3月28日，市場調研機構Canalys發(fā)布報告《網絡安全產業(yè)的現在時和將來時》，剖析2021年及以后網絡安全產業(yè)面臨的機遇和挑戰(zhàn)。

由于上一年新冠疫情在全球肆虐，網絡安全行業(yè)面臨著不少挑戰(zhàn)。例如，企業(yè)在被迫數字轉型過程中，造成數據泄露威脅加劇。另一方面，攻擊者的攻擊手段和方式也日趨復雜和成熟，加密勒索和針對新冠疫情的網絡釣魚層出不窮。

基于此情況，去年網絡安全投資已經明顯高于IT行業(yè)的其他領域。網絡安全支出增長到530億美元，大增10%。

?[[393071]]?

數字轉型加劇數據泄露

2020年以來行業(yè)的數據泄露加速，尤其是教育、醫(yī)療保健、媒體、娛樂和游戲。在新冠疫情期間，上述部門都經歷著數字化轉型的巨大轉變。

各行業(yè)發(fā)生的數據泄露事件占比

Zoom是吃到了疫情紅利的產品之一，但它卻成為了數據泄露的目標。暗網上有超過50萬個Zoom帳戶信息被出售或免費贈送，黑客利用以往數據泄露事件中流出的賬戶，通過“證書填充攻擊”(credential stuffing attack)收集數據。這導致平臺上出現了一些案件和惡意活動。

2005年以來，數據泄露事件的主體是技術部門、數據分析部門、社交媒體和數據代理公司。

歷年通告的數據泄露事件及損失

但在近些年的數據泄露事件中，攻擊者看到了數據潛在的高價值，專注于竊取高價值的個人身份信息(PII)，并轉向其他能帶來高收益的攻擊手段，例如勒索軟件和加密劫持。

2020年，網絡釣魚活動中的勒索軟件激增，報告的案件數量增加了近60%。攻擊者在過去的一年演變出了新戰(zhàn)術，首先從目標中滲出數據，然后加密資產，以向目標受害者施壓，要求支付贖金。Maze、Conti、REvil、DoppelPaymer和NetWalker是慣用此類手法的勒索組織。

由于2020年遠程工作需求的爆發(fā)，釣魚活動開始針對安全意識和保障較弱的遠程辦公人員。并且這種情況由于新冠疫情未結束而持續(xù)下去。

釣魚活動起初針對在網絡上搜索新冠疫情信息的人，然后演變成模擬云平臺、服務和工具這些遠程辦公所依賴的生產工具;接著，釣魚行為開始針對搜索和接種新冠疫苗的人。

此外，暴力破解遠程桌面協(xié)議(RDP)也是攻擊者的主要攻擊手段之一。

攻擊復雜程度上升

如今攻擊者的行為已經變得更加復雜和成熟。自動技術化的發(fā)展一定程度上加劇了攻擊行為，僵尸網絡操縱者借助自動化快速成長并攫取利益。

據估計，將近三分之一的互聯(lián)網流量由惡意機器人制造，超過三分之一網站登錄和其他數字服務的登錄記錄是虛假的。

盜刷團伙利用先進的機器人和自動化技術，搶奪新冠疫情期間在線電商的流量紅利。他們利用泄露的個人身份信息，大規(guī)模進行憑證濫用、盜刷、網絡刷單、庫存抓取、DDoS攻擊和漏洞掃描。

最有利可圖的是新一代游戲機發(fā)售。例如索尼的PlayStation 5和微軟的Xbox X、S系列。由于線下實體零售店的關閉，新一代游戲機的發(fā)布和發(fā)售全都在網上進行。限量發(fā)售的大部分貨源被機器人拍下，轉而在拍賣網站上高價售出。

雖然這一行為在大多數國家并不違法，但轉賣所得得收益可能會用來資助其他惡意網絡活動。

[[393072]]

除了操縱僵尸網絡之外，攻擊者對人工智能的使用還處于早期階段，但它帶來的新挑戰(zhàn)需要緩解和應對方法。

利用Deepfake技術合成人物形象進行欺詐由來已久。主要是竊取知名人物的圖像、視頻和音頻信息，對特定的個人和組織進行有目的性欺詐。起初，這項技術主要用于影視特效，例如塑造一個虛擬角色。

知名度最高的一個案例是，一家英國能源公司被攻擊者利用合成語音技術詐騙24萬美元。攻擊者偽造母公司首席執(zhí)行官的聲音，要求該公司總經理向一家新供應商匯款。最近發(fā)生的Sunburst攻擊事件和SolarWinds供應鏈攻擊，是攻擊者部署日趨復雜和成熟的又一個例子。

更廣泛的供應鏈攻擊已經大量國家流傳，包括商業(yè)電子郵件泄露、證書釣魚和憑證欺詐。攻擊者還會開發(fā)假的網絡安全應用程序和惡意應用程序來偽裝。

數據監(jiān)管加強倒推企業(yè)革新

針對數據方面的立法落后于個人的隱私和網絡安全需求，也落后于數據集成者和攻擊者的意圖。

但隨著各國提升數據保護的優(yōu)先級，立法開始跟上。然而，在實際情況中，處于數據泄露中心的組織和企業(yè)沒有及時響應和承擔責任。那些在網絡安全技術和流程方面沒有足夠投入的公司更是脆弱。

歐盟的《通用數據保護條例》(GDPR)是一個優(yōu)秀標桿，它為隱私數據設定了全球基準，但仍有不明確之處。

GDPR要求實施數據保護措施，來安全地處理數據。包括使用雙重身份驗證(2FA)和端到端加密，以及員工培訓、制定公司數據隱私政策和限制對個人數據的訪問。

此外，處理個人資料亦須獲得當事人同意。組織或企業(yè)被要求在72小時內告知當局數據泄露。如果不遵守，企業(yè)將被處以2000萬歐元(2400萬美元)的罰款，或全球營收的4%。

各地區(qū)出臺的數據保護政策和措施

GDPR于2018年5月在所有歐盟成員國生效，目的是為數據保護提供統(tǒng)一的框架。2020年，GDPR共發(fā)出12.1萬份違規(guī)通知，比2019年增加19%。在此期間，GDPR罰款增加了40%，共計1.92億美元。在2020年開出的五大罰單中，有兩筆是針對數據泄露的。

去年網絡安全投資明顯高于IT行業(yè)的其他領域

Canalys首席分析師Matthew Ball在評論這份全新的有關網絡安全的報告時表示：

"網絡安全必須成為數字計劃的前沿和中心，否則將出現大規(guī)模的企業(yè)組織損失，這將威脅到新冠疫情后的經濟復蘇。對網絡安全關注的失誤已經產生了重大影響，導致當前數據泄露危機的升級和勒索軟件攻擊的加速。"

雖然Canalys表示，在網絡安全支出方面還需要做更多的工作，但報告也表示，去年網絡安全投資已經明顯高于IT行業(yè)的其他領域。網絡安全支出增長到530億美元，大增10%，但并非增長最快領域，表現優(yōu)于網絡安全的領域是業(yè)務連續(xù)性和勞動力生產力，其中云基礎設施服務增長33%，云軟件增長20%。