Gartner：有效抵御最可能的网络威胁

DX推动的持续技术变革扩大了恶意行为者可以利用的攻击面。保护数字资产要求CISOs监控和响应这些变化。

确定影响最大的网络安全威胁以集中资源

解决每一个潜在的威胁在操作上总是不可行的。鉴于数字化转型、云计算、混合工作和其他趋势扩大了攻击面，现在更是如此。SRM负责人必须将其活动和资源集中在最有可能和最具影响力的网络安全威胁和威胁暴露上。这些分为以下三类：

头号威胁。组织高度意识到的威胁，由于战术的不断变化，这些威胁年复一年仍然存在。
高强度威胁。威胁在增加，但对其的认识低于主要威胁。
不确定的威胁。“低信号”威胁，可能是新出现的危险威胁，也可能是过度宣传和分散注意力的威胁，具体由组织决定。

安全领导者在决定是否投资于应对特定威胁时，会受到几个因素的指导，无论这些威胁属于哪个类别：

相关性：威胁会影响我们的运营连续性吗?
紧急程度：这种威胁会影响我们的运营能力吗？会影响到什么程度？
成熟度：万一威胁影响到我们，我们是否有有效的应对计划？
机会成本：解决威胁的成本是否超过了威胁影响本身的成本？
可测量性：我们能向商界领袖证明投资保护自己的价值吗？

收集关于过去事件的不同类型的信息，以便决定在当前和未来优先考虑或取消哪些威胁场景。分析故事、统计数据和业务变化，从过去获得见解。然后准备并判断威胁形势的趋势，以决定现在和未来投资、加速或放弃哪些控制措施。

动态的商业环境也应该影响哪些网络安全威胁应该优先考虑。此外，未知的拐点可能会改变威胁形势。因此，一定要预留一些预算来应对不可预测的威胁。

主要威胁

继续关注因微小变化而带来高风险的常见威胁

在过去十年左右的时间里，同样的妥协类型以最高的频率产生了最高的影响。具体来说，恶意软件、网络钓鱼和凭据滥用。如果业务利益相关者认为风险已经得到解决，那么他们可能很难获得对这些常见威胁的支持。相反，安全和风险管理领导者应该强调，即使宏观威胁相同，与之相关的微观趋势也会发生变化。例如：

恶意软件/勒索软件

勒索软件即服务（RaaS）使攻击者能够使用现有的勒索软件工具来执行网络勒索攻击。政府机构继续合作努力摧毁一些较大的恶意软件基础设施，但攻击者只是转向新方法。例如，勒索软件运营商正在从单纯依赖加密转向其他形式的网络勒索，包括不可恢复的数据损坏、硬件损坏、数据盗窃和数据挖掘。由于标准更加严格，组织也看到了支付赎金的更多风险和网络保险的更少保护。

不断演变的网络钓鱼策略

网络钓鱼涉及使用多种渠道收集信息，主要是电子邮件，但也包括协作平台、社交媒体、短信（smishing）、语音信息（vishing）甚至快速响应（QR）码。

成功的网络钓鱼通常是导致其他影响的第一步，例如数据泄露、凭据被盗、组织的声誉和财务损失。攻击者继续发展他们的技术，改进目标内容、自动化和更逼真的模仿。网络钓鱼仍然是数据丢失事件的主要原因。利用难以察觉的社会工程，方法变得越来越复杂。

凭据滥用

凭据滥用包括攻击者能够以员工（或其他能够合法访问企业基础架构、应用程序和数据的人）身份登录或劫持活动会话的情况。近年来，威瑞森关于数据泄露的年度报告显示，被盗凭据是这些攻击的最重要载体。许多现代攻击已经击败了多因素身份验证方法，尽管它们仍然是阻止ATO的最佳实践方法，尤其是在使用现代身份验证方法和流程的情况下。

高势头威胁

提高对低调的高势头威胁的了解和认识

高势头威胁代表着组织的高风险，但除非您的组织或行业中的其他组织受到攻击，否则人们通常不太了解这些威胁。

适应高势头威胁要求安全领导者增加他们对可能成为目标的业务资产的了解。API和信息物理系统（CPS）就是两个例子。对这些资产的攻击可能不会影响组织中的每个人，但会利用组织安全态势中不成熟的领域。

