随着互联网与数字化技术的普及，个人、企业正面临着大量软件攻击的风险。随着时间的推移，这些网络攻击者变得更加专业，“进化”速度甚至超过了组织防御所需的时间。根据安联全球企业与特种企业风险晴雨表，网络风险连续第三年成为公司担心的第一大风险。预防网络风险正在成为公司治理的一个重心之一。

更具体来说，目前企业正面临着什么样的风险？网络安全从业者们所面临的挑战又有哪些？

今天我们请到了欧立腾（ALTEN）的LaurentVromman，来分享他在网络安全方面的趋势观察：

LaurentVromman

Director of IT Practices and Cybersecurity Practice Manager, ALTEN

网络安全 · 新趋势之一：更多的网络攻击群体

网络“黑手党”和个人黑客等网络攻击群体越来越多。更可怕的是，他们正在汇集资源和基础设施，以便更有效地“提供新服务”。一些商业模式——如 "平台即服务"、"软件即服务 "等，现在正被扩展到网络攻击 —— "勒索软件即服务"（RaaS）：第三方选择一个目标，由RaaS平台进行攻击，然后与基础设施供应商分享收益。这些服务越来越多样化，不仅包括勒索软件，还包括网络钓鱼和DDoS......

这也导致了一类新网络犯罪分子的出现：他们并不是技术专家，却能通过现成的RaaS产品，实现大规模、复杂的网络攻击。

这也是为什么，许多企业开始将网络安全方面的项目承包给欧立腾（ALTEN）这样的服务商，以帮助他们直接获得潜在的（而且是越来越多的）重要的技术知识，边做边检测安全缺陷和漏洞组合等。

网络安全 · 新趋势之二：更复杂的网络攻击技术

现有的众多网络攻击技术，大多数都是多载体的，有三种要特别警惕：勒索软件、分布式拒绝服务攻击（DDoS）和供应链攻击。

勒索软件

勒索软件的突出特点是挟持个人数据为“人质”，并声称可赎金（通常是加密货币）归还。

首先，这种类型的攻击越来越有针对性和结构化：因为一些组织比其他组织更愿意支付赎金。因此，近年来选择支付赎金的组织比例激增，现在几乎有65%的公司选择至少支付所要求的部分赎金。

勒索软件也是一种受 "以……为服务 "规则约束的攻击，使其可以为所有人所用，而实施的复杂性则由服务运营商包办。

最后，有必要提及下黑客们开发的一个新 "想法"。黑客在对数据加密前，还窃取了它。因此，不能保证一旦从黑客那里恢复了数据，就不会被他们以某种方式保留下来，用于未来潜在的攻击。

DDoS攻击

DDoS攻击指的是通过成千上万的“肉鸡”发起的攻击请求占用服务器各项资源。近年来，DDoS攻击越来越频繁，其规模记录在8年内增加了4倍。

相关的趋势是，由于DDoS转变为 "DDoS即服务"，进行这种攻击的价格已经大大降低。这些服务使第三方组织能够利用共享的基础设施进行攻击。

供应链攻击

网络安全中的新攻击：供应链攻击。它的原理，是攻击目标的一个供应商，以打击目标本身。这种攻击类型的风险正在增加。

第一种攻击模式是通过弹射供应商网络来攻击网络。最引人注目的例子是北美零售商塔吉特（Target）的例子：2013年，黑客利用供应商通过网络钓鱼活动获得的空调系统访问权，闯入塔吉特的信息系统。这种形式的访问通常具有与空调设备管理相关的纯技术用途，不被认为是敏感的，但仍然构成了与公司网络的联系，黑客得以利用。

第二种攻击模式是利用软件生产链来感染合法程序。不同之处在于它针对开源组件的方式，使其传播范围可能更广，速度更快。与流行的看法相反，开放源码——其可验证的开放代码——并不能保证其经过适当的审查和验证，因而安全。面对现有软件的数量和与之相关的数十亿行代码，详尽和完美的检查是无法实现的，而且缺陷（无论是否有意）很容易溜进去。因此，一些黑客组织利用这一点增加漏洞。

