回顧過去一年，網絡安全形勢已然變得更加復雜。隨著云計算、大數(shù)據(jù)、物聯(lián)網、人工智能等技術的發(fā)展，網絡威脅持續(xù)進化，變得更加棘手、難以應對。同時，網絡攻擊手段更為多樣，數(shù)據(jù)泄露、勒索軟件、APT攻擊等安全事件頻發(fā)。

在疫情常態(tài)化的趨勢下，可以預見2022年的網絡安全形勢依然嚴峻。人類社會高度互連，網絡攻擊并非遙不可及之物，這就需要對現(xiàn)有的和潛在的風險有所了解，并且知曉如何做才能降低這些風險。對此，瑞數(shù)信息作為國內前沿的互聯(lián)網應用安全防護企業(yè)，對2022年的網絡安全攻擊趨勢進行了簡要預測，并給出了相應的防護建議。

2022年網絡攻擊將呈現(xiàn)六大趨勢

趨勢1：安全漏洞攻擊持續(xù)增加——攻擊者加強0day漏洞偵查能力，內網Web應用保護不足

網絡空間中，大部分的安全問題都源自內網。攻擊者普遍會利用Web應用漏洞對內網進行滲透，以達到控制整個內網、獲取大量有價值信息的目的。

據(jù)國家信息安全漏洞共享平臺（CNVD）統(tǒng)計，2020年共收錄安全漏洞20704個，繼續(xù)呈上升趨勢，同比增長27.9%，2016年以來年均增長率為17.6%。其中，0day漏洞數(shù)量為8902個（占 43.0%），同比增長56.0%。

2022年，企業(yè)內網的安全漏洞數(shù)量還將不斷增加，甚至變得越來越復雜。由于內網Web應用的保護嚴重不足，攻擊者利用安全漏洞的攻擊行為將變本加厲，尤其借助自動化的工具，在短時間內以更高效、隱蔽的方式對Web進行漏洞掃描和探測，使得企業(yè)面臨更為嚴重的安全風險和損失。

同時，攻擊者會進一步加大事前的努力，在攻擊準備階段花費更多的時間和精力來搜尋0day漏洞，并利用新的技術將攻擊擴展到更廣泛的網絡環(huán)境，無疑加大了企業(yè)應用防護的難度。

趨勢2：勒索軟件數(shù)量繼續(xù)上升——勒索軟件成為最大的安全威脅，對醫(yī)療行業(yè)的攻擊加劇

近幾年，勒索軟件攻擊態(tài)勢愈發(fā)嚴重，不僅數(shù)量有了較大增長，贖金、企業(yè)修復成本等也翻倍增長，勒索軟件成為當今社會最普遍的安全威脅之一。據(jù)Cybersecurity Ventures研究表明，2021年全球勒索軟件的損失成本預計將達到200億美元，比2015年高出57倍。此外，據(jù)劍橋大學研究表明，勒索軟件攻擊的保險索賠在過去五年中以驚人的速度增長，2020年，在所有的網絡攻擊保險索賠中，勒索軟件以54%的占比高居第一。

可以預見，2022年勒索軟件數(shù)量還將顯著增長，攻擊者的數(shù)量也將達到空前的程度。同時，勒索軟件攻擊也將迅速蔓延至整個攻擊面，勒索軟件威脅將無處不在。

從行業(yè)影響看，勒索軟件攻擊對金融、教育、醫(yī)療等各行各業(yè)構成了嚴重威脅，但醫(yī)療機構因其豐富的醫(yī)療設備和患者信息成為了攻擊者的最佳目標。據(jù)FBI發(fā)布的安全通告顯示，在過去一年內至少發(fā)現(xiàn)了16起針對美國醫(yī)療和應急響應機構的Conti勒索軟件攻擊，該勒索軟件在全球攻擊了超過400家醫(yī)療和應急響應機構。

2022年，勒索軟件對醫(yī)療行業(yè)的攻擊還將持續(xù)加劇。在這種形勢下，醫(yī)療機構的IT團隊將面臨空前挑戰(zhàn)。

趨勢3：數(shù)據(jù)安全風險加劇——數(shù)據(jù)泄露的規(guī)模更大、成本更高，應用數(shù)據(jù)安全面臨更大挑戰(zhàn)

