回顧過(guò)去一年，網(wǎng)絡(luò)安全形勢(shì)已然變得更加復(fù)雜。隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術(shù)的發(fā)展，網(wǎng)絡(luò)威脅持續(xù)進(jìn)化，變得更加棘手、難以應(yīng)對(duì)。同時(shí)，網(wǎng)絡(luò)攻擊手段更為多樣，數(shù)據(jù)泄露、勒索軟件、APT攻擊等安全事件頻發(fā)。

在疫情常態(tài)化的趨勢(shì)下，可以預(yù)見(jiàn)2022年的網(wǎng)絡(luò)安全形勢(shì)依然嚴(yán)峻。人類社會(huì)高度互連，網(wǎng)絡(luò)攻擊并非遙不可及之物，這就需要對(duì)現(xiàn)有的和潛在的風(fēng)險(xiǎn)有所了解，并且知曉如何做才能降低這些風(fēng)險(xiǎn)。對(duì)此，瑞數(shù)信息作為國(guó)內(nèi)前沿的互聯(lián)網(wǎng)應(yīng)用安全防護(hù)企業(yè)，對(duì)2022年的網(wǎng)絡(luò)安全攻擊趨勢(shì)進(jìn)行了簡(jiǎn)要預(yù)測(cè)，并給出了相應(yīng)的防護(hù)建議。

2022年網(wǎng)絡(luò)攻擊將呈現(xiàn)六大趨勢(shì)

趨勢(shì)1：安全漏洞攻擊持續(xù)增加——攻擊者加強(qiáng)0day漏洞偵查能力，內(nèi)網(wǎng)Web應(yīng)用保護(hù)不足

網(wǎng)絡(luò)空間中，大部分的安全問(wèn)題都源自內(nèi)網(wǎng)。攻擊者普遍會(huì)利用Web應(yīng)用漏洞對(duì)內(nèi)網(wǎng)進(jìn)行滲透，以達(dá)到控制整個(gè)內(nèi)網(wǎng)、獲取大量有價(jià)值信息的目的。

據(jù)國(guó)家信息安全漏洞共享平臺(tái)（CNVD）統(tǒng)計(jì)，2020年共收錄安全漏洞20704個(gè)，繼續(xù)呈上升趨勢(shì)，同比增長(zhǎng)27.9%，2016年以來(lái)年均增長(zhǎng)率為17.6%。其中，0day漏洞數(shù)量為8902個(gè)（占 43.0%），同比增長(zhǎng)56.0%。

2022年，企業(yè)內(nèi)網(wǎng)的安全漏洞數(shù)量還將不斷增加，甚至變得越來(lái)越復(fù)雜。由于內(nèi)網(wǎng)Web應(yīng)用的保護(hù)嚴(yán)重不足，攻擊者利用安全漏洞的攻擊行為將變本加厲，尤其借助自動(dòng)化的工具，在短時(shí)間內(nèi)以更高效、隱蔽的方式對(duì)Web進(jìn)行漏洞掃描和探測(cè)，使得企業(yè)面臨更為嚴(yán)重的安全風(fēng)險(xiǎn)和損失。

同時(shí)，攻擊者會(huì)進(jìn)一步加大事前的努力，在攻擊準(zhǔn)備階段花費(fèi)更多的時(shí)間和精力來(lái)搜尋0day漏洞，并利用新的技術(shù)將攻擊擴(kuò)展到更廣泛的網(wǎng)絡(luò)環(huán)境，無(wú)疑加大了企業(yè)應(yīng)用防護(hù)的難度。

趨勢(shì)2：勒索軟件數(shù)量繼續(xù)上升——勒索軟件成為最大的安全威脅，對(duì)醫(yī)療行業(yè)的攻擊加劇

近幾年，勒索軟件攻擊態(tài)勢(shì)愈發(fā)嚴(yán)重，不僅數(shù)量有了較大增長(zhǎng)，贖金、企業(yè)修復(fù)成本等也翻倍增長(zhǎng)，勒索軟件成為當(dāng)今社會(huì)最普遍的安全威脅之一。據(jù)Cybersecurity Ventures研究表明，2021年全球勒索軟件的損失成本預(yù)計(jì)將達(dá)到200億美元，比2015年高出57倍。此外，據(jù)劍橋大學(xué)研究表明，勒索軟件攻擊的保險(xiǎn)索賠在過(guò)去五年中以驚人的速度增長(zhǎng)，2020年，在所有的網(wǎng)絡(luò)攻擊保險(xiǎn)索賠中，勒索軟件以54%的占比高居第一。

