人们永远不能否认互联网带来的福祉,它使人们的生活变得更轻松、更简单。但网络世界也充满了各种类型的威胁。2022年上半年,全球重大网络安全事件频发,勒索软件、数据泄露、黑客攻击等层出不穷,且变得更具危害性,比如今年1月份,美国布劳沃德公共卫生系统公布了一起大规模数据泄露事件,超过130万人受影响。
随着技术的不断进步,网络攻击者的攻击成本不断降低,同时攻击方式更加先进,美国《福布斯》双周刊网站在近日的报道中,列出了2023年值得警惕的三大网络安全威胁:网络钓鱼、恶意软件、供应链攻击。
更多组织遭遇网络钓鱼
网络钓鱼仍然是全球面临的重大网络安全威胁之一。
网络钓鱼指通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息的一种攻击方式,其唯一目的是窃取个人或组织数据,包括登录凭据和信用卡卡号等。
今年人们在媒体上看到的大多数成功的网络攻击,都是从网络钓鱼开始的。比如,美国《纽约时报》在今年9月份援引优步发言人的话报道称,一名黑客入侵了该公司一名员工的办公通讯应用程序,并利用它向优步员工发送消息,这名员工被说服交出了一个密码,让黑客得以进入优步内部系统。
今年3月底,有黑客组织伪装成政府执法部门向互联网公司套取用户数据,以发送虚假法庭传票的方式获取目标特许数据。数据勒索团伙成功入侵了微软、英伟达、苹果等巨头内网窃取数据,包括用户的基本信息,如家庭住址、电话号码、IP地址等。
今年4月,电子邮件营销公司MailChimp披露其遭到黑客攻击,黑客利用内部客户支持和账户管理工具窃取用户数据,并进行网络钓鱼攻击。
美国的一项研究显示,与前一年相比,2021年有更多组织至少遭遇了一次基于电子邮件的网络钓鱼攻击。这一趋势预计将在2023年继续。
软件勒索事态恶化
恶意软件是以恶意意图编写的软件的统称,包括病毒软件、勒索软件和间谍软件。恶意软件威胁可能会导致计算机系统、服务器或公司网络中断,还可能导致私人信息泄露。
目前,世界上最流行的恶意软件攻击类型之一就是勒索软件攻击。攻击者获得对信息或系统的未经授权访问,或完全剥夺用户对信息的访问权限,直到公司或用户向黑客支付一定金额的钱,才能恢复对数据的访问或解密。
例如今年1月,美国新墨西哥州最大的县就受到勒索软件攻击的影响,导致多个公共事业部门和政府办公室系统下线,此次勒索软件攻击还致使监狱系统下线。今年2月底,全球芯片制造巨头英伟达被曝遭到勒索软件攻击,入侵者成功访问并在线泄露了员工私密信息及登录数据,黑客向英伟达索取100万美元的赎金和一定比例的未指明费用。
除了对系统的访问被阻止外,实施恶意软件攻击的犯罪者还可能在网上发布机密数据。比如今年3月,国际黑客组织“匿名者”宣布,他们成功入侵了全球最大食品制造商雀巢公司的网络,并披露了10吉字节的敏感数据,包括公司电子邮件、密码和与商业客户相关的数据。相关数据显示,2020年全球超过1000家公司因未向勒索软件要求低头而遭到数据泄露。
瑞士网络安全公司Acronis此前发布警告说:“勒索软件事态正在恶化,甚至比我们预期的还要严重,预计到2023年,全球勒索软件损失将超过300亿美元。”
供应链攻击呈爆发增长
《福布斯》双周刊网站在报道中指出,许多公司花费时间和金钱来保护外围和内部系统,但很少关注第三方——包括供应商、合作伙伴、承包商和服务提供商的网络安全,网络供应链攻击因此趁虚而入。
供应链攻击指的是对于供应链所发动的网络攻击。攻击者会将供应链作为攻击对象,先攻击供应链中安全防护相对薄弱的企业,再利用供应链之间的相互连接,如软件供应、开源应用等,将风险扩大至上下游企业,产生攻击涟漪效应和巨大的破坏性。供应链攻击的手段包括:利用第三方应用程序、利用开放源代码库中包含的漏洞等等。供应链攻击往往牵涉到更多的企业,且更具破坏性,甚至会给整个行业带来巨大的影响。
近年来,供应链攻击事件呈现爆发增长的态势,欧洲网络和信息安全局发布的《供应链攻击的威胁分析》报告指出,和2020年相比,2021年供应链攻击已经显著提升。以色列一项研究表明,与2020年相比,2021年软件供应链攻击增长了300%以上,这一趋势预计还会持续增加。
来源:科技日报