據(jù)Canalys發(fā)布的《網絡安全的下一步》報告顯示，2020年數(shù)據(jù)泄露呈現(xiàn)爆炸式增長，短短12個月內泄露的記錄比過去15年的總和還多。

進入2022年，數(shù)據(jù)泄露還將繼續(xù)增加，規(guī)模會更大，各國政府和企業(yè)將付出更多的代價來進行恢復，損失的成本不僅限于事件響應成本、數(shù)據(jù)備份成本、系統(tǒng)升級成本，還包括聲譽損失成本、法律風險成本等隱性成本，其損失甚至數(shù)倍、數(shù)十倍于顯性損失。

數(shù)據(jù)泄露的主要原因源于Web應用程序攻擊、網絡釣魚和勒索軟件。其中，對Web應用程序的攻擊仍是黑客行為的主要攻擊方向。2022年，應用安全依然面臨挑戰(zhàn)，尤其是數(shù)據(jù)在應用中的安全值得企業(yè)重點關注。

趨勢4：API攻擊成為惡意攻擊首選——利用API欺詐是黑產首選，API濫用是最常見攻擊方式

在萬物互聯(lián)的數(shù)字時代，API承載著企業(yè)核心業(yè)務邏輯和敏感數(shù)據(jù)，支撐著用戶早已習慣的互動式數(shù)字體驗。根據(jù)Akamai的一項統(tǒng)計，API請求已占所有應用請求的83%，預計2024年API請求命中數(shù)將達到42萬億次。與此同時，針對API的攻擊成為了惡意攻擊者的首選，相對于傳統(tǒng)Web窗體，API的性能更高、攻擊成本更低，越來越多的黑客開始利用API進行業(yè)務欺詐。

事實上，很多企業(yè)并不清楚自己擁有多少API，也并不能保證每個API都具有良好的訪問控制，被遺忘的影子API和僵尸API會帶來重大的未知風險。據(jù)Gartner預測，到2022年API濫用將是最常見的攻擊方式，為API構建安全防護體系勢在必行。

趨勢5：業(yè)務欺詐變本加厲——AI技術廣泛用于欺詐，新型團伙欺詐頻出

在社會高度智能化、技術應用門檻越來越低的今天，AI也成為詐騙者的目標和幫兇。偽造郵件、克隆聲音、電話詐騙、人臉偽造等利用AI技術的業(yè)務欺詐手段層出不窮，反AI欺詐已經成為一個社會性的問題。

隨著互聯(lián)網行業(yè)快速發(fā)展，新型業(yè)務欺詐來勢洶洶，呈現(xiàn)出團伙化、跨境化、精準化、多樣化等特征，出現(xiàn)了如：公共Wi-Fi欺詐、刷單薅羊毛、線下人力資源機構黑產、投資理財類詐騙、虛假交易網站詐騙、虛假中獎類等多種欺詐案例，給企業(yè)和個人造成了巨大的損失。據(jù)Juniper Research研究發(fā)現(xiàn)，在2021年至2025年期間，在線支付欺詐造成的商家損失將累計超過2060億美元，這個數(shù)字相當于亞馬遜2020財年凈收入的近10倍。在新的一年里，如何以“魔法打敗魔法”，用技術手段來解決新型業(yè)務欺詐問題，將成為市場和行業(yè)共同努力的方向。

趨勢6：供應鏈安全告急——第三方組件造成的供應鏈漏洞攻擊加劇，供應鏈惡意軟件數(shù)量上升

針對單一供應商的攻擊引發(fā)的連鎖反應，可能危及整個供應商網絡。有研究表明，當今平均Web應用程序包含超過1000個代碼依賴項，其中一些突破了2000個標準。從安全角度來看，這些第三方代碼中的每一個，實際上都可以用作將惡意代碼注入應用程序的攻擊媒介。

隨著開源、云原生等技術的大范圍應用，下一代軟件供應鏈威脅也正在逐漸爆發(fā)。據(jù)Forrester研究表明，應用軟件80%-90%的代碼來自開源組件。全球對開源代碼的旺盛需求，將導致Web應用供應鏈攻擊在2022年進一步成熟，范圍擴大，并且更加復雜，預計使用惡意軟件進行Web應用供應鏈攻擊的數(shù)量將不斷攀升。

同時，下一代Web應用供應鏈攻擊正在到來，其顯著特點是刻意針對“上游”開源組件，進行更主動的攻擊，攻擊者會主動將新的漏洞注入為供應鏈提供支持的開源項目中。因此，下一代Web應用供應鏈攻擊將更加隱蔽，也將有更多的時間對下游企業(yè)展開攻擊，危險性將更高。

