随着经济和地缘政治的不稳定蔓延到新的一年,专家们预测并表示,2023年将是网络安全的关键一年,威胁环境日益扩大,而攻击类型也会更为复杂。在瑞士达沃斯世界经济论坛2023年年会上,牛津大学网络安全教授萨迪·克里兹便表示:“有一场网络风暴正在酝酿,而且很难预料它到底会有多严重。”
正在酝酿的攻击风暴
目前,网络攻击,如钓鱼邮件、勒索软件和分布式拒绝服务(简称DDoS,即用大量的流量来压倒服务器,以破坏网络或网页)攻击的数量依旧呈上升趋势。著名网络安全公司Cloudflare发现,DDoS攻击数量在去年同比增长了79%。Cloudflare首席执行官马修·普林斯在年会上表示:“全世界有大量的不安定因素,在网络攻击方面,2023年将会是忙碌的一年。”
(相关资料图)
国际刑事警察组织秘书长尤尔根·斯托克则在会上表示:“这是一个全球性的威胁,所以需要全球性的反应和更强劲、更协调的行动。赢得网络犯罪打击战的关键是,共同努力,并使其成为跨越地缘政治问题的优先事项。”
同时,论坛还发布了《2023年全球网络安全展望》报告。报告发现,企业领导人对网络威胁的认识远远超过了前一年。而91%的受访者表示,他们认为在未来两年内,会有一定的可能发生影响深远的灾难性网络事件。报告则认为,当涉及到有效解决网络问题时,企业仍然面临着重大挑战。
有关网络安全的担忧主要围绕着能源、公共交通和制造业等关键基础设施部门展开。美国网络安全评级和分析公司Security Scorecard最近报告显示,在接受调查的关键制造业公司中,有48%面临重大的网络漏洞风险。而该公司的首席执行官亚历山大·扬波利斯基则强调:“关键制造业内的漏洞也没有被网络犯罪分子所忽视。”
调查报告还指出,网络攻击的潜在目标正在增加。当下,目标不仅包括政府机构或大公司,而是基本包括任何拥有消费者数据的组织——无论其规模有多小。
“我们需要接受,这实际上是网络复原力的问题”,克里兹表示,“没有百分之百安全的东西,关键是面对不安全场景时是否有足够的复原力。”
专家也表示,消费者需要在2023年提高他们的网络安全意识。鉴于越来越多的日常产品——从汽车到咖啡机——都在与互联网相连,这种需求显得尤为关键。
网络安全现状:落后还是领先?
虽然风暴尚未成形,但网络威胁数量、公司预算额度和安全防御方案都在持续增加,那么,各行业和各国家应如何准备以有效应对当今的网络风险?
近期,网络安全公司CYE发布了《2023年网络安全成熟度报告》,试图通过展示不同行业、公司和国家的网络安全实力来回答这一问题。报告调研了哪些行业和国家拥有最强大的网络态势,以及当今网络威胁图景中哪些漏洞最容易被击破。
该分析基于两年的、从15个国家的500多个组织中收集而来的数据,涵盖了11个行业和一系列不同规模的公司。报告衡量了7个不同安全领域的网络安全成熟度,包括应用级安全、网络级安全、身份管理和远程访问等。
报告显示,在各国中,挪威的整体网络安全水平得分最高,其次是克罗地亚和日本。虽然这些国家没有像美国、英国和德国等国家一样拥有大量的网络安全预算,但它们有先进的监管体系。同时,这些国家较早关注网络安全防御,政府和组织对此进行统一规划。而这一发现正说明,大量投资并不一定能转化为更安全的网络。
在各行业中,能源和金融业在整体网络安全成熟度方面名列前茅,而医疗保健、零售和政府机构的网络安全水平最低。出人意料的是,科技行业的得分位于平均水平,可能是因为与其他行业相比,科技公司通常面临着更大的攻击面,也可能因为科技公司更倾向于采用易受攻击的新技术。此外,科技公司的增长速度往往比其他行业更快,对于维持一个强大的网络态势来说,这无疑是额外的挑战。
报告最终表示,大多数组织没有为网络攻击威胁做好充分准备。而如果规划和决策正确,企业仍然可以在没有大量预算的情况下提高网络安全成熟度。同时,与工具相比,企业更应投资于能力,并对自身进行全面评估,制定综合的网络安全方法,以防止黑客利用漏洞。
