2023年七大网络攻击手段预测

news2024/11/24 13:11:35

受疫情和网络攻击的加持下，2022年对网络安全领域的人来说并不是轻松的一年，一系列备受瞩目的网络攻击、数据泄露事件打的网安人手忙脚乱，供应链攻击、勒索软件攻击、业务欺诈、关键基础设施攻击、大规模数据泄露、地缘政治相关黑客攻击等网络犯罪威胁持续上升。同时随着网络攻击产业化趋势的上升，网络攻击成本在不断降低，攻击方式也更加先进，关键信息基础设施面临的网络安全形势日趋严峻，对企业和社会造成严重威胁。

今年网络攻击造成的损失也在不断刷新新的历史记录，网络攻击几乎每时每刻都在发生，给无数的企业、个人、政府带来巨大的损失。根据Cybersecurity Ventures 最新发布的 “2022 年网络犯罪报告”，预计 2023 年网络犯罪将给全世界造成 8 万亿美元的损失。随着威胁行为者尝到网络攻击低成本高收益的甜头，在接下来的一年中，针对企业发起的网络攻击只会逐步增多，并且攻击手段大概率会出现在以下几类网络攻击中：

针对员工发起的钓鱼攻击

随着我们的生态系统变得越来越复杂，针对一个被忽视的细节发起的攻击就有可能对整个网络和基础设施造成灾难性后果，在企业的整个组织架构中，员工是最容易被忽视的点，也是最容易被突破的点。在2023年经济将进一步下滑的大背景下，财务压力、工作不稳定和不断上涨的生活成本将给企业员工带来巨大伤害。在这种负担下，人们往往更容易疲劳、注意力不集中，更容易出错，因此威胁行为者利用社工手段针对普通员工发起的钓鱼攻击就有发挥的空间，例如员工随意点击钓鱼网站或者无意中下载了恶意软件都有可能为威胁行为者打开大门。

不断发展的勒索软件

勒索软件当然不是威胁领域的新事物。正如2022 年网络钓鱼状况报告所揭示的那样，超过三分之二的企业在过去一年中至少经历过一次勒索攻击。像LockBit、Conti和Lapsus$三大勒索组织今年也空前活跃，仅上半年，全球共发生28亿次恶意软件攻击和2.361亿次勒索软件攻击，政府网站、电力能源、制造业、金融业、医疗业等行业饱受勒索软件困扰。

随着威胁行为者不断升级勒索攻击方式，它可能会在2023年造成更大的破坏。尤其是一些黑客在发起勒索攻击中越来越多地选择使用双重勒索技术来加密文件并从受害企业中窃取数据，这一趋势在未来发生的勒索攻击事件中会逐步增加。

供应链攻击备受关注

今年发生的SolarWinds和Log4j供应链攻击为网络安全领域的人敲响了警钟，威胁行为者一旦尝到供应链攻击带来的甜头，恐怕针对供应链的攻击就只会越来越多。根据行业估计，供应链攻击现在占所有网络攻击的50％，去年同比激增了78％。多达三分之二的公司经历了至少一次供应链攻击事件，平均成本高达110万美元。

而以下的因素是造成供应链攻击增长的主因：供应链的云化、物联网、全球化以及向庞大互联的数字生态系统的转型是主要因素；其他因素还包括地缘政治，以及有组织犯罪也渴望利用薄弱的供应链联系。

Deepfakes威胁不断上涨

今天的Deepfakes技术几经发展，已经从“一眼假”变成真伪莫辨的“实时换脸”，而且门槛极低，只需要通过一款软件，几张图片，即可一键生成。而一系列的网络安全事件也充分表明，Deepfakes引发的信任安全危机可能才刚刚开始。根据VMware最新发布的《年度全球事件响应威胁报告》显示，去年，使用面部和语音替换技术进行网络攻击的数量增长了13%。其中，电子邮件是Deepfakes攻击的主要传递载体，占整体攻击数量的78%。

此外，在接受研究人员调查的网络安全专业人士中，有66%的受访人表示他们在过去一年中发现了至少一起此类事件。事实再次证明，Deepfakes技术用于网络攻击已经从理论威胁演变成了现实危害。