����,以至于美國(guó)政府注意到并指派其 CSRB(網(wǎng)絡(luò)安全審查委員會(huì))“審查 Lapsus$ 的網(wǎng)絡(luò)活動(dòng)��,以分析他們的策略并幫助各種規(guī)模的組織保護(hù)自己����?��!?/span> 零日漏洞 連續(xù)第二年���,記錄在案的野外零日攻擊案例仍然備受關(guān)注�����,新數(shù)據(jù)顯示零日攻擊活動(dòng)已蔓延至低級(jí)網(wǎng)絡(luò)犯罪分子����。 到 2022 年底�����,有 52 起公開(kāi)記錄的零日攻擊襲擊了廣泛的軟件產(chǎn)品���,最顯著的影響來(lái)自大型技術(shù)供應(yīng)商 Microsoft���、Google 和 Apple 的代碼。 更令人擔(dān)憂的是�,已觀察到針對(duì)思科、Sophos����、趨勢(shì)科技�、Atlassian�����、Magento 和 QNAP Systems 產(chǎn)品中的軟件和固件漏洞的零日攻擊��。在這一年中�,包括 Fortinet 和 Citrix 在內(nèi)的多家供應(yīng)商被迫發(fā)布緊急修復(fù)程序以應(yīng)對(duì)零日攻擊�。 根據(jù)SecurityWeek跟蹤的數(shù)據(jù),2022 年 Microsoft 漏洞約占所有零日漏洞利用的 23%�����,其次是 Google Chrome (17%) 和 Apple 產(chǎn)品(iOS 和 macOS 零日漏洞合計(jì)為 17%)��。 在 2022 年期間�,美國(guó)政府的網(wǎng)絡(luò)安全機(jī)構(gòu) CISA 不間斷地將“已知被利用的漏洞”添加到其必須修補(bǔ)目錄中,VPN�、防火墻和固件在受到攻擊的產(chǎn)品類別中占據(jù)突出地位。 大型科技公司對(duì)付雇傭間諜軟件供應(yīng)商 整個(gè) 2022 年��,隨著 Cytrox����、Candiru����、BellTroX 和 DSIRF 等公司加入臭名昭著的NSO 集團(tuán)�,雇傭間諜軟件供應(yīng)商的公開(kāi)曝光和點(diǎn)名羞辱繼續(xù)快速進(jìn)行hack-for-hire 有針對(duì)性的攻擊操作。 包括 Facebook 母公司 Meta 提交的法庭文件�����、微軟的公開(kāi)文件和谷歌在國(guó)會(huì)的露面在內(nèi)的大型科技公司打擊行動(dòng)描繪了一幅遍布全球的雇傭監(jiān)控行業(yè)的圖景����,黑客團(tuán)隊(duì)設(shè)在美國(guó),歐洲和以色列�。 2022 年出現(xiàn)的一些新名稱包括 Cobwebs Technologies、Cognate����、Black Cube、Bluehawk CI 和 CyberRoot(前身為 BellTroX)��,因?yàn)榉烙甙l(fā)現(xiàn)了零日攻擊�����、魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)和復(fù)雜的攻擊鏈的跡象。 不斷擴(kuò)大的雇傭監(jiān)視活動(dòng)促使網(wǎng)絡(luò)安全專業(yè)人士呼吁美國(guó)政府緊急控制這些陰暗的業(yè)務(wù)��。在眾議院情報(bào)委員會(huì)的一次露面中��,Google 的Shane Huntley呼吁國(guó)會(huì)考慮“全面禁止”聯(lián)邦采購(gòu)商業(yè)間諜軟件技術(shù)�,并敦促擴(kuò)大對(duì)兩個(gè)臭名昭著的供應(yīng)商——NSO Group 和 Candiru 的制裁。
SBOM 和軟件供應(yīng)鏈安全 為確保軟件供應(yīng)鏈安全而進(jìn)行的殊死搏斗在整個(gè) 2022 年占據(jù)了中心位置���,因?yàn)槊绹?guó)政府呼吁特別關(guān)注固件安全作為“單點(diǎn)故障”,并圍繞 SBOM 的強(qiáng)制執(zhí)行展開(kāi)了熱烈討論(軟件物料清單)���。 
SBOM 授權(quán)包含在白宮行政命令中�,是聯(lián)邦政府推動(dòng)軟件交付生態(tài)系統(tǒng)中的供應(yīng)商和供應(yīng)商提供安全保證的一部分����。 隨著安全領(lǐng)導(dǎo)者和 CISO 爭(zhēng)先恐后地弄清楚如何使用和交付強(qiáng)制性軟件成分列表,大型技術(shù)供應(yīng)商發(fā)布了用于 SBOM 生成的開(kāi)源工具包����,風(fēng)險(xiǎn)資本家加倍投資于供應(yīng)鏈領(lǐng)域。 然而��,在表面之下����,一些 IT 和軟件交付領(lǐng)域的大腕對(duì)政府的 SBOM 授權(quán)表示強(qiáng)烈反對(duì)�。到年底����,代表大型科技公司的游說(shuō)者公開(kāi)呼吁聯(lián)邦政府的管理和預(yù)算辦公室 (OMB) “勸阻機(jī)構(gòu)”要求 SBOM,認(rèn)為供應(yīng)商“現(xiàn)在為時(shí)過(guò)早且效用有限”準(zhǔn)確提供構(gòu)成軟件組件的成分的嵌套清單��。 