網(wǎng)絡(luò)攻擊和威脅的增長將提升對攻擊預(yù)測技術(shù)的需求，從而增加網(wǎng)絡(luò)威脅情報（CTI）的應(yīng)用價值。從目前在應(yīng)用實踐中觀察到的情況來看，許多企業(yè)的CTI應(yīng)用局限于管理妥協(xié)指標(biāo)（IOC）提要，這種方式對防范新興的零日攻擊和APT攻擊幾乎無效。2022年，很多企業(yè)已經(jīng)開始轉(zhuǎn)變，在公司內(nèi)部建立全面的CTI能力，并且在安全運營團隊中設(shè)置專門的CTI崗位，這一趨勢將在2023年進一步發(fā)展和成熟。

　　隨著網(wǎng)絡(luò)安全在企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展中的重要性不斷增長，網(wǎng)絡(luò)安全運營工作也得到企業(yè)管理層的高度關(guān)注和重視。日前，卡巴斯基的安全研究人員，分別從外部和內(nèi)部視角，對2023年企業(yè)組織網(wǎng)絡(luò)安全運營工作的發(fā)展態(tài)勢和挑戰(zhàn)進行了預(yù)測，這些運營挑戰(zhàn)將與2023年企業(yè)面臨的安全威脅緊密交織在一起。

　　1、勒索攻擊從加密數(shù)據(jù)轉(zhuǎn)向破壞數(shù)據(jù)

　　（外部因素）

　　網(wǎng)絡(luò)安全已經(jīng)成為國家安全的重要組成部分，地緣政治動蕩將會持續(xù)影響著網(wǎng)絡(luò)攻擊面。在2023年，我們可以預(yù)計網(wǎng)絡(luò)戰(zhàn)的威脅將繼續(xù)存在并進一步加劇，其中最常見的攻擊場景有：對組織員工的攻擊（社會工程），對重要企業(yè)IT基礎(chǔ)設(shè)施的攻擊（DDoS），以及對國家關(guān)鍵基礎(chǔ)設(shè)施的攻擊。另一個重要的趨勢始于2022年，并將持續(xù)到2023年，那就是勒索軟件攻擊不僅會加密受害企業(yè)的數(shù)據(jù)，還會以破壞數(shù)據(jù)作為攻擊手段。這種威脅對那些因為政治動機遭受攻擊的企業(yè)組織來說將會非常普遍。在未來的一年里，這種勒索攻擊威脅注定會快速上升。

　　2、基于邊界滲透的攻擊顯著增長

　　（外部因素）

　　盡管企業(yè)的網(wǎng)絡(luò)邊界正在不斷的模糊和消失，但是在2021年和2022年，卡巴斯基觀察到通過網(wǎng)絡(luò)邊界成功進行初始滲透的攻擊數(shù)量卻在顯著增長。數(shù)據(jù)顯示，這種類型的攻擊數(shù)量在2022年比2021年翻了一番。研究人員發(fā)現(xiàn)，攻擊者從邊界滲透所需的攻擊準(zhǔn)備比發(fā)起一次成功的網(wǎng)絡(luò)釣魚要少，而且一些非常老的安全漏洞仍在持續(xù)暴露并可輕松被利用；我們預(yù)計這種趨勢將在2023年繼續(xù)下去。

　　3、針對科技企業(yè)的供應(yīng)鏈攻擊

　　（外部因素）

　　據(jù)卡巴斯基觀察，攻擊者對大型科技公司和電信運營商的攻擊興趣在不斷提升。根據(jù)卡巴斯基MDR報告數(shù)據(jù)顯示，2021年電信行業(yè)安全事件統(tǒng)計數(shù)據(jù)為：平均每1萬個應(yīng)用系統(tǒng)中檢測出79起高危事件，42起中危事件，28起低危事件。

　　2022年，盡管高危事件的比例較低，大約每1萬個系統(tǒng)中有12起高危事件，但中危事件卻有60起，低危事件有22起。研究人員認(rèn)為，入侵者通過攻擊電信運營商，可以進一步威脅到他們的客戶。在2023年，卡巴斯基預(yù)計通過電信運營商和大型科技企業(yè)進行的供應(yīng)鏈攻擊數(shù)量將會增加，這些供應(yīng)商還通常會提供額外的托管服務(wù)。

　　4、有國家背景組織發(fā)起的網(wǎng)絡(luò)攻擊

　　（外部因素）

　　數(shù)據(jù)顯示，過去幾年，從關(guān)鍵基礎(chǔ)設(shè)施企業(yè)到政府機構(gòu)等行業(yè)都受到更具針對性的網(wǎng)絡(luò)攻擊威脅，曾遭受過針對性攻擊的組織面臨二次攻擊的可能性仍然很高，因為這是威脅行為者的長期目標(biāo)。這一點在政府組織中尤為明顯，它們往往受到有國家支持的非法團伙攻擊。