网络安全 · 新趋势之三：更大的风险防控挑战

随着网络威胁的加剧，首席信息安全官（CISO）在试图控制相关风险时面临的挑战也越来越多。

业务推动 Vs.风险控制

首席信息官（CIO）的主要任务是成为 "业务推动者"，首席信息安全官（CISO）的作用是控制风险。

CIO - 业务推动者

✔ 负责安全政策的技术方面

✔ 保护信息系统的安全

✔ 确保信息系统得到安全维护

CISO - 风险控制者

✔ 衡量风险和威胁

✔ 指定安全政策

✔ 检查这些政策的应用情况

✔ 管理网络安全解决方案

✔ 检测和应对攻击

网络安全解决方案的部署需要这两个职能部门携手合作：CISO负责安全政策的制定与实施；CISO也需要独立于CIO，以便在网络投资方面对优先事项进行适当的排序。

深度防御：在所有层面上进行保护

几年前的网络安全更多指周边安全（防火墙、DMZ、VPN、IDS/IPS等）。现在的网络安全包括了物理安全（徽章、监控、摄像头等）、网络安全（网络分段、加密、探测等）、设备和服务器（打补丁、加固、ACL、监控/AV/EDR等）、应用程序（IAM、ACL、MFA、更新、漏洞管理、DevSecOps等）、数据（静态加密、DLP等）以及通过政策和程序（威胁管理、标准、培训、意识等）的组合。

鉴于威胁的多媒介性质，这种深度防御更有必要，因为物理访问可以通过网络攻击等手段打开，反之亦然。因此，每一个数据项目和应用都必须考虑到每一个层面，而且每一个层面都必须持续维护。

身份访问管理：控制不可控因素

身份、访问和权利管理（IAM）是一个越来越复杂的问题。这不再仅仅是活动目录（公司目录）中密码的最小长度问题，而是随着时间的推移，对身份和相关权利的管理。

这也是CISO正面临的真正挑战：控制权利、访问和身份的生命周期。很多时候，这些生命周期没有被控制的原因是我们不知道如何跟踪相关使用惯例背后的相关性和基本问题：这样的账户已经存在了X年，提供了对这样的工具和信息的访问，今天是否还在使用？有多少人可以使用它？如果我们删除一个不再符合标准的工业系统相关的账户，我们是不是有可能损害正在进行的运营活动，有时与巨大的财务利益相关？这些都是CISO可能会遇到的问题。

很少有公司在这一领域达到成熟，但对IAM已经变得非常重要，因为大多数攻击都涉及不良访问管理或不良授权分割。在实现这一最终目标之前，CISO将首先必须逐步建立一个更加综合和集中的系统。而这需要依靠一个结构良好的活动目录，用工具和程序来管理特权账户（拥有更多权限的账户），然后将身份和访问生命周期管理过程扩展到公司的所有用户和IT系统。这个反复的过程需要深入的组织、技术和培训方面的改变，而且通常要进行几年的时间。

保护云：一个新的当务之急

越来越多的数据被托管在云中。这一技术现实导致了特定WAF、CASB、数据安全、访问管理等保护方法的出现。很少有工作人员接受过云保护方面的培训，这也是另一个挑战所在：扭转这一趋势，招聘到这种有经验的工作人员。

DevSecOps还是SecDevSecOpsSec？端到端的安全

DevSecOps 是“开发、安全和运营”的缩写，在软件开发生命周期的每个阶段自动集成安全性，从最初的设计到集成、测试、部署直至软件交付。每个人都在谈论它；但在现实中完全考虑到安全概念的项目太少。

太多时候，开发人员将安全视为影响开发框架甚至是基建团队的问题："Laurent Vromman说："就个人而言，我甚至将其称为SecDevSecOpsSec文化，这样就不会暗示安全只在开发和部署之间进行管理，而是自始至终：在整个软件生命周期中，从架构阶段开始，甚至在其运行过程中，因为新的漏洞不断出现，你必须不断地学习如何保护自己免受其害。”

投资、支持、培训、工具......这些都是CISO必须利用的资产，在公司内部和外部发起变革，以了解和控制网络风险。