关键基础部门受格外重视
除不同行业、企业等个体在微观层面上做出努力外,不同国家也在宏观层面上出台、制定了各类新政,尝试在风暴降临前筑起安全、坚固、可靠的防御堡垒。
去年11月,欧盟议会和欧盟理事会通过了一项有助于维护欧盟网络安全的新立法——《关于在欧盟全境实现高度统一网络安全措施的指令》(简称NIS2.0指令),以进一步提高公共和私营机构的网络安全性、韧性及事件响应能力。
在欧洲,网络攻击主要并持续针对关键基础设施系统。今年2月份,比利时和荷兰的主要炼油中心遭到了黑客攻击,此次攻击中断了整个地区的精炼产品的贸易活动。而在3月份,西班牙第四大药品分销商也因受网络攻击而处于停滞状态,药品供应延误,计费系统和订购流程也处于完全混乱的状态。
因此,NIS2.0指令将注重保护关键基础设施部门,并加强欧盟内部各国的连接与国际范围内的立法合作。
欧盟议会的主要成员巴特·格罗休斯在一份声明中表示,“如果我们正在受到工业规模的攻击,那我们就需要以工业规模来应对。我们要采取行动,使企业、政府和社会面对网络攻击时更有韧性,这项指令将帮助大约16万个实体机构加强对安全的控制,使欧洲成为一个安全的生活和工作场所。”
欧盟理事会表示,NIS2.0指令将涵盖在关键领域运营的大中型组织,其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健服务和公共管理的供应商等。
同时,为促进国家之间更好的合作,该指令引入了新的机制,并建立了一个新的中心——欧洲网络危机联络组织网络(简称EU-CyCLONe)——来监督对重大网络攻击的协调反应。
根据NIS2.0指令,欧盟还将与美国及其他国家一道,规定更严格的事件报告要求。该规定要求企业在事件发生24小时内向有关部门报告网络安全事件、修补软件漏洞并准备风险管理措施以保护网络。如不遵守规定,基础服务运营商将面临高达年营业额2%的罚款,而对于重要服务提供商,最高罚款为年营业额的1.4%。
建设可靠的数字生态系统
除欧盟外,美国也开始了行动。与欧盟对实体基础设施部门的重视相比,美国政府则更关注于虚拟数字生态系统的整体建设与防护,尤其注重各类角色在网络空间中的责任分配。
今年3月初,美国总统拜登发布了新的《国家网络安全战略》,阐述了政府为确保网络空间安全和建立有弹性的数字生态系统所将采取的行动。行动中有两大关键举措:第一,保卫网络空间的责任将从个人、小企业和地方政府转移到最有能力和最有条件为所有人减少风险的组织上;第二,政府将重新调整激励机制并鼓励长期投资,使得为应对当下紧急威胁和为有弹性的未来进行投资之间取得审慎的平衡。
该战略所涉及的五项主题分别为:
1.捍卫关键基础设施:扩大最低网络安全要求所覆盖的关键部门范围,并减少遵守法规所带来的负担;以所需的速度和规模促进公共和私营部门的合作。
2.打击和瓦解威胁者:战略性地使用国家工具来瓦解攻击者;同时通过可扩展的机制,吸纳私营部门作为打击力量;与国际伙伴同步解决勒索软件的威胁。
3.塑造市场力量以提升安全性和复原力:加强隐私和个人数据的安全;将责任从终端用户转移到数据和系统的所有者、经营者以及建立和服务这些系统的技术供应商身上;促进对安全和有弹性的新型基础设施的投资。
4.投资于有弹性的未来:减少互联网基础和整个数字生态系统中的系统性技术漏洞;优先考虑下一代网络安全技术的研发,如后量子加密、数字身份方案和清洁能源基础设施等;培养一支多样化且强大的国家网络工作人员队伍。
5.加强国际合作以实现共同的目标:与合作伙伴通过联合准备、响应和资金投入来对抗数字生态系统所受到的威胁;提高合作伙伴在和平时期与危机中抵抗网络威胁的能力;通过合作,为信息通信技术的相关产品和服务建立起安全、可靠和可信赖的全球供应链网络。
来源:World Economic Forum网站、The Hacker News网站、白宫官网、欧盟官网
整理:王雅静