2022年網絡安全三大防護建議

建議1：由WAF走向WAAP

隨著企業(yè)數(shù)字化進程的不斷加速，更多的門戶網站、核心業(yè)務、交易平臺等日益依賴Web、APP、H5、微信等多渠道開展。與此同時，越來越多的開放性API業(yè)務也正在蓬勃發(fā)展。伴隨流量的提升，API業(yè)務帶來的Web敞口風險和風險管控鏈條的擴大，不僅各種利用Web應用漏洞進行攻擊的事件正在與日俱增，各類工具化、智能化、擬人化的Bots攻擊對數(shù)字化業(yè)務的影響也在快速攀升。

然而，現(xiàn)有的Web安全服務彼此之間常常出現(xiàn)難以融合的局面，無法實現(xiàn)統(tǒng)一的安全服務閉環(huán)。Gartner指出，到2023年，30%以上面向公眾的Web應用程序和API將受到云Web應用程序和API保護(WAAP)服務的保護，WAAP服務結合了分布式拒絕服務(DDoS)防御、機器人程序緩解(Bot Mitigation)、API保護和WAF。

瑞數(shù)信息專家認為，傳統(tǒng)WAF技術面臨各種挑戰(zhàn)，單一的WAF產品已不足以解決無處不在的安全風險，防御新的威脅需要一種整體的、集成的安全方法，即從WAF走向WAAP，將本地、各類云端充分整合，支持WAF、Bots管理、API防護獨立或聯(lián)合部署，提供多層級的聯(lián)動防御機制，令企業(yè)安全地將各類Web業(yè)務和應用交付在混合架構中，實現(xiàn)Web安全一體化防御。

建議2：傳統(tǒng)備份和災備的局限，用戶需要新一代融合安全能力的數(shù)據(jù)保護技術

數(shù)據(jù)作為新的生產要素，數(shù)據(jù)價值的利用已成為數(shù)字經濟發(fā)展的重要推動力。然而，在勒索軟件攻擊不斷迭代的環(huán)境下，傳統(tǒng)的備份與災備面對新興的數(shù)據(jù)安全威脅已顯得捉襟見肘。

一方面，傳統(tǒng)災備系統(tǒng)不會對備份數(shù)據(jù)的好壞進行檢測，以至于備份數(shù)據(jù)中可能因勒索軟件的攻擊，存在大量被損毀的文件，恢復后的系統(tǒng)仍無法正常使用，造成部分企業(yè)即使有備份，仍然被迫支付贖金的后果。另一方面，傳統(tǒng)災備系統(tǒng)需要數(shù)天甚至數(shù)周的恢復時間，無法滿足快速恢復的應急響應需求，將業(yè)務中斷的損失降至最低。

因此，新一代數(shù)據(jù)安全技術的建設已刻不容緩。瑞數(shù)信息專家建議，加強備份和復制數(shù)據(jù)的安全性，保證快速的數(shù)據(jù)提供和安全的數(shù)據(jù)恢復，并深化數(shù)據(jù)處理環(huán)節(jié)的安全防護，讓企業(yè)和行業(yè)的數(shù)據(jù)價值釋放得到安全可靠的保障。

建議3：深化基于AI的行為檢測

傳統(tǒng)安全主要基于攻擊特征與行為規(guī)則實行被動式防御，在靈活的黑客面前已逐漸失效，不僅是0day攻擊、各類應用和業(yè)務欺詐，在數(shù)據(jù)泄漏和勒索層面更是堪憂；同時攻防對抗水漲船高，防守方規(guī)則的構造和維護門檻高、成本大。

瑞數(shù)信息專家認為，基于AI技術對用戶行為模式進行智能分析與識別，將不再受制于復雜繁瑣的攻擊特征與行為規(guī)則，應進一步擴大使用場景，不僅應用于攻擊趨勢預判、高隱蔽性異常行為透視、未知威脅行為溯源等更智能的安全分析，也可以加強對于數(shù)據(jù)的破壞、篡改、加密勒索等數(shù)據(jù)威脅行為的識別檢測，并通過更實時的安全預警及安全聯(lián)防進一步縮短響應時間，提升了攻擊門檻，在攻防格局中處于主動位置。