國外安全網(wǎng)站《安全周刊》以2022年網(wǎng)絡(luò)安全回顧，影響安全生態(tài)系統(tǒng)的頭條新聞和趨勢，探討了所謂的《影響2022 年網(wǎng)絡(luò)安全的五個故事》，讓我們一起看看他們的一些看法。

當(dāng)回顧過去一年中需要關(guān)注的安全事件、事件和故事時，很明顯，引人注目的數(shù)據(jù)泄露和零日攻擊將繼續(xù)占據(jù)頭條新聞。似乎幾乎一周過去了，某種網(wǎng)絡(luò)安全事件沒有成為頭條新聞，隨著 CISO 和防御者應(yīng)對經(jīng)濟(jì)惡化和損害安全計(jì)劃的裁員，將支出預(yù)算擴(kuò)大到極限。

在這篇對 2022 年熱點(diǎn)事件的回顧中，《 安全周刊》的編輯們仔細(xì)研究了影響 2022 年的五個重大事件，以及它們對未來大規(guī)模保護(hù)數(shù)據(jù)可能意味著什么。

Lapsus$ 肆虐

這一年開始時，防御者仍在爭先恐后地緩解Log4j 供應(yīng)鏈危機(jī)，但在表面之下，潛伏著同樣危險(xiǎn)的東西，并準(zhǔn)備對高科技領(lǐng)域的一些知名企業(yè)造成大屠殺。

Lapsus$ 是一群出于經(jīng)濟(jì)動機(jī)的網(wǎng)絡(luò)犯罪分子的代號，其“勒索和破壞”黑客狂潮引起了人們的注意，這使英偉達(dá)、三星、育碧、優(yōu)步和 Rockstar Games 等知名公司暴露并蒙羞。

Lapsus$ 大屠殺還打擊了科技巨頭Microsoft 和 Okta，Redmond 公開記錄了“大規(guī)模的社會工程和勒索活動”，而 Okta 在其違規(guī)程度方面嚴(yán)重破壞了與客戶的溝通。

“[該組織] 以使用純粹的勒索和破壞模型而不部署勒索軟件有效載荷而聞名，”微軟在一份說明中警告說，承認(rèn)其自己的系統(tǒng)在備受矚目的突襲中受到損害。

到 2022 年底，Lapsus$ 的妥協(xié)非常嚴(yán)重，以至于美國政府注意到并指派其 CSRB（網(wǎng)絡(luò)安全審查委員會）“審查 Lapsus$ 的網(wǎng)絡(luò)活動，以分析他們的策略并幫助各種規(guī)模的組織保護(hù)自己。”

零日漏洞

連續(xù)第二年，記錄在案的野外零日攻擊案例仍然備受關(guān)注，新數(shù)據(jù)顯示零日攻擊活動已蔓延至低級網(wǎng)絡(luò)犯罪分子。

到 2022 年底，有 52 起公開記錄的零日攻擊襲擊了廣泛的軟件產(chǎn)品，最顯著的影響來自大型技術(shù)供應(yīng)商 Microsoft、Google 和 Apple 的代碼。

更令人擔(dān)憂的是，已觀察到針對思科、Sophos、趨勢科技、Atlassian、Magento 和 QNAP Systems 產(chǎn)品中的軟件和固件漏洞的零日攻擊。在這一年中，包括 Fortinet 和 Citrix 在內(nèi)的多家供應(yīng)商被迫發(fā)布緊急修復(fù)程序以應(yīng)對零日攻擊。

根據(jù)SecurityWeek跟蹤的數(shù)據(jù)，2022 年 Microsoft 漏洞約占所有零日漏洞利用的 23%，其次是 Google Chrome (17%) 和 Apple 產(chǎn)品（iOS 和 macOS 零日漏洞合計(jì)為 17%）。

在 2022 年期間，美國政府的網(wǎng)絡(luò)安全機(jī)構(gòu) CISA 不間斷地將“已知被利用的漏洞”添加到其必須修補(bǔ)目錄中，VPN、防火墻和固件在受到攻擊的產(chǎn)品類別中占據(jù)突出地位。

大型科技公司對付雇傭間諜軟件供應(yīng)商

整個 2022 年，隨著 Cytrox、Candiru、BellTroX 和 DSIRF 等公司加入臭名昭著的NSO 集團(tuán)，雇傭間諜軟件供應(yīng)商的公開曝光和點(diǎn)名羞辱繼續(xù)快速進(jìn)行hack-for-hire 有針對性的攻擊操作。

包括 Facebook 母公司 Meta 提交的法庭文件、微軟的公開文件和谷歌在國會的露面在內(nèi)的大型科技公司打擊行動描繪了一幅遍布全球的雇傭監(jiān)控行業(yè)的圖景，黑客團(tuán)隊(duì)設(shè)在美國，歐洲和以色列。 

