全球網路安全解決方案領導廠商 Check Point® Software Technologies Ltd.(NASDAQ股票代碼:CHKP)發佈 2023 年網路安全趨勢預測,列舉企業在未來一年將面臨的安全挑戰。
相較 2021 年,2022 年第三季各產業遭遇的網路攻擊增加 28%,Check Point 預測在勒索軟體漏洞攻擊持續增加、由國家支持的駭客激進主義(state-mobilized hacktivism)因國際衝突不斷演進的情況下,全球網路攻擊事件將繼續大幅增長。同時,隨著全球 340 萬資安人才缺口進一步擴大,各組織資安團隊面臨的壓力將持續增加;各國政府也需要採取新興資安法規,保護國民免受資料外洩威脅。
2022 年,網路犯罪份子和由國家支持的攻擊者持續趁各組織採取混合辦公模式時發動攻擊;在新冠疫情與俄烏衝突持續影響全球之時,網路攻擊加劇的態勢也絲毫未減緩。Check Point 建議各組織整合並自動化自身的安全基礎建設,進一步監控及管理攻擊表面,以較低複雜性和精簡人力有效防禦各類型威脅。
2023 年網路安全趨勢預測分為四種類型,包含惡意軟體與網路釣魚、駭客激進主義、新興政府法規及安全整合。
趨勢一:惡意軟體與駭客漏洞攻擊劇增
- 勒索軟體有增無減:勒索軟體為 2022 年上半年組織面臨的主要威脅,其生態系將不斷演變和升級,以更小、更敏捷的犯罪群體活動規避法規。
- 破壞協作工具:儘管針對企業和個人電子郵件的網路釣魚攻擊威脅已屢見不鮮,預期在 2023 年犯罪份子將擴大其攻擊範圍,利用網路釣魚程式向 Slack、Microsoft Teams、Microsoft OneDrive 和 Google Drive 等協作工具發動攻擊;因大多數組織的員工仍經常遠距辦公,這些工具中皆包含大量敏感資料。
趨勢二:駭客激進主義與不斷演進的 Deepfake(深偽技術)
- 由國家支持的駭客激進主義:過去一年中,駭客主義已經從沒有具體規範的社群團體,例如駭客組織匿名者(Anonymous),演變為由國家支援、更有組織性也更為複雜的群體;近期美國、德國、義大利、挪威、芬蘭、波蘭和日本皆淪為攻擊目標,預期這類因意識形態而起的攻擊將於 2023 年更加嚴重。
- Deepfake 武器化:今年 10 月美國總統 Joe Biden 在演講中獻唱《鯊魚寶寶》而非美國國歌的深偽影片被廣泛傳播,令人不禁猜測這究竟是個玩笑亦或是企圖影響美國期中選舉的舉措;深偽技術將愈加頻繁被用於發動攻擊及操縱訊息,或誘騙員工交出存取憑證。
趨勢三:各國政府加緊採取防護措施
- 關於資料外洩的新興法律:澳洲電信公司 Optus 資料外洩事件促使該國政府頒佈電信業者均須遵守的全新資料外洩法規,保護消費者免於承受隨之而來的詐欺風險。2023 年除了歐盟一般資料保護規則(GDPR)等現有措施外,預期其他國家也將陸續效法澳洲推行相關法律規範。
- 國家網路犯罪工作小組成立:愈來愈多國家將效仿新加坡成立跨機構工作小組,聯合企業、國家相關部門及執法部門,應戰勒索軟體及網路犯罪,打擊對企業及消費者來說日益嚴峻的威脅。對於此類工作小組的需求增加是因為人們開始懷疑在資安事件發生時,網路保險業者是否真有其作用。
- 強制要求將安全與隱私納入設計:汽車業已採取此措施保護車主資料,預期此方法將進一步應用於其他消費品領域在儲存和處理資料的過程中,要求製造商對其產品漏洞負責。
趨勢四:整合為關鍵
減少複雜性以降低風險:2022 年,全球網路技能落差(cyber-skills gap)擴張了超過 25%。由於新冠疫情爆發,企業的分散式網路與雲端部署比以往更加複雜,資安團隊需整合其 IT 和安全基礎建設,提升防禦能力並減少工作量,進而有效抵禦威脅。據 Check Point 調查,超過三分之二的資安長(CISO)認為使用較少廠商的解決方案有助於提升企業安全。