可以預(yù)見(jiàn)，2022年勒索軟件數(shù)量還將顯著增長(zhǎng)，攻擊者的數(shù)量也將達(dá)到空前的程度。同時(shí)，勒索軟件攻擊也將迅速蔓延至整個(gè)攻擊面，勒索軟件威脅將無(wú)處不在。

從行業(yè)影響看，勒索軟件攻擊對(duì)金融、教育、醫(yī)療等各行各業(yè)構(gòu)成了嚴(yán)重威脅，但醫(yī)療機(jī)構(gòu)因其豐富的醫(yī)療設(shè)備和患者信息成為了攻擊者的最佳目標(biāo)。據(jù)FBI發(fā)布的安全通告顯示，在過(guò)去一年內(nèi)至少發(fā)現(xiàn)了16起針對(duì)美國(guó)醫(yī)療和應(yīng)急響應(yīng)機(jī)構(gòu)的Conti勒索軟件攻擊，該勒索軟件在全球攻擊了超過(guò)400家醫(yī)療和應(yīng)急響應(yīng)機(jī)構(gòu)。

2022年，勒索軟件對(duì)醫(yī)療行業(yè)的攻擊還將持續(xù)加劇。在這種形勢(shì)下，醫(yī)療機(jī)構(gòu)的IT團(tuán)隊(duì)將面臨空前挑戰(zhàn)。

趨勢(shì)3：數(shù)據(jù)安全風(fēng)險(xiǎn)加劇——數(shù)據(jù)泄露的規(guī)模更大、成本更高，應(yīng)用數(shù)據(jù)安全面臨更大挑戰(zhàn)

據(jù)Canalys發(fā)布的《網(wǎng)絡(luò)安全的下一步》報(bào)告顯示，2020年數(shù)據(jù)泄露呈現(xiàn)爆炸式增長(zhǎng)，短短12個(gè)月內(nèi)泄露的記錄比過(guò)去15年的總和還多。

進(jìn)入2022年，數(shù)據(jù)泄露還將繼續(xù)增加，規(guī)模會(huì)更大，各國(guó)政府和企業(yè)將付出更多的代價(jià)來(lái)進(jìn)行恢復(fù)，損失的成本不僅限于事件響應(yīng)成本、數(shù)據(jù)備份成本、系統(tǒng)升級(jí)成本，還包括聲譽(yù)損失成本、法律風(fēng)險(xiǎn)成本等隱性成本，其損失甚至數(shù)倍、數(shù)十倍于顯性損失。

數(shù)據(jù)泄露的主要原因源于Web應(yīng)用程序攻擊、網(wǎng)絡(luò)釣魚和勒索軟件。其中，對(duì)Web應(yīng)用程序的攻擊仍是黑客行為的主要攻擊方向。2022年，應(yīng)用安全依然面臨挑戰(zhàn)，尤其是數(shù)據(jù)在應(yīng)用中的安全值得企業(yè)重點(diǎn)關(guān)注。

趨勢(shì)4：API攻擊成為惡意攻擊首選——利用API欺詐是黑產(chǎn)首選，API濫用是最常見(jiàn)攻擊方式

在萬(wàn)物互聯(lián)的數(shù)字時(shí)代，API承載著企業(yè)核心業(yè)務(wù)邏輯和敏感數(shù)據(jù)，支撐著用戶早已習(xí)慣的互動(dòng)式數(shù)字體驗(yàn)。根據(jù)Akamai的一項(xiàng)統(tǒng)計(jì)，API請(qǐng)求已占所有應(yīng)用請(qǐng)求的83%，預(yù)計(jì)2024年API請(qǐng)求命中數(shù)將達(dá)到42萬(wàn)億次。與此同時(shí)，針對(duì)API的攻擊成為了惡意攻擊者的首選，相對(duì)于傳統(tǒng)Web窗體，API的性能更高、攻擊成本更低，越來(lái)越多的黑客開(kāi)始利用API進(jìn)行業(yè)務(wù)欺詐。

事實(shí)上，很多企業(yè)并不清楚自己擁有多少API，也并不能保證每個(gè)API都具有良好的訪問(wèn)控制，被遺忘的影子API和僵尸API會(huì)帶來(lái)重大的未知風(fēng)險(xiǎn)。據(jù)Gartner預(yù)測(cè)，到2022年API濫用將是最常見(jiàn)的攻擊方式，為API構(gòu)建安全防護(hù)體系勢(shì)在必行。

