如今的網(wǎng)絡(luò)安全形勢發(fā)展迅速，并且不斷出現(xiàn)新的威脅類別，網(wǎng)絡(luò)攻擊者還在不斷學(xué)習(xí)和采用發(fā)起和隱藏網(wǎng)絡(luò)攻擊的新方法。本文揭示了2023年影響數(shù)據(jù)中心的主要安全風(fēng)險。

1、網(wǎng)絡(luò)攻擊者避開傳統(tǒng)的數(shù)據(jù)中心安全保護措施。

分析人士的普遍共識是，威脅行為者越來越善于規(guī)避傳統(tǒng)的安全保護措施。網(wǎng)絡(luò)犯罪分子將更具體地將目光投向多因素身份驗證(MFA)和端點檢測和響應(yīng)(EDR)技術(shù)。

2、不斷增長的數(shù)據(jù)中心合規(guī)性挑戰(zhàn)。新的法規(guī)遵循框架(如CPRA)已經(jīng)上線，現(xiàn)有的框架(如PCIDSS)正在進行全面檢查。掌握不斷變化的合規(guī)性規(guī)則，以及部署必要的專業(yè)技術(shù)來符合這些規(guī)則，并將其轉(zhuǎn)化為可以在數(shù)據(jù)中心內(nèi)部實現(xiàn)的安全控制。根據(jù)業(yè)務(wù)需要遵守的合規(guī)性要求而有所不同，但它們的范圍可以從設(shè)置特定的物理訪問控制，到確?；A(chǔ)設(shè)施得到適當(dāng)?shù)膫浞?，再到實現(xiàn)網(wǎng)絡(luò)級別的安全控制等。

3、勒索軟件事件，因為網(wǎng)絡(luò)攻擊者發(fā)起更復(fù)雜且有目的的攻擊，勒索軟件攻擊有更高的成功幾率，更難防范。

目前的趨勢是網(wǎng)絡(luò)攻擊變得更加復(fù)雜，而能夠抵御網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全人員卻越來越少。不斷變化的合規(guī)性規(guī)則為現(xiàn)代數(shù)據(jù)中心安全性增加了另一層復(fù)雜性，并且針對運營技術(shù)的網(wǎng)絡(luò)攻擊也很普遍。當(dāng)網(wǎng)絡(luò)攻擊者無法通過數(shù)字手段侵入服務(wù)器或應(yīng)用程序時，他們可能會攻擊空調(diào)系統(tǒng)、電源和其他關(guān)鍵設(shè)施，以破壞數(shù)據(jù)中心的運行。

在 2022 年發(fā)生高校攻擊事件后，來自 14 所英國學(xué)校的數(shù)據(jù)被黑客在線泄露。泄露的文件包括學(xué)生的 SEN 信息、學(xué)生護照掃描件、員工工資表和合同細節(jié)。在被攻擊的學(xué)校拒絕支付贖金要求后，信息被泄露。

據(jù)報，攻擊和泄露事件是由黑客組織 Vice Society 實施的，該組織針對英國和美國的教育機構(gòu)進行了多次勒索攻擊。

2022 年 10 月，洛杉磯聯(lián)合學(xué)區(qū) (LAUSD)警告稱，Vice Society已開始發(fā)布從該機構(gòu)竊取的數(shù)據(jù)。此前，LAUSD 宣布不會向勒索者付款。

在過去幾年中，教育行業(yè)一直是勒索軟件的主要目標。Sophos 于 2022 年 7 月發(fā)布的一份報告發(fā)現(xiàn)，56% 的低等教育機構(gòu)和 64% 的高等教育機構(gòu)在過去一年受到了勒索軟件的攻擊。為確保教育的連續(xù)性，尤其是在遠程學(xué)習(xí)的背景下，政府需要投資教育部門的網(wǎng)絡(luò)安全，加強教育部門端點安全，以應(yīng)對勒索軟件威脅。

由于缺乏網(wǎng)絡(luò)安全投資以及大量設(shè)備等因素，學(xué)校和大學(xué)已經(jīng)被網(wǎng)絡(luò)犯罪分子視為“軟目標” ，敏感的個人和研究數(shù)據(jù)面臨風(fēng)險。學(xué)校和大學(xué)系統(tǒng)中存儲了大量敏感數(shù)據(jù)，教育部門是惡意網(wǎng)絡(luò)犯罪分子有利可圖的目標。因此，勒索軟件攻擊是一個必然問題，而不是偶然問題，這就要求教育機構(gòu)要準備好預(yù)防和應(yīng)對這些攻擊，否則他們就有文件被盜和泄露的風(fēng)險。

