網(wǎng)絡(luò)攻擊和威脅的增長(zhǎng)將提升對(duì)攻擊預(yù)測(cè)技術(shù)的需求，從而增加網(wǎng)絡(luò)威脅情報(bào)（CTI）的應(yīng)用價(jià)值。從目前在應(yīng)用實(shí)踐中觀察到的情況來(lái)看，許多企業(yè)的CTI應(yīng)用局限于管理妥協(xié)指標(biāo)（IOC）提要，這種方式對(duì)防范新興的零日攻擊和APT攻擊幾乎無(wú)效。2022年，很多企業(yè)已經(jīng)開(kāi)始轉(zhuǎn)變，在公司內(nèi)部建立全面的CTI能力，并且在安全運(yùn)營(yíng)團(tuán)隊(duì)中設(shè)置專(zhuān)門(mén)的CTI崗位，這一趨勢(shì)將在2023年進(jìn)一步發(fā)展和成熟。

　　隨著網(wǎng)絡(luò)安全在企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展中的重要性不斷增長(zhǎng)，網(wǎng)絡(luò)安全運(yùn)營(yíng)工作也得到企業(yè)管理層的高度關(guān)注和重視。日前，卡巴斯基的安全研究人員，分別從外部和內(nèi)部視角，對(duì)2023年企業(yè)組織網(wǎng)絡(luò)安全運(yùn)營(yíng)工作的發(fā)展態(tài)勢(shì)和挑戰(zhàn)進(jìn)行了預(yù)測(cè)，這些運(yùn)營(yíng)挑戰(zhàn)將與2023年企業(yè)面臨的安全威脅緊密交織在一起。

　　1、勒索攻擊從加密數(shù)據(jù)轉(zhuǎn)向破壞數(shù)據(jù)

　　（外部因素）

　　網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家安全的重要組成部分，地緣政治動(dòng)蕩將會(huì)持續(xù)影響著網(wǎng)絡(luò)攻擊面。在2023年，我們可以預(yù)計(jì)網(wǎng)絡(luò)戰(zhàn)的威脅將繼續(xù)存在并進(jìn)一步加劇，其中最常見(jiàn)的攻擊場(chǎng)景有：對(duì)組織員工的攻擊（社會(huì)工程），對(duì)重要企業(yè)IT基礎(chǔ)設(shè)施的攻擊（DDoS），以及對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的攻擊。另一個(gè)重要的趨勢(shì)始于2022年，并將持續(xù)到2023年，那就是勒索軟件攻擊不僅會(huì)加密受害企業(yè)的數(shù)據(jù)，還會(huì)以破壞數(shù)據(jù)作為攻擊手段。這種威脅對(duì)那些因?yàn)檎蝿?dòng)機(jī)遭受攻擊的企業(yè)組織來(lái)說(shuō)將會(huì)非常普遍。在未來(lái)的一年里，這種勒索攻擊威脅注定會(huì)快速上升。

　　2、基于邊界滲透的攻擊顯著增長(zhǎng)

　　（外部因素）

　　盡管企業(yè)的網(wǎng)絡(luò)邊界正在不斷的模糊和消失，但是在2021年和2022年，卡巴斯基觀察到通過(guò)網(wǎng)絡(luò)邊界成功進(jìn)行初始滲透的攻擊數(shù)量卻在顯著增長(zhǎng)。數(shù)據(jù)顯示，這種類(lèi)型的攻擊數(shù)量在2022年比2021年翻了一番。研究人員發(fā)現(xiàn)，攻擊者從邊界滲透所需的攻擊準(zhǔn)備比發(fā)起一次成功的網(wǎng)絡(luò)釣魚(yú)要少，而且一些非常老的安全漏洞仍在持續(xù)暴露并可輕松被利用；我們預(yù)計(jì)這種趨勢(shì)將在2023年繼續(xù)下去。

