2021 年是網(wǎng)絡(luò)攻擊破紀(jì)錄的一年，去年的黑客攻擊和違規(guī)事件比以往任何一年都多。盡管聯(lián)邦政府制定了新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)來解決這一問題，但仍創(chuàng)下了記錄，并且由于遠(yuǎn)程辦公的持續(xù)擴(kuò)散而加劇了這一記錄的產(chǎn)生。2021 年，遠(yuǎn)程辦公的美國員工比以往任何時(shí)候都多，根據(jù)一項(xiàng)對美國企業(yè)的調(diào)查發(fā)現(xiàn)，近 70% 的企業(yè)永久關(guān)閉了部分或全部辦公空間。但是，面臨安全威脅風(fēng)險(xiǎn)卻在不斷增加。

今年，我們預(yù)計(jì)網(wǎng)絡(luò)攻擊將持續(xù)增加，并希望看到更多的企業(yè)采用零信任架構(gòu)及規(guī)范來應(yīng)對以下威脅。

盡管有政府干預(yù)，但供應(yīng)鏈漏洞依然存在

從硬件和軟件的角度來看，2022 年可能會(huì)出現(xiàn)重大的供應(yīng)鏈漏洞。隨著疫情的蔓延，更多用于遠(yuǎn)程辦公的個(gè)人硬件，如筆記本電腦和無線路由器，可能會(huì)使用過時(shí)的固件或弱密碼，從而為黑客提供了輕松訪問網(wǎng)絡(luò)的機(jī)會(huì)。

與此同時(shí)，Log4j 漏洞的爆發(fā)，提醒了全世界應(yīng)注意開源軟件的安全風(fēng)險(xiǎn)。

5 月行政命令中的“軟件物料清單”(SBOM)指令是提高可見性和防止此類攻擊的良好開端。然而，漏洞依然存在。與聯(lián)邦機(jī)構(gòu)合作的承包商要遵守復(fù)雜的指導(dǎo)方針，他們可能難以準(zhǔn)確一致地提交證明其軟件組件安全且無缺陷的認(rèn)證。此外，雖然為新軟件生成 SBOM 很簡單，但對于已安裝的軟件來說，這個(gè)過程比較困難。現(xiàn)有軟件的漏洞可能會(huì)帶來看不見的供應(yīng)鏈問題。

雇傭軍發(fā)起的隱蔽的國家級網(wǎng)絡(luò)攻擊將日益增加

雖然今年 IT 人員對供應(yīng)鏈問題印象深刻，但出于對國家安全的考慮，針對爭奪網(wǎng)絡(luò)霸權(quán)開展的國家級網(wǎng)絡(luò)攻擊將變得更加突出。在過去的幾年里，出于政治和間諜目的的網(wǎng)絡(luò)攻擊已經(jīng)從秘密到半公開，再到肆無忌憚。

今年各國將繼續(xù)加大力度，利用網(wǎng)絡(luò)雇傭軍來實(shí)施更多的攻擊，并毫不掩飾的進(jìn)行否認(rèn)。這種增長遲早會(huì)發(fā)生，專家預(yù)測烏克蘭與俄羅斯的沖突將成為一個(gè)爆發(fā)點(diǎn)。

美國政府似乎對此表示贊同，國土安全部警告稱，俄羅斯可能會(huì)對美國發(fā)起網(wǎng)絡(luò)攻擊。

并購將帶來更大風(fēng)險(xiǎn)

2021年，并購交易打破了紀(jì)錄，全球交易額首次超過5萬億美元。在此期間，我們花費(fèi)了無數(shù)的時(shí)間進(jìn)行財(cái)務(wù)盡職調(diào)查，以幫助企業(yè)了解每一個(gè)潛在的風(fēng)險(xiǎn)。

隨著未來一年并購交易可能再創(chuàng)歷史新高，企業(yè)面臨的違規(guī)和黑客攻擊風(fēng)險(xiǎn)增加。企業(yè)在整合網(wǎng)絡(luò)和數(shù)據(jù)的過程中，存在著繼承安全隱患的風(fēng)險(xiǎn)。近些年最著名的在合并期間未進(jìn)行徹底網(wǎng)絡(luò)安全分析而受影響的例子是，2017年，Verizon對雅虎(Yahoo)的收購大幅縮水3.5億美元，原因是數(shù)據(jù)泄露影響了雅虎，并損害了逾10億個(gè)客戶賬戶。

并購交易可以被視為供應(yīng)鏈攻擊的另一個(gè)載體，隨著并購的增加，安全事件也會(huì)發(fā)生。2022年，企業(yè)必須對網(wǎng)絡(luò)安全盡職調(diào)查給予同等考慮，否則就會(huì)將自己暴露于風(fēng)險(xiǎn)之中。

零信任將發(fā)揮更大作用，但可能發(fā)生失誤

拜登政府的行政命令要求聯(lián)邦機(jī)構(gòu)迅速采用零信任架構(gòu)，以防止近年來發(fā)生的此類重大泄密事件。雖然這些規(guī)定適用于政府機(jī)構(gòu)，但NIST 800-207的要求目前正逐步滲透到聯(lián)邦承包商那里，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)已被納入合同條款。

這是良性的發(fā)展，但也存在風(fēng)險(xiǎn)。如果這些承包商沒有投入正確實(shí)施零信任架構(gòu)及規(guī)范所需的時(shí)間和精力，他們可能會(huì)以無效或易受攻擊的不完整的模型而告終，一些企業(yè)認(rèn)為零信任僅意味著多因素身份驗(yàn)證，但他們還需要保護(hù)通信和關(guān)鍵資源。

這項(xiàng)任務(wù)并不簡單，企業(yè)必須有充分的時(shí)間構(gòu)建一個(gè)實(shí)質(zhì)性的解決方案。如果實(shí)施得當(dāng)，零信任將確保資源（包括應(yīng)用程序、數(shù)據(jù)和服務(wù)）受到保護(hù)，只授予被批準(zhǔn)的用戶訪問這些資源的權(quán)限。

雖然 2022 年將延續(xù)去年出現(xiàn)的趨勢和威脅，但政府對零信任和供應(yīng)鏈報(bào)告的指導(dǎo)令人鼓舞。有了新的承諾，我們有望看到公共和私人組織能有所轉(zhuǎn)機(jī)，并減少未來的事件數(shù)量。