2022年已进入尾声，降低数字化风险、增强安全防御能力依然是众多企业组织数字化发展中的重要需求和目标。随着技术的不断进步，网络攻击者的攻击成本不断降低，同时攻击方式更加先进，美国《福布斯》网站在近日的报道中列出了2023年值得警惕的三大网络安全威胁：网络钓鱼、恶意软件、供应链攻击。

01网络钓鱼频发

网络钓鱼仍然是全球面临的重大网络安全威胁之一

IT行业面临的最常见的安全风险是网络钓鱼，到目前许多人仍然因网络钓鱼电子邮件而中招。黑客利用越来越复杂的技术来生成执行良好的商业电子邮件泄露攻击 (BEC) 以及恶意 URL。

与此同时，攻击者的攻击方式也变得更加老练。他们已开始调查潜在受害者以收集信息，这些信息可以让他们的攻击更有针对性，同时增加网络钓鱼攻击成功的可能性。攻击者会尝试使用测试电子邮件地址并查看谁会做出反应，这种方法也叫做诱饵攻击。
根据 Barracuda 的2021年9月的一份报告显示，在参与调研的10500公司中，有35%的受访者表示他们所在的公司遭受过至少一次诱饵攻击，其中每封邮件平均可以到达每个企业的三个不同的邮箱。

幸运的是，邮件过滤技术有了显着改善。目前邮件服务提供商能够过滤掉不可靠来源，并且不包含恶意负载。不过相比之下，给予员工更全面的安全意识教育也同样重要，比如不随意点开来路不明的邮件以及其携带的附件，这可以从根本避免网络钓鱼攻击带来的危害和损失。

此外，企业还可以借助给予人工智能的防御来避免网络钓鱼攻击，人工智能可以通过从各来源收集的信息，包括通信图，信誉系统和网络分析，以防御网络钓鱼攻击。

02恶意软件勒索事态恶化

恶意软件是以恶意意图编写的软件的统称，包括病毒软件、勒索软件和间谍软件。恶意软件威胁可能会导致计算机系统、服务器或公司网络中断，还可能导致私人信息泄露。

目前，世界上最流行的恶意软件攻击类型之一就是勒索软件攻击。攻击者获得对信息或系统的未经授权访问，或完全剥夺用户对信息的访问权限，直到公司或用户向黑客支付一定金额的钱，才能恢复对数据的访问或解密。

例如今年1月，美国新墨西哥州最大的县就受到勒索软件攻击的影响，导致多个公共事业部门和政府办公室系统下线，此次勒索软件攻击还致使监狱系统下线。

今年2月底，全球芯片制造巨头英伟达被曝遭到勒索软件攻击，入侵者成功访问并在线泄露了员工私密信息及登录数据，黑客向英伟达索取100万美元的赎金和一定比例的未指明费用。

除了对系统的访问被阻止外，实施恶意软件攻击的犯罪者还可能在网上发布机密数据。比如今年3月，国际黑客组织“匿名者”宣布，他们成功入侵了全球最大食品制造商雀巢公司的网络，并披露了10吉字节的敏感数据，包括公司电子邮件、密码和与商业客户相关的数据。相关数据显示，2020年全球超过1000家公司因未向勒索软件要求低头而遭到数据泄露。

瑞士网络安全公司Acronis此前发布警告说：“勒索软件事态正在恶化，甚至比我们预期的还要严重，预计到2023年，全球勒索软件损失将超过300亿美元。”

03供应链攻击呈爆发增长

当供应商向客户提供的产品、服务或技术遭到黑客攻击并对客户群构成威胁时，就是遭到了供应链攻击。这可能是供应商的电子邮件帐户被欺诈性地用于社交工程目的或提高恶意软件感染的可能性。更复杂的网络攻击可以利用供应商网络的特权访问来入侵目标网络。

其中一个例子来自软件供应商SolarWinds公司，该公司的一个软件系统的供应链在去年12月底遭到攻击。

网络攻击者用恶意软件修改了该公司软件的签名版本，然后利用该软件感染了1.8万家私营企业和政府机构。一旦它被安装到目标的运营环境中，病毒就会传播到更大的攻击向量中。

根据Gartner公司发布的数据，到2025年，软件供应链可能面临攻击的企业数量将是2021年的三倍。

为了优先考虑数字供应链风险，并向供应商施加压力，要求他们展示安全最佳实践，安全和风险管理专业人员必须与其他部门在安全方面开展合作。

参考：blog.barracuda、企业网D1Net、科技云报道、Gartner