　　3、針對(duì)科技企業(yè)的供應(yīng)鏈攻擊

　　（外部因素）

　　據(jù)卡巴斯基觀察，攻擊者對(duì)大型科技公司和電信運(yùn)營(yíng)商的攻擊興趣在不斷提升。根據(jù)卡巴斯基MDR報(bào)告數(shù)據(jù)顯示，2021年電信行業(yè)安全事件統(tǒng)計(jì)數(shù)據(jù)為：平均每1萬(wàn)個(gè)應(yīng)用系統(tǒng)中檢測(cè)出79起高危事件，42起中危事件，28起低危事件。

　　2022年，盡管高危事件的比例較低，大約每1萬(wàn)個(gè)系統(tǒng)中有12起高危事件，但中危事件卻有60起，低危事件有22起。研究人員認(rèn)為，入侵者通過(guò)攻擊電信運(yùn)營(yíng)商，可以進(jìn)一步威脅到他們的客戶(hù)。在2023年，卡巴斯基預(yù)計(jì)通過(guò)電信運(yùn)營(yíng)商和大型科技企業(yè)進(jìn)行的供應(yīng)鏈攻擊數(shù)量將會(huì)增加，這些供應(yīng)商還通常會(huì)提供額外的托管服務(wù)。

　　4、有國(guó)家背景組織發(fā)起的網(wǎng)絡(luò)攻擊

　　（外部因素）

　　數(shù)據(jù)顯示，過(guò)去幾年，從關(guān)鍵基礎(chǔ)設(shè)施企業(yè)到政府機(jī)構(gòu)等行業(yè)都受到更具針對(duì)性的網(wǎng)絡(luò)攻擊威脅，曾遭受過(guò)針對(duì)性攻擊的組織面臨二次攻擊的可能性仍然很高，因?yàn)檫@是威脅行為者的長(zhǎng)期目標(biāo)。這一點(diǎn)在政府組織中尤為明顯，它們往往受到有國(guó)家支持的非法團(tuán)伙攻擊。


　　地緣政治沖突通常伴隨著信息戰(zhàn)，而媒體組織也不可避免地發(fā)揮著重要作用。近年來(lái)，卡巴斯基觀察到針對(duì)這一領(lǐng)域的攻擊在穩(wěn)步增長(zhǎng)，2022年的統(tǒng)計(jì)數(shù)據(jù)證實(shí)了這一趨勢(shì)，大眾媒體也是攻擊者的主要目標(biāo)之一。到2023年，媒體和政府組織很可能仍將是最常受到攻擊的領(lǐng)域，高危事件的比例可能會(huì)增加。為了有效防范一些有針對(duì)性的攻擊，企業(yè)組織可以考慮將主動(dòng)威脅搜索與MDR結(jié)合使用。

　　5、安全運(yùn)營(yíng)團(tuán)隊(duì)如何降本增效

　　（內(nèi)部因素）

　　企業(yè)安全運(yùn)營(yíng)工作發(fā)展的未來(lái)在于集約而非粗放的增長(zhǎng)，這意味著每個(gè)安全運(yùn)營(yíng)團(tuán)隊(duì)成員的價(jià)值產(chǎn)出需要持續(xù)增長(zhǎng)。企業(yè)需要不斷開(kāi)發(fā)安全運(yùn)營(yíng)團(tuán)隊(duì)的技能，以應(yīng)對(duì)2023年企業(yè)可能面臨的安全威脅。這意味著企業(yè)需要加強(qiáng)事件響應(yīng)訓(xùn)練和所有形式的安全運(yùn)營(yíng)演習(xí)，如TTX、安全紅隊(duì)和入侵攻擊模擬，都應(yīng)該成為2023年企業(yè)安全運(yùn)營(yíng)戰(zhàn)略計(jì)劃制定的重要組成部分。