趨勢(shì)5：業(yè)務(wù)欺詐變本加厲——AI技術(shù)廣泛用于欺詐，新型團(tuán)伙欺詐頻出

在社會(huì)高度智能化、技術(shù)應(yīng)用門檻越來(lái)越低的今天，AI也成為詐騙者的目標(biāo)和幫兇。偽造郵件、克隆聲音、電話詐騙、人臉偽造等利用AI技術(shù)的業(yè)務(wù)欺詐手段層出不窮，反AI欺詐已經(jīng)成為一個(gè)社會(huì)性的問(wèn)題。

隨著互聯(lián)網(wǎng)行業(yè)快速發(fā)展，新型業(yè)務(wù)欺詐來(lái)勢(shì)洶洶，呈現(xiàn)出團(tuán)伙化、跨境化、精準(zhǔn)化、多樣化等特征，出現(xiàn)了如：公共Wi-Fi欺詐、刷單薅羊毛、線下人力資源機(jī)構(gòu)黑產(chǎn)、投資理財(cái)類詐騙、虛假交易網(wǎng)站詐騙、虛假中獎(jiǎng)?lì)惖榷喾N欺詐案例，給企業(yè)和個(gè)人造成了巨大的損失。據(jù)Juniper Research研究發(fā)現(xiàn)，在2021年至2025年期間，在線支付欺詐造成的商家損失將累計(jì)超過(guò)2060億美元，這個(gè)數(shù)字相當(dāng)于亞馬遜2020財(cái)年凈收入的近10倍。在新的一年里，如何以“魔法打敗魔法”，用技術(shù)手段來(lái)解決新型業(yè)務(wù)欺詐問(wèn)題，將成為市場(chǎng)和行業(yè)共同努力的方向。

趨勢(shì)6：供應(yīng)鏈安全告急——第三方組件造成的供應(yīng)鏈漏洞攻擊加劇，供應(yīng)鏈惡意軟件數(shù)量上升

針對(duì)單一供應(yīng)商的攻擊引發(fā)的連鎖反應(yīng)，可能危及整個(gè)供應(yīng)商網(wǎng)絡(luò)。有研究表明，當(dāng)今平均Web應(yīng)用程序包含超過(guò)1000個(gè)代碼依賴項(xiàng)，其中一些突破了2000個(gè)標(biāo)準(zhǔn)。從安全角度來(lái)看，這些第三方代碼中的每一個(gè)，實(shí)際上都可以用作將惡意代碼注入應(yīng)用程序的攻擊媒介。

隨著開(kāi)源、云原生等技術(shù)的大范圍應(yīng)用，下一代軟件供應(yīng)鏈威脅也正在逐漸爆發(fā)。據(jù)Forrester研究表明，應(yīng)用軟件80%-90%的代碼來(lái)自開(kāi)源組件。全球?qū)﹂_(kāi)源代碼的旺盛需求，將導(dǎo)致Web應(yīng)用供應(yīng)鏈攻擊在2022年進(jìn)一步成熟，范圍擴(kuò)大，并且更加復(fù)雜，預(yù)計(jì)使用惡意軟件進(jìn)行Web應(yīng)用供應(yīng)鏈攻擊的數(shù)量將不斷攀升。

同時(shí)，下一代Web應(yīng)用供應(yīng)鏈攻擊正在到來(lái)，其顯著特點(diǎn)是刻意針對(duì)“上游”開(kāi)源組件，進(jìn)行更主動(dòng)的攻擊，攻擊者會(huì)主動(dòng)將新的漏洞注入為供應(yīng)鏈提供支持的開(kāi)源項(xiàng)目中。因此，下一代Web應(yīng)用供應(yīng)鏈攻擊將更加隱蔽，也將有更多的時(shí)間對(duì)下游企業(yè)展開(kāi)攻擊，危險(xiǎn)性將更高。

2022年網(wǎng)絡(luò)安全三大防護(hù)建議

建議1：由WAF走向WAAP

隨著企業(yè)數(shù)字化進(jìn)程的不斷加速，更多的門戶網(wǎng)站、核心業(yè)務(wù)、交易平臺(tái)等日益依賴Web、APP、H5、微信等多渠道開(kāi)展。與此同時(shí)，越來(lái)越多的開(kāi)放性API業(yè)務(wù)也正在蓬勃發(fā)展。伴隨流量的提升，API業(yè)務(wù)帶來(lái)的Web敞口風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管控鏈條的擴(kuò)大，不僅各種利用Web應(yīng)用漏洞進(jìn)行攻擊的事件正在與日俱增，各類工具化、智能化、擬人化的Bots攻擊對(duì)數(shù)字化業(yè)務(wù)的影響也在快速攀升。

