Akamai的SOTI報告主要關注網絡安全威脅、攻擊趨勢。它會提供關于新興威脅、攻擊模式、以及全球網絡安全態(tài)勢的一些洞察,幫助企業(yè)了解這些趨勢后做出有針對性的應對。

亞太地區(qū)的Web應用程序和API攻擊新態(tài)勢

首先可以肯定的是,Web應用程序和API攻擊仍是一大類攻擊類型,并且預計未來這類攻擊還會繼續(xù)顯著增長。

可以看到,亞太及日本地區(qū)的Web應用和API攻擊主要集中在金融服務和商業(yè)領域。其中,金融服務領域的銀行遭受的攻擊次數最多,而商業(yè)領域遭受攻擊最多的則是零售業(yè)。

然而,商業(yè)領域遭受攻擊的增幅更為驚人。自2023 年 6 月以來,針對金融服務的攻擊次數超過了45億次,增長了18%。在商業(yè)領域,對比自2023年3月的數據來看,攻擊次數從12億次增長至19億次,增長高達58%。

報告中還發(fā)現,惡意機器人(malicious bots)是攻擊者的首選武器。無論是在亞太及日本地區(qū),還是在北美或者EMEA地區(qū),惡意機器人被使用的都非常頻繁。與之相對的則是有益或無害活動的機器人(enign bots),一些地區(qū)也在大量使用這類機器人。

從攻擊的行業(yè)偏好來看。2022 年 1 月至 2023 年 10 月的數據顯示,亞太及日本地區(qū)的惡意機器人攻擊主要集中在商業(yè)(27.4%)、視頻媒體(15.0%)和金融服務(14.3%)領域。

醫(yī)療保健行業(yè)的IoMT風險加劇

報告中提到,2023年醫(yī)療物聯網(IoMT)的風險不斷加劇。由于醫(yī)療保健生態(tài)系統的復雜性、易受攻擊的技術以及網絡安全人員的短缺等問題,醫(yī)療組織面臨著許多安全挑戰(zhàn)。

上圖顯示,2023年每天針對醫(yī)療保健行業(yè)的攻擊事件的中位數要高于2022年。事實上,醫(yī)療行業(yè)充斥著大量未打補丁的IoMT設備,這也是所有行業(yè)中最脆弱的資產之一,它很可能會讓勒索軟件這類惡意威脅趁虛而入。

Cynerio和Ponemonlnstitute對美國多家醫(yī)院和醫(yī)療保健系統進行的一項聯合研究的報告表明,有一半以上的醫(yī)院和醫(yī)療保健系統由于loMT設備中的安全漏洞而遭受網絡攻擊。

隨著醫(yī)療保健行業(yè)更多地使用IoMT技術,更多地在醫(yī)療服務(如遠程患者監(jiān)測)中使用API,整體上,針對醫(yī)療保健行業(yè)的攻擊也不太可能減緩。

微軟Outlook繞過漏洞

微軟的Outlook是常用的辦公軟件,它出現的繞過漏洞有較大影響。這種漏洞讓黑客僅發(fā)送一個帶有定制通知音的Outlook邀請,就能悄悄與他們的服務器建立聯系,并搞到用戶的NTLM認證信息。重要的是,用戶根本不用點擊就可能中招。

雖然3月份,微軟推出補丁禁用了PidLidReminderFileParameter功能,還啟用了MapURLtoZone功能。但是,研究人員發(fā)現,只要在路徑末尾加個斜線,這個補丁就失效了。這讓更多人看到了漏洞的狡猾和修補漏洞的難。

便捷性和安全性的矛盾:JWT(JSON Web Token)與Magecart

便捷與安全之間經常存在著一些矛盾,這點在JWT和Magecart有所體現。

JSON Web Tokens(JWT)是一個現在網絡應用中非常流行的身份驗證標準,能夠在用戶和服務器間安全地傳遞信息。Akamai發(fā)現了這一技術在API身份驗證中的風險。發(fā)現,JWT看似方便,實則容易被黑客利用來提權、竊取數據甚至劫持賬號。

存在問題的場景包括,服務器不經過驗證就能用令牌,讓不同應用用同一私鑰,支持弱簽名算法,選擇短的和/或低熵的私鑰等等。作為驗證工具,JWT采用了一個攻擊面較大且容易出錯的驗證格式,而且JWT自己的加密存在問題。

Magecart 是一種新的安全威脅,它主要針對在線企業(yè),并能竊取客戶敏感信息,比如信用卡信息。Magecart通過在一些網站上注入惡意腳本實施攻擊,這些腳本能夠在客戶結賬時,秘密捕獲信用卡數據并發(fā)送給攻擊者。

Magecart的攻擊通常很難被察覺,因為攻擊者精心了設計腳本,使其看起來很正常,從而長時間在網站上潛伏不被發(fā)現。Magecart的出現再次展示了便利性與安全性之間的矛盾,第三方腳本的廣泛使用雖然提高了用戶體驗,但同時也增加了安全風險。

簡而言之,JWT和Magecart提醒著我們,當我們享受技術帶來的便捷時,也別忘了安全這回事,找到便捷與安全的完美平衡點。

2024或將出現由AI 驅動的勒索軟件

Akamai亞太地區(qū)及日本安全技術和戰(zhàn)略總監(jiān)Reuben Koh表示:AI 驅動的勒索軟件可能會在 2024 年出現。

目前看來,勒索軟件攻擊態(tài)勢已經愈演愈烈,毫無準備的企業(yè)可能會深受影響。

我們看到,一些攻擊者已經開始通過 FraudGPT 和 WormGPT 等惡意的生成式AI工具來生成惡意代碼了,開始利用 AI 展開了攻擊。

隨著攻擊者使用更先進的生成式AI技術,會不斷開發(fā)各種新式勒索軟件,會利用經優(yōu)化的加密算法來增強勒索軟件加密效果,進一步提高解密的難度。

Akamai的安全建議

面對以上種種安全威脅,Akamai建議企業(yè)采取兩項核心網絡安全最佳實踐。

首先,在沒有被攻擊的平日里就與安全運營中心(SOCC)合作,主動建立和加強防御機制,以預防網絡攻擊。

其次,企業(yè)應致力于運營準備和備份計劃,確保在任何情況下都能有效處理網絡平臺間的切換和操作,以減輕潛在網絡攻擊的影響。

Akamai亞太及日本地區(qū)安全技術和戰(zhàn)略總監(jiān)Dean Houari強調了網絡安全在企業(yè)戰(zhàn)略中的重要性。他認為,網絡安全最終將成為企業(yè)的戰(zhàn)略重點,而不再是IT 的唯一責任。

隨著企業(yè)日益依賴于多云平臺和云原生應用,越來越多的API將帶來更多的攻擊面。這意味著企業(yè)不僅要在日常運營中建立強大的防御體系,還需要對其業(yè)務邏輯和邊緣計算進行更深入的安全考量。

特別是對于那些處理大量個人識別信息(PII)的公共部門機構來說,采用Zero Trust架構已成必然選擇,以最大限度地減少數據泄漏的風險。此外,供應鏈安全也成為企業(yè)網絡防御的關鍵一環(huán)。

最后,Dean Houari提醒企業(yè),網絡釣魚攻擊的發(fā)展趨勢顯示出它們正變得更加精細和隱蔽,部分歸功于生成式AI技術的應用。這不僅要求企業(yè)持續(xù)預測和評估不斷演變的網絡威脅,還需定期審視整體安全和風險狀況,確保能夠應對日益復雜的網絡安全環(huán)境。

分享到

zhupb

相關推薦