安全云架構有哪些關(guān)鍵步驟？

配置錯誤的興起始于2018年，主要是由沒(méi)有適當訪(fǎng)問(wèn)控制權力的云數據存儲實(shí)現驅動(dòng)的……盡管主要云計算提供商努力使默認配置更安全，但這些錯誤仍然存在。

云計算網(wǎng)絡(luò )攻擊并不像人們想像的那樣驚心動(dòng)魄，現實(shí)生活中的劇本更加平淡無(wú)奇。網(wǎng)絡(luò )攻擊者部署自動(dòng)化技術(shù)來(lái)掃描互聯(lián)網(wǎng)以尋找可利用的漏洞。他們得到的是一個(gè)可供選擇的目標虛擬“購物清單”，一旦進(jìn)入云計算環(huán)境，他們就會(huì )利用其架構上的弱點(diǎn)來(lái)查找敏感數據，例如個(gè)人身份信息(PII)可以在幾分鐘內提取出來(lái)，通常是從對象存儲服務(wù)或數據庫快照。

網(wǎng)絡(luò )攻擊者不會(huì )遍歷安全團隊使用傳統入侵檢測和預防解決方案和流程監控的傳統網(wǎng)絡(luò )。企業(yè)正試圖用以往的數據中心安全技術(shù)挫敗當今的云計算攻擊者，并且對云計算威脅形勢沒(méi)有完全了解。

物聯(lián)網(wǎng)碎片化帶來(lái)了哪些挑戰？

隨著(zhù)全球物聯(lián)網(wǎng)設備的數量遠遠超過(guò) 200 億，很明顯，該行業(yè)的受歡迎程度繼續增長(cháng)。將設備連接到互聯(lián)網(wǎng)的 能力允許遠程操作和與其他設備合作。如果物聯(lián)網(wǎng)和人工智能技術(shù)繼續發(fā)展，用不了多久就會(huì )出現第一個(gè)真正的智能家居，即家中的設備由人工智能管家智能控制，可以預測居住者的需求，節約能源，提高整體效率。

但是，盡管物聯(lián)網(wǎng)技術(shù)帶來(lái)了許多優(yōu)勢，但它們仍然存在許多問(wèn)題。其中之一是早期設備缺乏安全措施；第一代物聯(lián)網(wǎng)設備問(wèn)世之際，物聯(lián)網(wǎng)設備易受攻擊的想法還沒(méi)有被構想出來(lái)。當時(shí)的許多工程師認為， 單個(gè)物聯(lián)網(wǎng)設備對黑客來(lái)說(shuō)會(huì )顯得無(wú)趣，而黑客會(huì )將他們的精力投入到攻擊服務(wù)器和主流 PC 上。?

然而，黑客很快就想到了將物聯(lián)網(wǎng)設備用作能夠執行大規模拒絕服務(wù)攻擊的僵尸設備。黑客們還注意到，入侵物聯(lián)網(wǎng)設備也可以進(jìn)入可用于發(fā)起攻擊的本地網(wǎng)絡(luò )，并且還認識到物聯(lián)網(wǎng)設備可用于間諜活動(dòng)。

如何防范 Deepfake 攻擊和勒索

2021 年初，聯(lián)邦調查局發(fā)布了關(guān)于合成內容（包括深度偽造）威脅日益增加的警告，將其描述為“生成或操縱的廣泛數字內容，包括圖像、視頻、音頻和文本”。人們可以使用 Photoshop 等軟件創(chuàng )建最簡(jiǎn)單類(lèi)型的合成內容。Deepfake 攻擊者使用人工智能 (AI) 和機器學(xué)習 (ML) 等技術(shù)變得越來(lái)越老練?，F在，這些可以創(chuàng )建逼真的圖像和視頻。

請記住，攻擊者從事網(wǎng)絡(luò )盜竊業(yè)務(wù)是為了賺錢(qián)。勒索軟件往往會(huì )成功。因此，他們將 deepfakes 用作新的勒索軟件工具是合乎邏輯的舉措。在共享勒索軟件的傳統方式中，攻擊者通過(guò)嵌入誘人的 deepfake 視頻的惡意軟件發(fā)起網(wǎng)絡(luò )釣魚(yú)攻擊。還有一種利用深度偽造的新方法。攻擊者可以向人們或企業(yè)展示各種非法（但虛假）的行為，如果圖像公開(kāi)，這些行為可能會(huì )損害他們的聲譽(yù)。支付贖金，視頻將保持私密。

除了勒索軟件，威脅行為者可能會(huì )將數據和圖像武器化以散布謊言并欺騙員工、客戶(hù)和其他人，或勒索他們。

了解網(wǎng)絡(luò )犯罪的演變以預測其未來(lái)

對網(wǎng)絡(luò )犯罪從 1990 年代開(kāi)始發(fā)展到今天的數十億美元的發(fā)展進(jìn)行分析有一個(gè)壓倒一切的主題：網(wǎng)絡(luò )犯罪作為一項業(yè)務(wù)的發(fā)展密切模仿合法業(yè)務(wù)的發(fā)展，并將繼續發(fā)展以提高其自身的投資回報率.