塞爾維亞政府宣布其內(nèi)政部網(wǎng)站和 IT 基礎(chǔ)設(shè)施遭遇了幾次“大規(guī)模 ”分布式拒絕服務(wù)（DDoS）攻擊。

目前，巴爾干地區(qū)緊張局勢加劇，科索沃北部的塞族人與阿爾巴尼亞族當(dāng)局發(fā)生了暴力沖突?？扑魑挚偫戆栙e·庫爾蒂曾指責(zé)外部勢力試圖煽動族裔，制造緊張局勢。

值得一提的是，不同于以往網(wǎng)絡(luò)攻擊事件發(fā)生后，立刻會有黑客組織“站出來”為此負責(zé)，但目前還沒任何黑客團體站出來對塞爾維亞內(nèi)政部 DDoS 攻擊事件負責(zé)。眾所周知，DDoS 攻擊是短時間內(nèi)通過向目標網(wǎng)站注入大量垃圾流量，使其無法訪問。在俄烏沖突中，俄羅斯和烏克蘭雙方支持的黑客團體之間，進行了一系列的 DDoS 攻擊活動。

DDoS 攻擊事件背后的政治環(huán)境。塞爾維亞領(lǐng)導(dǎo)人武契奇曾表示，北約領(lǐng)導(dǎo)的維和科索沃部隊（KFOR）拒絕允許其根據(jù)聯(lián)合國安理會決議賦予的權(quán)力，向該領(lǐng)土部署 1000 名軍事和警察人員以應(yīng)對最近的沖突。

塞爾維亞首都貝爾格萊德在聲明中表示，政府安全專家和塞爾維亞電信公司（Telekom Srbija）的工作人員有能力對抗此次網(wǎng)絡(luò)攻擊，旨在使內(nèi)政部 IT 基礎(chǔ)設(shè)施癱瘓的五次大型 DDoS 攻擊目前已經(jīng)被“擊退”。此外，塞爾維亞政府補充強調(diào)，強化的安全協(xié)議已經(jīng)啟動，雖然此舉可能會導(dǎo)致某些服務(wù)間歇性中斷，政府工作效率降低，但這一切都是為了保護內(nèi)政部的數(shù)據(jù)安全。

基于瀏覽器的工作機制原因，形成一種WEB攻擊形式，即CSRF攻擊；是一種對網(wǎng)站的惡意利用，是挾制用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法。

CSRF簡稱：跨站請求偽造，跟XSS攻擊一樣，存在巨大的危害性。在CSRF的攻擊場景中，攻擊者會偽造一個請求然后欺騙目標用戶進行點擊，用戶一旦點擊了這個請求，整個攻擊就完成了，所以CSRF攻擊也稱為one-click attack。攻擊者盜用了用戶的身份，以用戶的名義發(fā)送惡意請求，對服務(wù)器來說這個請求是完全合法的，但是卻完成了攻擊者期望的操作，比如以用戶的名義發(fā)送郵件，甚至于購買商品、虛擬貨幣轉(zhuǎn)賬等。

CSRF防護方法包括驗證HTTP請求頭、Token機制、在請求頭中自定義屬性并驗證、設(shè)置Cookie的SameSite屬性。CSRF攻擊就是利用了cookie中攜帶的用戶信息，想要防護Cookie不被第三方網(wǎng)站利用，可以通過設(shè)置Samesite屬性。SameSite最初設(shè)計的目的就是防CSRF，SameSite有三個值Strict/Lax/None。

對于防范CSRF攻擊，我們可以針對實際情況將一些關(guān)鍵的Cookie設(shè)置為Strict或者Lax模式，這樣在跨站點請求時，這些關(guān)鍵的Cookie就不會被發(fā)送到服務(wù)器，從而使得黑客的CSRF攻擊失效。除了技術(shù)層面的防護方法，常用的是驗證HTTP請求頭和Token機制；使用WAF（Web應(yīng)用防火墻，如免費的ShareWAF）可以抵御絕大多數(shù)的攻擊，極大的提高網(wǎng)站安全性。

當(dāng)前，網(wǎng)絡(luò)安全形勢嚴峻，在企業(yè)安全防護更強調(diào)攻防對抗和有效性的背景下，構(gòu)建主動安全防護能力體系，是有效應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊手段，保障數(shù)字化轉(zhuǎn)型成功的必要路徑。

安全態(tài)勢管理(SPM) 有多種類型，包括了專注于云基礎(chǔ)設(shè)施(包括IaaS、SaaS和PaaS)的云安全態(tài)勢管理，以及識別敏感數(shù)據(jù)并確保其安全的數(shù)據(jù)安全態(tài)勢管理。

在2023年，最重要的SPM技術(shù)是SaaS安全態(tài)勢管理(SSPM)，用于檢測和修復(fù)SaaS應(yīng)用程序中的錯誤配置和其他問題。SSPM是云訪問安全代理(CASB)技術(shù)發(fā)展以來SaaS安全領(lǐng)域最重要的創(chuàng)新之一。