高势头威胁的示例包括：

客户账户接管

在客户账户接管（客户ATO)中，攻击者能够以您服务的客户身份登录。尽管适用于任何涉及客户登录的B2C服务，但这在金融服务、允许客户存储支付卡详细信息的数字商务服务、加密货币钱包和交易所账户以及忠诚度计划账户中最为普遍。

社交工程仍然是一种主要的攻击方法，尽管它已经从攻击者试图获取受害者的凭据发展到授权推送支付（APP）欺诈，受害者以虚假借口从他们的账户中汇款。安全团队很难发现这一点，因为受害者自己正在登录他们的账户。通过模仿真正B2C品牌的网站、社交媒体账户或应用程序进行品牌模仿是另一种方法。

云风险

随着云使用量的增加，云服务的广度和攻击面不断扩大。最大的危险仍然是客户对其云环境的错误配置。当针对任何规模的云提供商的攻击成功或基础设施中断发生时，后果可能是广泛的。然而这是罕见的。云的使用似乎为大多数最终用户带来了安全性和可用性优势。

API滥用

APl滥用是指滥用组织生产的APl，利用技术漏洞或业务逻辑。攻击者的目标是提取数据。攻击技术包括APl数据抓取和帐户暴力破解。即使更成熟的应用程序安全计划现在包括保护APlI的指导原则，大多数公司仍然没有采取行动来解决API安全挑战的规模和特殊性。

由于API流量的增长速度超过了大多数安全团队的处理能力，这一挑战正在不断演变。此外，API正在成为访问企业数据和应用程序功能的主要方式。

针对网络物理系统（CPS）的攻击

CPS也被称为物联网（loT)、工业物联网（IloT）、机器人或智能系统，旨在与物理世界进行交互。当它们相互连接并连接到企业系统时，它们极大地扩大了攻击面，并带来了人类安全和环境风险。

国家行为者过去一直垄断着对CPS的定向攻击，但勒索软件组织变得越来越激进，即使他们正在开发逃避检测的解决方案。此外，专门针对工业CPS的破坏性恶意软件的列表正在不断增长和加速。

不确定的威胁

确定任何不确定的威胁是否代表当前的风险来源

不确定的威胁没有强大的事实基础支持。它们可能很显眼、很新，或者很老，但它们是最难解决的问题，因为它们每年都在变化，并且非常容易受到过度炒作或不确定性的影响。

不确定的威胁分为以下四类：

新生。这些威胁属于生产环境中不存在的新兴架构和技术。对于大多数组织来说，这些威胁不代表生产风险。
炒作。根据轶事证据，炒作的威胁突然获得了很多关注。它们可能存在风险，但这些例子分散了安全领导者对基础和长期工作的注意力。2023年初基于ChatGPT的攻击就是很好的例子。
新兴的。对于企业采用的新技术带来的威胁，安全团队缺乏强大的预防、检测和响应能力。
潜伏。基于攻击者会利用更容易的目标这一假设，潜在威胁具有大多数组织都无法察觉的共同属性。

不确定威胁的示例包括：

使用AI的攻击者

Gartner将人工智能定义为应用高级分析和基于逻辑的技术（包括机器学习【ML】）来解释事件、自动化决策和采取行动。攻击者可以使用人工智能技术通过缩短实现战略目标的时间或规避安全控制来改进他们的攻击。然而，实际使用的例子有限，最接近有效使用人工智能的迹象来自攻击者经常光顾的论坛。

潜在的方法包括：使用视频和音频内容的社会工程；网络钓鱼，特别是人工智能生成的网络钓鱼电子邮件；半自动恶意软件创建，以加速恶意软件开发并更好地避免检测；安全控制旁路，例如使用ML创建恶意软件变体或挫败图像识别；以及使用机器学习技术破解密码的密码黑客。

对AI的攻击

随着人工智能模型变得越来越普遍，攻击者正在推进他们的技术来操纵人工智能输出以获得自己的优势。他们还在寻找新的方法来窃取用于训练AI模型的个人和其他敏感数据。操纵Al模型输出的输入是攻击AI应用程序的另一种方式。对于Al模型攻击面，安全控制通常缺乏或薄弱得多。

非技术威胁

非技术网络威胁涉及企业无法自动控制的数字资产，例如与第三方平台和公钥/私钥相关的员工行为和身份。

这些类型的威胁包括：