這個(gè)名為 ITI(信息技術(shù)產(chǎn)業(yè)委員會(huì))的貿(mào)易組織的重要成員包括亞馬遜�����、微軟��、蘋果�、英特爾、AMD�����、聯(lián)想����、IBM、思科�����、三星、臺(tái)積電���、高通�����、Zoom 和 Palo Alto Networks ���。 網(wǎng)絡(luò)安全業(yè)務(wù)越來(lái)越大 在攻擊面蔓延��、與云相關(guān)的數(shù)據(jù)泄露和不斷擴(kuò)大的勒索軟件危機(jī)持續(xù)擴(kuò)大的一年中�,投資者繼續(xù)尋求投資于網(wǎng)絡(luò)安全初創(chuàng)公司的利潤(rùn)。 網(wǎng)絡(luò)安全“獨(dú)角獸” (估值超過(guò) 10 億美元的初創(chuàng)公司)的步伐在 2022 年明顯放緩����,但不乏大型融資交易,尤其是對(duì)于處理軟件供應(yīng)鏈或云數(shù)據(jù)安全的早期初創(chuàng)公司而言�����。 我們觀察到風(fēng)投們瘋狂地將資金投入一些奇怪的類別(安全的企業(yè)瀏覽器就是一個(gè)例子)�����,并且穩(wěn)定的投資流向處理 API 安全、攻擊面管理���、數(shù)據(jù)安全態(tài)勢(shì)管理和軟件供應(yīng)鏈安全的公司����。 谷歌以 54 億美元收購(gòu) Mandian t 并以5億美元收購(gòu) Siemplify����,這為這家搜索營(yíng)銷巨頭提供了令人印象深刻的網(wǎng)絡(luò)安全堆棧,可將其添加到其企業(yè)云產(chǎn)品中�����,并標(biāo)志著與競(jìng)爭(zhēng)對(duì)手微軟爭(zhēng)奪網(wǎng)絡(luò)安全相關(guān)收入的巨大推動(dòng)力����。 微軟在 2022 年放棄了大手筆收購(gòu),但在網(wǎng)絡(luò)安全收入達(dá)到 150 億美元的年度大關(guān)之際��,通過(guò)推出新的托管服務(wù)繼續(xù)展示其安全業(yè)務(wù)實(shí)力�。 去年,知名私募股權(quán)公司積極收購(gòu)身份和訪問(wèn)管理領(lǐng)域的公司����。重大交易包括 Thoma Bravo以 28 億美元收購(gòu) Ping Identity����,以總計(jì)120億美元收購(gòu)SailPoint和ForgeRock���;Vista Equity Partners為 KnowBe4支付了 46 億美元�。 網(wǎng)絡(luò)安全等級(jí)保護(hù):淺談物理位置選擇測(cè)評(píng)項(xiàng) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估清單 成功執(zhí)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的3個(gè)步驟 美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)泄露的成本 VMware 發(fā)布9.8分高危漏洞補(bǔ)丁 備份:網(wǎng)絡(luò)和數(shù)據(jù)安全的最后一道防線 數(shù)據(jù)安全:數(shù)據(jù)安全能力成熟度模型 數(shù)據(jù)安全知識(shí):什么是數(shù)據(jù)保護(hù)以及數(shù)據(jù)保護(hù)為何重要����? 信息安全技術(shù):健康醫(yī)療數(shù)據(jù)安全指南思維導(dǎo)圖 >>>供應(yīng)鏈安全<<< 美國(guó)政府為客戶發(fā)布軟件供應(yīng)鏈安全指南
OpenSSF 采用微軟內(nèi)置的供應(yīng)鏈安全框架
供應(yīng)鏈安全指南:了解組織為何應(yīng)關(guān)注供應(yīng)鏈網(wǎng)絡(luò)安全
供應(yīng)鏈安全指南:確定組織中的關(guān)鍵參與者和評(píng)估風(fēng)險(xiǎn)
供應(yīng)鏈安全指南:了解關(guān)心的內(nèi)容并確定其優(yōu)先級(jí) 供應(yīng)鏈安全指南:為方法創(chuàng)建關(guān)鍵組件 供應(yīng)鏈安全指南:將方法整合到現(xiàn)有供應(yīng)商合同中 供應(yīng)鏈安全指南:將方法應(yīng)用于新的供應(yīng)商關(guān)系 思維導(dǎo)圖:ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南思維導(dǎo)圖
>>>其他<<< 網(wǎng)絡(luò)安全十大安全漏洞 網(wǎng)絡(luò)安全等級(jí)保護(hù):做等級(jí)保護(hù)不知道咋定級(jí)����?來(lái)一份定級(jí)指南思維導(dǎo)圖 網(wǎng)絡(luò)安全等級(jí)保護(hù):應(yīng)急響應(yīng)計(jì)劃規(guī)范思維導(dǎo)圖 安全從組織內(nèi)部人員開(kāi)始
|