在早期，黑客攻擊更多的是為了個(gè)人聲望和榮譽(yù)，而不是為了賺錢(qián)——但互聯(lián)網(wǎng)讓人們意識到互聯(lián)網(wǎng)上可以賺錢(qián)。網(wǎng)絡(luò )犯罪的第一階段大致符合 1990 年至 2006 年的時(shí)期。

從這個(gè)簡(jiǎn)單的認識出發(fā)，HP Wolf Security對網(wǎng)絡(luò )犯罪的演變的研究表明，一個(gè)地下業(yè)務(wù)遵循并模仿了地上業(yè)務(wù)生態(tài)系統——包括數字化轉型。高級惡意軟件分析師兼報告作者亞歷克斯·霍蘭德（Alex Holland）表示：“數字化轉型加劇了攻防鴻溝的雙方——例如，‘即服務(wù)’產(chǎn)品的日益普及表明了這一點(diǎn)。這已經(jīng)使惡意活動(dòng)民主化，以至于需要高水平知識和資源的復雜攻擊——曾經(jīng)是高級持續威脅 (APT) 組織的保留地——現在更容易被更廣泛的威脅行為者訪(fǎng)問(wèn)?！?/span>?

面對不斷增長(cháng)的攻擊面，金融業(yè)該何去何從？

近年來(lái)，零日漏洞的不斷加劇、勒索軟件的越發(fā)猖獗以及各種安全威脅的持續升級，使網(wǎng)絡(luò )安全形勢變得愈加嚴峻。金融服務(wù)業(yè)作為前沿技術(shù)的最佳踐行者，面臨的網(wǎng)絡(luò )安全問(wèn)題更加嚴重復雜。尤其在新冠疫情期間，移動(dòng)銀行應用程序、移動(dòng)客戶(hù)服務(wù)以及其他數字工具迅速得到了普及。

根據思科 CISO 基準研究數據表明，2020 年有17% 的公司每天都會(huì )收到 10萬(wàn) 個(gè)或更多的安全警報，這一趨勢在疫情發(fā)生后仍在繼續。數據還顯示，2021 年的常見(jiàn)漏洞和暴露數量創(chuàng )下歷史新高，達到20141個(gè)，超過(guò)了 2020 年 18325 個(gè)的記錄。

據Adobe 2022 年 FIS 趨勢報告顯示，在接受調查的金融服務(wù)和保險公司中，有超過(guò)一半的公司的移動(dòng)用戶(hù)在 2020 年上半年都出現了顯著(zhù)增長(cháng)。此外，報告還發(fā)現，有十分之四的財務(wù)高管表示數字和移動(dòng)渠道占其銷(xiāo)售額的一半以上，并預計這種趨勢將在未來(lái)幾年內持續下去。

攻擊面管理為何成為 2022 主流？

近期，美國網(wǎng)絡(luò )安全審查委員會(huì )發(fā)布首份報告稱(chēng)，2021年年底曝光的Log4j漏洞成為難以消除的漏洞，其影響將會(huì )持續十年之久。

Log4j事件表明，我們對暴露的IT資產(chǎn)知之甚少。據統計，大型組織通常擁有數千、數萬(wàn)或更多面向互聯(lián)網(wǎng)的資產(chǎn)，包括網(wǎng)站、敏感數據、員工憑證、云工作負載、云存儲、源代碼、SSL 證書(shū)等。?

如果要問(wèn)“攻擊者發(fā)現和利用Log4j等漏洞的頻率和速度帶來(lái)什么教訓”，答案一定是應在攻擊面管理和網(wǎng)絡(luò )保護工具部署等方面做出積極主動(dòng)的探索。

現代數字基礎設施加速發(fā)展，容器化、SaaS應用以及混合工作環(huán)境急速增長(cháng)，企業(yè)面臨的攻擊面也在隨之擴大。為降低攻擊風(fēng)險，許多機構都在努力發(fā)現、分類(lèi)和管理面向互聯(lián)網(wǎng)的資產(chǎn)。

保護智慧城市安全始于網(wǎng)絡(luò )基礎設施

雖然智能城市的承諾為市政當局和居民提供了“智能”服務(wù)的效率和價(jià)值，但它也帶來(lái)了網(wǎng)絡(luò )安全挑戰。每個(gè)連接的組件——從設備到網(wǎng)絡(luò )基礎設施——為黑客竊取數據、破壞系統和獲取他們不應該擁有的信息提供了一個(gè)潛在的切入點(diǎn)。?

智慧城市生態(tài)系統可能充滿(mǎn)了數以萬(wàn)計的物聯(lián)網(wǎng) (IoT) 設備，它們通過(guò)公共網(wǎng)絡(luò )基礎設施進(jìn)行通信。為了讓智慧城市取得成功，每個(gè)物聯(lián)網(wǎng)設備都必須是低功耗、性能卓越、能夠承受干擾并且可靠的。它們將在設備和連接它們的網(wǎng)絡(luò )基礎設施之間自由傳輸數據。

智慧城市設備制造商，從智能照明和供水系統到智能交通管理系統和交通系統，在安全方面充當第一道防線(xiàn)。每個(gè)設備可能具有許多協(xié)同工作的技術(shù)，例如芯片組、傳感器、通信協(xié)議、固件和軟件。這些技術(shù)組件的構建或采購必須考慮到安全性。