2024 年度回顾:今日之见解,明日之展望
10 年来,Akamai 一直在发布《互联网现状》(SOTI) 报告,深度分析最新网络安全研究和趋势。这些报告关注不断变化的威胁形势,以及全球企业所面临的网络安全挑战,提供了宝贵的见解。
在早期阶段,这些报告主要关注的是宽带采用率和连接速度,但随着时间的推移,它们的关注点已转向网络安全。超过二十五年来,我们为 130 多个国家/地区数以万计的客户提供保护,并由此积累了大量的可靠数据,每一份报告都以这些数据为基础。
仅在 2024 年,Akamai 研究人员和威胁情报人员就发布了 6 份涉及行业趋势和威胁方法的 SOTI 研究报告。超过 100 位研究人员和 65 位数据专家为我们的出版物提供支持,他们代表着跨越文化、地域和思想多样性界限的网络智能智囊团。
回顾和预期
在这篇博文中,我邀请了六位 Akamai 网络专家,他们回顾了即将过去的这一年中值得注意的趋势和事件,并对 2025 年及以后的预期提出了富有见地的观点。他们还就企业如何为未来做好准备分享了自己的想法,并针对如何最大限度地减少漏洞及其威胁足迹提出了切实可行的建议。
|
Roger Barranco 全球安全运营副总裁 |
Lisa Beegle 信息安全高级总监 |
Richard Meeus EMEA 地区安全技术高级总监 |
亚太地区及日本 (APJ)、人工智能 (AI)、第 7 层 DDoS 攻击 Ruben Koh APJ 地区安全技术总监 |
Steve Winterfeld CISO 顾问 |
Tricia Howard 网络安全记录者 |
Akamai 全球安全运营副总裁 Roger Barranco
2024 年,有哪些事情给您留下了深刻印象?
回望 2024 年,一些关键趋势给我留下了深刻印象。一个令人惊讶的现象是,DNS 攻击仍然频繁发生且非常有效。Akamai 研究人员近期 观察到 ,在为期 18 个月的时间里, DNS 在第 3 层和第 4 层 分布式拒绝服务 (DDoS) 攻击 事件中的占比达到 60%。尽管如此,仍然有一些 解决方案 可以消除其中的很多攻击。很多此类攻击都基于反射器,并且攻击者会利用配置不当的服务器。简单的 DNS 更改就能防止这种情况发生,并确保企业不会在无意中成为问题的一部分。
我们看到 Mirai 僵尸网络卷土重来,它曾是全球一些规模最大、复杂度最高的攻击事件的罪魁祸首。它也是最引人关注的攻击工具之一;在如何接管端点并阻挡其他行为者方面,它的智能化程度极高。五年前,Mirai 就已臭名昭著,然后一夜之间消失无踪,但如今它再度卷土重来。
这种发展变化凸显出,企业不仅需要关注攻击规模,还需要关注其复杂程度。攻击活动变得越来越复杂。很多安全供应商正在构建更加智能的自动化系统以缩短响应时间,考虑到当前形势,这是恰当之举。
此外, 我坚信,获得安全专家的帮助仍然至关重要。每家大中型企业迟早都会面对网络事件,而解决这些事件需要员工具备专业知识。
在应用程序方面,爬虫程序 撞库 仍然是一个重大威胁。其中许多此类攻击都由民族国家攻击者实施,抵御难度极大。确定攻击者是爬虫程序还是人类,或者对 “良性”爬虫程序和“恶意”爬虫程序 加以区分(图 1),都需要经验丰富的人类专家来了解独特的客户环境,并实施适当的保护措施。
图 1:良性爬虫程序和恶意爬虫程序的并排比较以及示例
您预计 2025 年会发生哪些值得注意的问题?
