2023年三大网络安全威胁不容忽视

随着技术的不断进步，网络攻击者的攻击成本不断降低，同时攻击方式更加先进，美国《福布斯》网站在近日的报道中列出了2023年值得警惕的三大网络安全威胁：网络钓鱼、恶意软件、供应链攻击。

网络钓鱼仍然是全球面临的重大网络安全威胁之一。

网络钓鱼指通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息的一种攻击方式，其唯一目的是窃取个人或组织数据，包括登录凭据和信用卡卡号等。

攻击者很容易伪装成信任的人。根据《2022年Verizon数据泄露调查报告》显示，网络钓鱼是社会工程相关事件的罪魁祸首，占比超过60%。

今年3月底，有黑客组织伪装成政府执法部门向互联网公司套取用户数据，以发送虚假法庭传票的方式获取目标特许数据。数据勒索团伙成功入侵了微软、英伟达、苹果等巨头内网窃取数据，包括用户的基本信息，如家庭住址、电话号码、IP地址等。

美国的一项研究显示，与前一年相比，2021年有更多组织至少遭遇了一次基于电子邮件的网络钓鱼攻击。这一趋势预计将在2023年继续。

恶意软件勒索事态恶化

恶意软件是以恶意意图编写的软件的统称，包括病毒软件、勒索软件和间谍软件。恶意软件威胁可能会导致计算机系统、服务器或公司网络中断，还可能导致私人信息泄露。

目前，世界上最流行的恶意软件攻击类型之一就是勒索软件攻击。攻击者获得对信息或系统的未经授权访问，或完全剥夺用户对信息的访问权限，直到公司或用户向黑客支付一定金额的钱，才能恢复对数据的访问或解密。

据微软旗下网络安全公司RiskIQ的数据，全球每分钟就有6家企业遭到勒索攻击，每年有315万家企业遭到勒索攻击。

甚至勒索攻击产业也发展出“勒索软件即服务”的黑灰产模式。

有开发者开发勒索软件包、支付工具等，也有人执行勒索攻击并负责与受害者沟通。

勒索软件攻击者在与网络犯罪分子和受害企业接触的过程中，也通过客户服务和满意度调查使自身行为变得越来越“有序”。

供应链攻击呈爆发增长

《福布斯》双周刊网站在报道中指出，许多公司花费时间和金钱来保护外围和内部系统，但很少关注第三方——包括供应商、合作伙伴、承包商和服务提供商的网络安全，网络供应链攻击因此趁虚而入。

供应链攻击指的是对于供应链所发动的网络攻击。攻击者会将供应链作为攻击对象，先攻击供应链中安全防护相对薄弱的企业，再利用供应链之间的相互连接，如软件供应、开源应用等，将风险扩大至上下游企业，产生攻击涟漪效应和巨大的破坏性。供应链攻击的手段包括：利用第三方应用程序、利用开放源代码库中包含的漏洞等等。供应链攻击往往牵涉到更多的企业，且更具破坏性，甚至会给整个行业带来巨大的影响。

近年来，供应链攻击事件呈现爆发增长的态势，欧洲网络和信息安全局发布的《供应链攻击的威胁分析》报告指出，和2020年相比，2021年供应链攻击已经显著提升。以色列一项研究表明，与2020年相比，2021年软件供应链攻击增长了300%以上，这一趋势预计还会持续增加。

（图源网络，侵删）