　　地緣政治沖突通常伴隨著信息戰(zhàn)，而媒體組織也不可避免地發(fā)揮著重要作用。近年來，卡巴斯基觀察到針對這一領(lǐng)域的攻擊在穩(wěn)步增長，2022年的統(tǒng)計數(shù)據(jù)證實了這一趨勢，大眾媒體也是攻擊者的主要目標(biāo)之一。到2023年，媒體和政府組織很可能仍將是最常受到攻擊的領(lǐng)域，高危事件的比例可能會增加。為了有效防范一些有針對性的攻擊，企業(yè)組織可以考慮將主動威脅搜索與MDR結(jié)合使用。

　　5、安全運營團隊如何降本增效

　　（內(nèi)部因素）

　　企業(yè)安全運營工作發(fā)展的未來在于集約而非粗放的增長，這意味著每個安全運營團隊成員的價值產(chǎn)出需要持續(xù)增長。企業(yè)需要不斷開發(fā)安全運營團隊的技能，以應(yīng)對2023年企業(yè)可能面臨的安全威脅。這意味著企業(yè)需要加強事件響應(yīng)訓(xùn)練和所有形式的安全運營演習(xí)，如TTX、安全紅隊和入侵攻擊模擬，都應(yīng)該成為2023年企業(yè)安全運營戰(zhàn)略計劃制定的重要組成部分。

　　在實際安全運營中，很多企業(yè)缺乏熟練和有經(jīng)驗的安全人員，這種趨勢在2023年將繼續(xù)存在。為了應(yīng)對挑戰(zhàn)，企業(yè)需要明確定義規(guī)范合理的安全運營流程，優(yōu)化提升安全運維人員的工作效率。因此，卡巴斯基預(yù)測，2023年企業(yè)對安全運營流程開發(fā)和相關(guān)服務(wù)的需求將越來越大。

　　6、更高的預(yù)算成本和投入

　　（內(nèi)部因素）

　　不斷增長的數(shù)字威脅環(huán)境正在推動企業(yè)組織網(wǎng)絡(luò)安全建設(shè)和安全運營預(yù)算飆升。這一趨勢將把企業(yè)管理層的關(guān)注點集中在安全預(yù)算支出上，引發(fā)有關(guān)“為什么？”“效果是什么？”以及“它能帶來什么價值？”等問題的思考。這些問題主要就是針對網(wǎng)絡(luò)安全運營團隊的。

　　在此背景下，企業(yè)應(yīng)該盡快開展安全運營效率管理計劃。企業(yè)需要評估業(yè)務(wù)中斷或違約成本，并將其映射到安全預(yù)算投入上，以減少此類安全事件的發(fā)生。通過開展安全運營效率管理，可以讓安全運營團隊合理評估他們創(chuàng)造的價值。但在實施這種方法之前，企業(yè)組織需要制定有效的評價指標(biāo)及分析方法，并建立較完善的安全運營流程。

　　7、更全面的威脅情報支撐和威脅搜索

　　（內(nèi)部因素）

　　網(wǎng)絡(luò)攻擊和威脅的增長將提升對攻擊預(yù)測技術(shù)的需求，從而增加網(wǎng)絡(luò)威脅情報（CTI）的應(yīng)用價值。從目前在應(yīng)用實踐中觀察到的情況來看，許多企業(yè)的CTI應(yīng)用局限于管理妥協(xié)指標(biāo)（IOC）提要，這種方式對防范新興的零日攻擊和APT攻擊幾乎無效。2022年，很多企業(yè)已經(jīng)開始轉(zhuǎn)變，在公司內(nèi)部建立全面的CTI能力，并且在安全運營團隊中設(shè)置專門的CTI崗位，這一趨勢將在2023年進一步發(fā)展和成熟。

　　此外，“假設(shè)妥協(xié)范式”（AssumeBreachParadigm）將在2023年繼續(xù)存在，這意味著主動的威脅搜索可能成為一種趨勢，并成為未來企業(yè)安全運營戰(zhàn)略的重要組成部分。由于威脅搜索是安全運營體系中檢測能力的關(guān)鍵部分，因此企業(yè)組織應(yīng)該考慮定期進行威脅搜索，并制定明確的威脅發(fā)現(xiàn)目標(biāo)，以了解如何持續(xù)地實現(xiàn)這些目標(biāo)。

　　參考鏈接：https://securelist.com/soc-socc-predictions-2023/108512/