三大新兴安全趋势
保护不断扩大的攻击面
领先于不断演变的威胁格局对于 CISO 保护业务安全至关重要,但在实践中,始终保持领先优势并非易事。威胁行为者正在加速行动,采用既有和新型攻击方法来针对组织发起越来越多的攻击。在各组织争相构建和部署内部 AI 模型的当下,安全程序不断扩展,且肩负着保护不断扩大的攻击面的重任。安全团队发现自己陷入了两难境地,既要防范网络攻击,又要跟上组织发展的步伐。
本文将重点介绍三种新兴趋势,均以真实数据和观察为支持,需要 CISO 立即关注并采取行动。
趋势 1:漏洞管理程序没有做好准备,无法应对不断加快的武器化
多年以来,漏洞管理程序一直难以保持与漏洞披露速度同步的修补节奏。修补关键 Web 应用漏洞的平均时间很慢,为 35 天。但遗憾的是,随着每年发现的漏洞越来越多(2023 年有 5000 多个高危漏洞),维持负责任的修补节奏只会变得越来越困难。
更糟糕的是,越来越多威胁行为者以闪电般的速度利用各种漏洞。例如,2024 年 3 月 4 日披露的 CVE-2024-27198 漏洞,导致 TeamCity 服务器遭到全面入侵。威胁行为者在漏洞披露当天就尝试利用该漏洞,并且在概念验证代码发布仅 22 分钟后就观察到攻击活动。
仅 2023 年就发现了将近 100 个零日漏洞,比上一年增加了 50%,这导致企业在漏洞披露后面临持续不断的紧急响应。
建议:
为了有效降低漏洞风险,企业必须采取多管齐下的策略,而不只是修补漏洞。首先,利用网络分段和 Zero Trust 原则,减少可利用的攻击面。
其次,实施保护措施,阻止利用尚未安装补丁或提供修补资源的资产。例如,可以利用防火墙(包括网络防火墙和 Web 应用防火墙)中的威胁情报,来阻止漏洞利用尝试。
最后,在修补时,优先考虑漏洞利用风险,而不是漏洞严重程度。CISA 的已知被利用漏洞目录等资源,非常有助于确定修补优先级。
趋势 2:安全团队必须做好准备,保护内部 AI 模型
已经有很多关于员工滥用公共 LLM 模型导致敏感数据泄露的报道,这也是 Samsung 等公司禁止内部使用的原因。
然而,关于企业内部 AI 模型的讨论却少之又少,而这些模型正是攻击者的主要目标。与此同时,企业也在加大投资,预计到 2027 年,相关支出将达到 1430 亿美元。
内部 LLM 可能拥有访问敏感信息和知识产权的宽泛权限。例如,用于生成定制建议的 AI 协同驾驶是基于销售数据和客户互动进行训练,或可供工程师查询的 LLM 则是基于内部知识库进行训练。此外,由于这些模型是在高性能计算机上运行,追逐经济利益的威胁行为者可能会瞄准此类计算机,窃取算力资源。
针对内部 LLM 的攻击并非空想,而是已经发生的事实。威胁行为者利用流行的开源计算框架 Ray 漏洞,获取了数百家公司生产 AI 工作负载的访问权限。这让他们能够窃取敏感数据、密码和云访问权限。威胁行为者还部署了加密挖掘恶意软件。
建议:
安全领导者应确保其团队成员了解使用 LLM 的风险,并积极参与企业内部 LLM 的部署项目。从 OWASP LLM 十大风险着手,它可以指导企业确定保护措施的优先级,包括数据丢失防护和专用 AI 防火墙。
趋势 3:VPN 攻击增多,促使企业寻求远程访问替代解决方案
过去一年,针对安全设备(尤其是 VPN)的成功攻击显著增加。仅在 2024 年的前 4 个月,Ivanti 的 SecureConnect VPN、Palo Alto Networks 的 GlobalProtect VPN/防火墙,以及 Cisco 自适应安全设备的 VPN 功能中就出现了重大零日漏洞。
威胁行为者故意以这些工具为目标,因为一旦入侵成功,攻击者便可获取企业网络的广泛访问权限。由于 VPN 频繁遭受攻击,许多企业都在评估远程访问的替代方案。
Zero Trust 网络访问 (ZTNA) 工具就是一种选择,它提供对特定应用(而非更广泛的企业网络)的身份验证访问。它还具备性能优势,让员工能够更快速、更轻松地访问内部资源。
ZTNA 是采用 Zero Trust 的企业的一个常见切入点。面向 200 名网络安全和 IT 专业人士的一项 ESG 研究*表明,初始 Zero Trust 实施排名最高的两个用例分别是:针对 SaaS 应用实施 Zero Trust 应用访问 (ZTAA) 策略,以及部署适用于私有应用的 Zero Trust 网络访问 (ZTNA) 技术。事实上,75% 的目前在使用 ZTNA 技术的网络安全和 IT 专业人士表示,他们已经为所有员工更换 VPN 或计划不再使用 VPN。
建议:
面对当今不断演变的威胁格局和远程办公的兴起,类似 VPN 这种基于边界的安全防御措施已不再适用。CISO 应制定 Zero Trust 采用路线图,将 VPN 替换作为早期路线图项目。若要快速展示价值,可从较小的用例或目标用户集开始,然后在此基础上进行扩展。充分考虑实施速度、用户和应用的风险状况、员工反馈以及现有合同时间等因素,确定部署优先级并最大限度地提高效率。
提前防范各种新兴风险
随着组织更加依赖分布式 IT 基础设施,并采用分布式和混合办公模式,保障组织安全变得越来越复杂。传统上,应对这些威胁需要手动整合不断扩充的守旧且孤立的工具套件,这些工具跨越多个安全领域(例如:网络安全、应用安全、数据安全和威胁情报)。
Cloudflare 是一个统一、智能的可编程云原生服务平台,提供无处不在的安全防护,保护员工、应用和网络。这让企业能够重获控制、降低成本并减少保护扩展网络环境的风险。
*TechTarget, Inc. 旗下 Enterprise Strategy Group 的研究调查,Cloudflare Zero Trust 办公人员调查,2024 年 5 月。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读 Cloudflare 的新报告:《安全简报:针对员工、应用和基础设施的威胁》,了解关于最新安全趋势的更多信息。
关键要点
阅读本文后,您将能够了解:
安全团队如何努力跟上威胁行为者以及组织的进步
CISO 需要立即关注的 3 个新兴趋势
帮助企业领先一步抵御威胁的实用建议