三種新興安全趨勢
應對不斷擴大的攻擊面
對 CISO 而言,要保障企業安全,保持領先於威脅局勢至关重要,但在實際操作中維持這種領先地位卻頗具難度。威脅執行者行動日益迅速,不僅運用成熟已久的攻擊手段,還採用新的攻擊方式,不斷對各企業發起攻擊。為保護不斷演變的攻擊面,尤其是隨著各企業紛紛著手建置和部署內部 AI 模型,安全性計畫需要持續擴展。而安全團隊更是深陷困境,既要全力追趕威脅執行者的步伐,又要配合企業自身的發展進度。
本文依據真實世界中的資料及觀察結果,重點介紹了需要 CISO 立即關注並採取行動的三個新興趨勢。
趨勢 1:漏洞管理計畫無法應對武器化速度加快的局面
多年來,漏洞管理計畫一直難以跟上漏洞公佈的速度來推出修補程式。修補關鍵 Web 應用程式漏洞的平均時間很長,達到 35 天。不幸的是,每年發現的漏洞數量越來越多,維持負責任的修補程式更新節奏變得更加困難——2023 年就有超過 5,000 個嚴重漏洞。
更棘手的是,威脅執行者利用漏洞的速度越來越快。例如,CVE-2024-27198 於 2024 年 3 月 4 日公佈,該漏洞使 TeamCity 伺服器面臨完全被攻陷的風險。威脅執行者在同一天就嘗試加以利用,在概念驗證程式碼發佈僅 22 分鐘後就觀察到相關攻擊行為。
僅在 2023 年,就發現了將近 100 個零時差漏洞(比前一年增加了 50%),各組織面臨著一個永無止境的循環:漏洞一公佈就得緊急應對。
建議:
各組織必須採用多管齊下的策略,而不是僅僅局限於漏洞修補程式,才能有效緩解漏洞風險。首先,透過網路分段和 Zero Trust 原則,縮小可被利用的攻擊面。
接下來,實作保護措施,以阻止尚沒有可用修補程式或修補資源的資產遭到利用。例如,可以利用防火牆(包括網路防火牆和 Web 應用程式防火牆)中的威脅情報來攔截利用漏洞的嘗試。
最後,在進行修補程式安裝時,要以漏洞被利用的風險高低作為優先順序的判斷依據,而非僅僅考量漏洞的嚴重性。像 CISA 的「已知被利用漏洞目錄」之類的資源對於確定優先順序具有非常重要的價值。
趨勢 2:安全團隊必須做好準備來保護內部 AI 模型
有關員工誤用公用 LLM 模型導致敏感性資料外洩的潛在風險,已經有過許多討論,這也是像 Samsung 之類的企業禁止使用公用 LLM 的原因。
然而,針對內部 AI 模型的相關討論卻少得多,而這些內部模型卻是攻擊者的首要目標。各企業正在大力投入資源,預計到 2027 年相關支出將達到 1430 億美元。
內部 LLM 可能能夠存取各種敏感性資訊智慧財產權。例如,使用銷售資料和客戶互動進行訓練並用於產生定制化提案的 AI 助手,或者使用內部知識庫進行訓練且可供工程師查詢的 LLM。此外,由於這些模型在高效能機器上執行,因此具有經濟動機的執行者可能會以它們的運算能力為目標。
針對內部 LLM 的攻擊並非僅存在於理論中,而是實際上已經發生過。威脅執行者曾利用 Ray(一個廣受歡迎的開放原始碼 AI 框架),取得了對數百家公司生產環境中 AI 工作負載的存取權限。這使得他們能夠竊取敏感性資料、密碼以及雲端存取權限。此外,這些執行者還部署了加密貨幣挖礦惡意程式碼。
建議:
網路安全領導者應確保其團隊充分瞭解使用 LLM 的風險,並積極參與企業內部部署 LLM 的相關專案。從 OWASP Top 10 for LLM 入手,可以幫助組織明確保護措施的優先順序,涵蓋從資料丟失預防到專用 AI 防火牆等多個層面。
趨勢 3:針對 VPN 的攻擊增加促使組織尋求其他遠端存取解決方案
過去一年,針對安全設備(尤其是 VPN)的成功攻擊數顯著增加。僅在 2024 年的前 4 個月,Ivanti 的 SecureConnect VPN、Palo Alto Networks 的 GlobalProtect VPN/防火牆以及 Cisco 的 Adaptive Security Appliance 的 VPN 功能都出現了重大的零時差漏洞。
威脅執行者故意以這些工具為目標,因為一旦入侵成功,他們就能取得對相關組織網路的廣泛存取權限。由於 VPN 經常受到攻擊,許多組織都在評估其他遠端存取選項。
Zero Trust 網路存取 (ZTNA) 工具就是其中一種解決方案,它提供對特定應用程式的經過驗證的存取,而非對整個網路的無差別存取權限。此外,ZTNA 還能提供效能優勢,使員工能更快速、更輕鬆地存取內部資源。
ZTNA 是組織採用 Zero Trust 架構的常見起點。根據 ESG 一項針對 200 名網路安全和 IT 專業人士的研究*,在 Zero Trust 實施初期最受關注的兩大使用案例分別是:對 SaaS 應用程式強制執行 Zero Trust 應用程式存取 (ZTAA) 政策,以及為私人應用程式部署 ZTNA。事實上,在目前使用 ZTNA 的網路安全和 IT 專業人士中,有 75% 表示,他們已經或計劃為所有員工逐步淘汰 VPN。
建議:
在當前的威脅情勢和遠端工作日益普及的背景下,VPN 之類基於周邊的防禦已不再適合。CISO 應制定 Zero Trust 採用路線圖,並將 VPN 取代作為早期的重點項目。為了快速展現價值,可以從較小的使用案例或一組目標使用者開始實施,然後逐步擴展。考慮實施速度、使用者和應用程式的風險狀況、員工回饋和現有合約時間等因素,以確定部署優先順序並最大限度地提高效率。
領先於新興風險
隨著組織越來越依賴於分散式 IT 基礎架構�,並接受分散式和混合式工作,確保組織安全變得越來越複雜。一直以來,應對這些威脅的方式是,將各個安全領域(如網路安全性、應用程式安全性、資料安全性、威脅情報)的一套傳統且孤立的工具拼湊在一起,並不斷擴展。
Cloudflare 是一個可程式設計雲端原生服務的統一智慧平台,可提供全球安全性來保護人員、應用程式和網路。這能夠支援組織重新取得控制權,降低成本,並降低保護不斷擴展的網路環境的風險。
*Enterprise Strategy Group(TechTarget, Inc. 的一個部門)研究調查,Cloudflare Zero Trust for the Workforce Survey,2024 年 5 月
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
閱讀《針對人員、應用程式和基礎架構的威脅》簡介,深入瞭解最新的安全趨勢。
重點
閱讀本文後,您將能夠瞭解:
安全防護如何全力應對來自敵手和組織自身發展帶來的雙重挑戰
需要 CISO 立即關注的 3 個新興趨勢
幫助組織取得並保持領先地位的實用建議