然而，現(xiàn)有的Web安全服務(wù)彼此之間常常出現(xiàn)難以融合的局面，無(wú)法實(shí)現(xiàn)統(tǒng)一的安全服務(wù)閉環(huán)。Gartner指出，到2023年，30%以上面向公眾的Web應(yīng)用程序和API將受到云Web應(yīng)用程序和API保護(hù)(WAAP)服務(wù)的保護(hù)，WAAP服務(wù)結(jié)合了分布式拒絕服務(wù)(DDoS)防御、機(jī)器人程序緩解(Bot Mitigation)、API保護(hù)和WAF。

瑞數(shù)信息專家認(rèn)為，傳統(tǒng)WAF技術(shù)面臨各種挑戰(zhàn)，單一的WAF產(chǎn)品已不足以解決無(wú)處不在的安全風(fēng)險(xiǎn)，防御新的威脅需要一種整體的、集成的安全方法，即從WAF走向WAAP，將本地、各類云端充分整合，支持WAF、Bots管理、API防護(hù)獨(dú)立或聯(lián)合部署，提供多層級(jí)的聯(lián)動(dòng)防御機(jī)制，令企業(yè)安全地將各類Web業(yè)務(wù)和應(yīng)用交付在混合架構(gòu)中，實(shí)現(xiàn)Web安全一體化防御。

建議2：傳統(tǒng)備份和災(zāi)備的局限，用戶需要新一代融合安全能力的數(shù)據(jù)保護(hù)技術(shù)

數(shù)據(jù)作為新的生產(chǎn)要素，數(shù)據(jù)價(jià)值的利用已成為數(shù)字經(jīng)濟(jì)發(fā)展的重要推動(dòng)力。然而，在勒索軟件攻擊不斷迭代的環(huán)境下，傳統(tǒng)的備份與災(zāi)備面對(duì)新興的數(shù)據(jù)安全威脅已顯得捉襟見(jiàn)肘。

一方面，傳統(tǒng)災(zāi)備系統(tǒng)不會(huì)對(duì)備份數(shù)據(jù)的好壞進(jìn)行檢測(cè)，以至于備份數(shù)據(jù)中可能因勒索軟件的攻擊，存在大量被損毀的文件，恢復(fù)后的系統(tǒng)仍無(wú)法正常使用，造成部分企業(yè)即使有備份，仍然被迫支付贖金的后果。另一方面，傳統(tǒng)災(zāi)備系統(tǒng)需要數(shù)天甚至數(shù)周的恢復(fù)時(shí)間，無(wú)法滿足快速恢復(fù)的應(yīng)急響應(yīng)需求，將業(yè)務(wù)中斷的損失降至最低。

因此，新一代數(shù)據(jù)安全技術(shù)的建設(shè)已刻不容緩。瑞數(shù)信息專家建議，加強(qiáng)備份和復(fù)制數(shù)據(jù)的安全性，保證快速的數(shù)據(jù)提供和安全的數(shù)據(jù)恢復(fù)，并深化數(shù)據(jù)處理環(huán)節(jié)的安全防護(hù)，讓企業(yè)和行業(yè)的數(shù)據(jù)價(jià)值釋放得到安全可靠的保障。

建議3：深化基于AI的行為檢測(cè)

傳統(tǒng)安全主要基于攻擊特征與行為規(guī)則實(shí)行被動(dòng)式防御，在靈活的黑客面前已逐漸失效，不僅是0day攻擊、各類應(yīng)用和業(yè)務(wù)欺詐，在數(shù)據(jù)泄漏和勒索層面更是堪憂；同時(shí)攻防對(duì)抗水漲船高，防守方規(guī)則的構(gòu)造和維護(hù)門檻高、成本大。

瑞數(shù)信息專家認(rèn)為，基于AI技術(shù)對(duì)用戶行為模式進(jìn)行智能分析與識(shí)別，將不再受制于復(fù)雜繁瑣的攻擊特征與行為規(guī)則，應(yīng)進(jìn)一步擴(kuò)大使用場(chǎng)景，不僅應(yīng)用于攻擊趨勢(shì)預(yù)判、高隱蔽性異常行為透視、未知威脅行為溯源等更智能的安全分析，也可以加強(qiáng)對(duì)于數(shù)據(jù)的破壞、篡改、加密勒索等數(shù)據(jù)威脅行為的識(shí)別檢測(cè)，并通過(guò)更實(shí)時(shí)的安全預(yù)警及安全聯(lián)防進(jìn)一步縮短響應(yīng)時(shí)間，提升了攻擊門檻，在攻防格局中處于主動(dòng)位置。