　　在實(shí)際安全運(yùn)營(yíng)中，很多企業(yè)缺乏熟練和有經(jīng)驗(yàn)的安全人員，這種趨勢(shì)在2023年將繼續(xù)存在。為了應(yīng)對(duì)挑戰(zhàn)，企業(yè)需要明確定義規(guī)范合理的安全運(yùn)營(yíng)流程，優(yōu)化提升安全運(yùn)維人員的工作效率。因此，卡巴斯基預(yù)測(cè)，2023年企業(yè)對(duì)安全運(yùn)營(yíng)流程開(kāi)發(fā)和相關(guān)服務(wù)的需求將越來(lái)越大。

　　6、更高的預(yù)算成本和投入

　　（內(nèi)部因素）

　　不斷增長(zhǎng)的數(shù)字威脅環(huán)境正在推動(dòng)企業(yè)組織網(wǎng)絡(luò)安全建設(shè)和安全運(yùn)營(yíng)預(yù)算飆升。這一趨勢(shì)將把企業(yè)管理層的關(guān)注點(diǎn)集中在安全預(yù)算支出上，引發(fā)有關(guān)“為什么？”“效果是什么？”以及“它能帶來(lái)什么價(jià)值？”等問(wèn)題的思考。這些問(wèn)題主要就是針對(duì)網(wǎng)絡(luò)安全運(yùn)營(yíng)團(tuán)隊(duì)的。

　　在此背景下，企業(yè)應(yīng)該盡快開(kāi)展安全運(yùn)營(yíng)效率管理計(jì)劃。企業(yè)需要評(píng)估業(yè)務(wù)中斷或違約成本，并將其映射到安全預(yù)算投入上，以減少此類(lèi)安全事件的發(fā)生。通過(guò)開(kāi)展安全運(yùn)營(yíng)效率管理，可以讓安全運(yùn)營(yíng)團(tuán)隊(duì)合理評(píng)估他們創(chuàng)造的價(jià)值。但在實(shí)施這種方法之前，企業(yè)組織需要制定有效的評(píng)價(jià)指標(biāo)及分析方法，并建立較完善的安全運(yùn)營(yíng)流程。

　　7、更全面的威脅情報(bào)支撐和威脅搜索

　　（內(nèi)部因素）

　　網(wǎng)絡(luò)攻擊和威脅的增長(zhǎng)將提升對(duì)攻擊預(yù)測(cè)技術(shù)的需求，從而增加網(wǎng)絡(luò)威脅情報(bào)（CTI）的應(yīng)用價(jià)值。從目前在應(yīng)用實(shí)踐中觀察到的情況來(lái)看，許多企業(yè)的CTI應(yīng)用局限于管理妥協(xié)指標(biāo)（IOC）提要，這種方式對(duì)防范新興的零日攻擊和APT攻擊幾乎無(wú)效。2022年，很多企業(yè)已經(jīng)開(kāi)始轉(zhuǎn)變，在公司內(nèi)部建立全面的CTI能力，并且在安全運(yùn)營(yíng)團(tuán)隊(duì)中設(shè)置專(zhuān)門(mén)的CTI崗位，這一趨勢(shì)將在2023年進(jìn)一步發(fā)展和成熟。

　　此外，“假設(shè)妥協(xié)范式”（AssumeBreachParadigm）將在2023年繼續(xù)存在，這意味著主動(dòng)的威脅搜索可能成為一種趨勢(shì)，并成為未來(lái)企業(yè)安全運(yùn)營(yíng)戰(zhàn)略的重要組成部分。由于威脅搜索是安全運(yùn)營(yíng)體系中檢測(cè)能力的關(guān)鍵部分，因此企業(yè)組織應(yīng)該考慮定期進(jìn)行威脅搜索，并制定明確的威脅發(fā)現(xiàn)目標(biāo)，以了解如何持續(xù)地實(shí)現(xiàn)這些目標(biāo)。

　　參考鏈接：https://securelist.com/soc-socc-predictions-2023/108512/