日前,RSA大会的内容策划Kacy Zurkus基于大会专家委员会的思考,发布了2022年网络安全预测,内容涵盖供应链安全、勒索软件、安全人员供给:
企业对系统依赖项进行大清理
勒索软件将蔓延到物联网
来自朝鲜或者伊朗的勒索软件数量激增
美国政府对安全不佳的供应商进行问责
网络安全专业人员不足将引发一场危机
企业和供应商之间关系开始向利他主义转变
检查系统依赖项中的薄弱点
2021年10月上旬,Facebook经历了长达数小时之久的宕机故障。这提醒了我们一个严峻的事实:我们已经将许多依赖项集成进系统,但如果没有发生宕机事件,我们在很大程度上并不会意识到这些依赖项会产生哪些影响。RSA大会程序委员会主席休-汤普森(Hugh Thompson)说:”社会和依赖关系就像叠乐高积木玩具,在其中一块积木被拉出之前,我们并不真正知道它的真实面貌。”这些积木在2022年将不可避免地被移除。我们现在需要考虑每一块积木对整体的影响,毕竟谁也不想看到塔楼轰然倒塌。
勒索软件蔓延到物联网
勒索软件仍然是人们关注的焦点。Cobalt公司的首席战略官Caroline Wong预测,我们将看到恶意团体继续扩大勒索软件攻击规模,并且使之更加专业化。然而Wong表示,她预计勒索软件会出现一些变化,特别是在物联网方面。
“消费者对勒索软件并不陌生。虽然他们已经有了心理准备,但还是对其感到紧张和恐惧。虽然从技术层面上讲,某些受害者的数据可能还没到无法恢复的地步,但攻击者仍将利用社会工程学技术,诱骗恐吓受害者支付赎金”。
Wong说,在2022年,我们可能会经常看到恶意行为者利用物联网设备的漏洞。”在以往的勒索软件中,黑客会加密受害者的数据,并在收到赎金前扣留其数据。但这种类型的攻击有所不同,通常是攻击者通过物联网设备接管通信能力,利用受害者的恐惧和焦虑,并通过社会工程学来操纵他们的行为(即迫使他们支付赎金)。”
俄罗斯之外的对手会引发问题
Silverado Policy Accelerator公司主席Dmitri Alperovitch说,”大家都意识到俄罗斯已经成为勒索软件攻击者的安全港。而其他国家的敌人,特别是朝鲜,正在密切关注这一点。在接下来的12个月内,我们将看到来自朝鲜或者伊朗的勒索软件数量激增。SANS技术研究所总裁Ed Skoudis表示,我们担心的是,这些其他国家的经验会比较少,使得他们更有可能犯错。”缺少经验且缺少技巧,” Skoudis说:“我确实认为我们可能会看到一次(无意或有意的)严重勒索软件攻击,可能会摧毁一个联邦政府机构及其行使职能的能力。”
有人会收到法院传票
问责制是一个影响广泛的想法,我们希望看到每个人都肩负责任,以此来保护我们赖以生存的大型数字生态系统,而那些没有满足安全要求的人将被追究。Alperovitch表示:”明年我们将可能会看到美国联邦政府起诉某个联邦承包商,理由是他们的安全状况不佳”。
技能不足将引发危机
虽然整个教育领域都在实施网络安全计划,但Skoudis预测,
“随着技术的激增并变得更加复杂和精密,网络安全专业人员和专业知识的匮乏将愈发严重,可能将会引发一场危机。云环境和多云架构的复杂性正变得越来越难以处理,而我们却缺少足够数量的优秀人才”。
开始向利他主义转变
这个预测与我们是否会花时间去识别系统依赖性中的弱点有关。考虑潜在的系统性故障这一行为本身就承认了我们相互依赖、彼此负责。思科公司CISO咨询负责人Wendy Nather说,现在许多围绕依赖性的讨论都把焦点集中在羞辱受害者未尽其责上了。”现在我们在讨论立法,促使供应商做好他们的工作。这不仅仅是一个供应链的问题,而是’我们彼此应当给予对方什么?’因为这些关系不是单向的。它们不仅仅是供应链,而是一个生态系统。”到2022年,我们希望看到更多人意识到我们和供应商之间关系的互惠互利。不存在什么阶级制度可以让别人背锅。”我们彼此腰间都别着上膛的武器,不要擦枪走火,”Nather说。