云安全態(tài)勢管理(CSPM)是SPM一個重要的細分應(yīng)用，旨在識別云中的錯誤配置問題和合規(guī)風(fēng)險。CSPM解決方案的一個重要目標是持續(xù)監(jiān)控云基礎(chǔ)設(shè)施，以發(fā)現(xiàn)安全策略執(zhí)行方面的漏洞。

被動式的響應(yīng)安全事件，往往會耗費安全人員大量精力，同時又難以避免對企業(yè)財產(chǎn)和業(yè)務(wù)造成損失。而安全態(tài)勢管理方案則可以自動識別和修復(fù)整個企業(yè)數(shù)字化環(huán)境中的風(fēng)險，幫助企業(yè)安全管理者進行風(fēng)險可視化、自動化事件響應(yīng)和合規(guī)性監(jiān)控。在2023年，需要重點關(guān)注并積極嘗試較為成熟的主動安全防護技術(shù)/產(chǎn)品，推進組織新一代安全能力體系構(gòu)建。

當(dāng)前，網(wǎng)絡(luò)安全形勢嚴峻，在企業(yè)安全防護更強調(diào)攻防對抗和有效性的背景下，構(gòu)建主動安全防護能力體系，是有效應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊手段，保障數(shù)字化轉(zhuǎn)型成功的必要路徑。

攻擊面管理(ASM)技術(shù)要求持續(xù)發(fā)現(xiàn)和監(jiān)控企業(yè)所有的數(shù)字化資產(chǎn)，從應(yīng)用程序、數(shù)字證書、代碼到移動和物聯(lián)網(wǎng)設(shè)備，以保持已知和未知資產(chǎn)的可見性。據(jù)最新調(diào)查數(shù)據(jù)顯示，有52%的受訪企業(yè)組織管理著超過10,000個數(shù)字資產(chǎn)，ASM將是一項重要且不斷增長的技術(shù)。

安全專家認為，ASM是安全分析技術(shù)的進步，是傳統(tǒng)威脅檢測與響應(yīng)類技術(shù)方案的能力延伸。ASM利用了威脅檢測響應(yīng)中惡意活動意識增強的趨勢，并將其進一步擴展。它回答了很多問題，比如企業(yè)哪里可能成為目標，哪里缺乏可見性，組織的攻擊面整體是什么樣的?在哪些方面缺乏足夠的監(jiān)控措施；企業(yè)是否真正具備了應(yīng)有的防御機制和能力。

根據(jù)Gartner的描述，ASM技術(shù)需要超越傳統(tǒng)資產(chǎn)的識別范圍(如端點、服務(wù)器、設(shè)備或應(yīng)用程序等)，通過將發(fā)現(xiàn)的資源整合到資源庫，使用戶可以了解到傳統(tǒng)威脅檢測工具的覆蓋缺口。ASM還可以通過API集成提供自動化的數(shù)據(jù)收集，取代傳統(tǒng)手動和低效的資產(chǎn)收集分析模式，幫助安全團隊實現(xiàn)對整體環(huán)境的安全控制、安全態(tài)勢感知和資產(chǎn)風(fēng)險修復(fù)，從而主動改善企業(yè)的數(shù)字化安全狀況。

當(dāng)前，網(wǎng)絡(luò)安全形勢嚴峻，在企業(yè)安全防護更強調(diào)攻防對抗和有效性的背景下，構(gòu)建主動安全防護能力體系，是有效應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊手段，保障數(shù)字化轉(zhuǎn)型成功的必要路徑。

入侵和攻擊模擬(BAS)是由Gartner首先提出的概念，并將之歸到了新興技術(shù)行列。正如 Gartner 描述的，此類工具“可供安全團隊以一致的方式持續(xù)測試安全控制措施，貫穿從預(yù)防到檢測乃至響應(yīng)的整個過程”。

入侵和攻擊模擬(BAS)工具能夠高效一致地衡量現(xiàn)有安全檢測功能及運營的有效性。模擬結(jié)果可幫助指導(dǎo)產(chǎn)品投資及配置決策以堵上安全漏洞，還有助于補全企業(yè)領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全知識空缺，比如：攻擊者能悄悄繞過我們的防御嗎?我們適用的風(fēng)險是什么?這些風(fēng)險對我們能造成什么樣的影響?這可以使安全人員處于影響短期投資決策、參與長期安全規(guī)劃的位置上，還能從商業(yè)角度總結(jié)出安全運營上的改善。

BAS與傳統(tǒng)的滲透測試和漏洞管理工具有根本上的不同。后兩種方法都需要大量的人工指導(dǎo)，實際上會為安全團隊制造更多的工作和帶來更多誤報。相比之下，BAS完全自動化，并全面模擬數(shù)千種攻擊，充分運營好所有的安全產(chǎn)品和工具，幫助企業(yè)識別各種類型的安全漏洞，并以合理的成本解決企業(yè)面臨的安全問題。