2022 年出現(xiàn)的一些新名稱包括 Cobwebs Technologies、Cognate、Black Cube、Bluehawk CI 和 CyberRoot（前身為 BellTroX），因?yàn)榉烙甙l(fā)現(xiàn)了零日攻擊、魚叉式網(wǎng)絡(luò)釣魚活動和復(fù)雜的攻擊鏈的跡象。

不斷擴(kuò)大的雇傭監(jiān)視活動促使網(wǎng)絡(luò)安全專業(yè)人士呼吁美國政府緊急控制這些陰暗的業(yè)務(wù)。在眾議院情報(bào)委員會的一次露面中，Google 的Shane Huntley呼吁國會考慮“全面禁止”聯(lián)邦采購商業(yè)間諜軟件技術(shù)，并敦促擴(kuò)大對兩個臭名昭著的供應(yīng)商——NSO Group 和 Candiru 的制裁。

2022 年這些故事中出現(xiàn)的一個令人擔(dān)憂的趨勢是使用美國盟友情報(bào)部門的退伍軍人，以及針對記者、活動家和持不同政見者的專制政府繼續(xù)濫用軟件。

SBOM 和軟件供應(yīng)鏈安全

為確保軟件供應(yīng)鏈安全而進(jìn)行的殊死搏斗在整個 2022 年占據(jù)了中心位置，因?yàn)槊绹粲跆貏e關(guān)注固件安全作為“單點(diǎn)故障”，并圍繞 SBOM 的強(qiáng)制執(zhí)行展開了熱烈討論（軟件物料清單）。

SBOM 授權(quán)包含在白宮行政命令中，是聯(lián)邦政府推動軟件交付生態(tài)系統(tǒng)中的供應(yīng)商和供應(yīng)商提供安全保證的一部分。

隨著安全領(lǐng)導(dǎo)者和 CISO 爭先恐后地弄清楚如何使用和交付強(qiáng)制性軟件成分列表，大型技術(shù)供應(yīng)商發(fā)布了用于 SBOM 生成的開源工具包，風(fēng)險(xiǎn)資本家加倍投資于供應(yīng)鏈領(lǐng)域。

然而，在表面之下，一些 IT 和軟件交付領(lǐng)域的大腕對政府的 SBOM 授權(quán)表示強(qiáng)烈反對。到年底，代表大型科技公司的游說者公開呼吁聯(lián)邦政府的管理和預(yù)算辦公室 (OMB) “勸阻機(jī)構(gòu)”要求 SBOM，認(rèn)為供應(yīng)商“現(xiàn)在為時過早且效用有限”準(zhǔn)確提供構(gòu)成軟件組件的成分的嵌套清單。

這個名為 ITI（信息技術(shù)產(chǎn)業(yè)委員會）的貿(mào)易組織的重要成員包括亞馬遜、微軟、蘋果、英特爾、AMD、聯(lián)想、IBM、思科、三星、臺積電、高通、Zoom 和 Palo Alto Networks 。

網(wǎng)絡(luò)安全業(yè)務(wù)越來越大

在攻擊面蔓延、與云相關(guān)的數(shù)據(jù)泄露和不斷擴(kuò)大的勒索軟件危機(jī)持續(xù)擴(kuò)大的一年中，投資者繼續(xù)尋求投資于網(wǎng)絡(luò)安全初創(chuàng)公司的利潤。

網(wǎng)絡(luò)安全“獨(dú)角獸” （估值超過 10 億美元的初創(chuàng)公司）的步伐在 2022 年明顯放緩，但不乏大型融資交易，尤其是對于處理軟件供應(yīng)鏈或云數(shù)據(jù)安全的早期初創(chuàng)公司而言。

我們觀察到風(fēng)投們瘋狂地將資金投入一些奇怪的類別（安全的企業(yè)瀏覽器就是一個例子），并且穩(wěn)定的投資流向處理 API 安全、攻擊面管理、數(shù)據(jù)安全態(tài)勢管理和軟件供應(yīng)鏈安全的公司。

谷歌以 54 億美元收購 Mandian t 并以5億美元收購 Siemplify，這為這家搜索營銷巨頭提供了令人印象深刻的網(wǎng)絡(luò)安全堆棧，可將其添加到其企業(yè)云產(chǎn)品中，并標(biāo)志著與競爭對手微軟爭奪網(wǎng)絡(luò)安全相關(guān)收入的巨大推動力。

微軟在 2022 年放棄了大手筆收購，但在網(wǎng)絡(luò)安全收入達(dá)到 150 億美元的年度大關(guān)之際，通過推出新的托管服務(wù)繼續(xù)展示其安全業(yè)務(wù)實(shí)力。

去年，知名私募股權(quán)公司積極收購身份和訪問管理領(lǐng)域的公司。重大交易包括 Thoma Bravo以 28 億美元收購 Ping Identity，以總計(jì)120億美元收購SailPoint和ForgeRock；Vista Equity Partners為 KnowBe4支付了 46 億美元。