企业应增强网络未遭受主动攻击时的防御态势。
——Akamai 全球安全运营副总裁 Roger Barranco
Mirai 僵尸网络 很可能继续构成重大风险因素,并且随着攻击者不断改进代码来创造更多变体,Mirai 也将变得更加复杂。这种演变会给网络安全专业人员带来持续不断的挑战,他们需要应对在整个网络和应用程序空间的多层同时发起的攻击活动。
可以预见,民族国家活动会通过代理人进一步扩展。实施这些攻击的动机往往不是经济利益,纯粹就是为了造成破坏。
企业需要持续地掌控其 API 端点来减少漏洞。正确的 API 识别、管理和安全以及微分段将成为强大的网络安全策略中更加关键的组成部分。
在未来一年里,我强烈建议每家企业都花时间来加强自己的环境。企业应增强网络未遭受主动攻击时的防御态势。在攻击发生前改善环境的投资回报仍然十分可观。
随着我们进一步迈向未来,我们还需要关注量子计算的影响。这项技术有可能会显著加快攻击速度,让整个行业措手不及。企业应该开始计划全面硬件更新,以便与网络攻击者不断增强的能力保持同步。虽然这些计划可能不会带来直接的全面影响,但随着量子计算在网络安全中变得更加普遍,现在开始讨论并着手准备对实现平稳过渡至关重要。
信息安全高级总监 Lisa Beegle
2024 年,有哪些事情给您留下了深刻印象?
在地缘政治紧张局势的推动下,由国家支持的网络行动出现了大幅增长。
——信息安全高级总监 Lisa Beegle
2024 年出现了一些需要我们关注的关键趋势。攻击者的发展变化尤其引人注目。他们的沟通与协调变得高度组织化,使这些攻击者利用漏洞的效率更高。这包括向其他攻击者提供攻击服务的黑客行动主义者,例如 DDoS-for-hire。
最近,Akamai 安全智能响应团队 (SIRT) 与执法机构合作,帮助打击了一个臭名昭著的 黑客行动主义者团体 “ Anonymous Sudan ”(图 2)。
图 2:代表黑客行动主义者团体“Anonymous Sudan”的蒙面黑客身后的苏丹国旗图像
攻击者现在会共享成功入侵的情报、反复攻击他们发现存在弱点的企业,并且会探查更多的漏洞。这种复杂性让很多企业都措手不及,因为他们并未意识到表面上的攻击受害者可能不是攻击者真正的目标。
在地缘政治紧张局势的推动下,由国家支持的网络行动出现了大幅增长。这些民族国家攻击越来越多地以关键基础设施为目标,这凸显出企业迫切需要采用主动威胁情报和监控策略。
供应链入侵成为了 2024 年的一个严重问题,攻击者会利用第三方提供商来渗透企业,包括一些高知名度的目标。这种趋势暴露出安全实践中存在漏洞,并且凸显出持续监控和审查供应链合作伙伴的必要性。很明显,供应链中的企业必须培养一种安全文化来抵御这些风险。
或许最令人担忧的是,网络犯罪分子现在使用人工智能 (AI) 来创造更复杂的攻击媒介。依托 AI 技术的工具让制作高度可信的网络钓鱼活动、深度伪造和其他新颖的攻击手段成为可能。这种 AI 应用方式使得攻击得逞的几率显著提高。为了应对这种威胁,企业必须在各个层面上培养一种怀疑和教育文化,同时对敏感请求实施强有力的验证流程。
您预计 2025 年会发生哪些值得注意的问题?
我预计,网络犯罪分子将继续使用 AI 来实现网络钓鱼攻击的自动化和个性化,从而进一步加大检测难度。这可能会促使企业投资采用基于 AI 的安全解决方案,以实现实时威胁检测。
我还预计,在 2024 年既有成功的基础上,攻击者会继续发动勒索软件攻击。攻击手段已从双重勒索升级为三重勒索(通常伴随 DDoS 攻击),甚至是四重勒索(即,攻击者直接联系受害者的客户、员工及其他关联的实体,告知他们其敏感信息已遭到泄露)。 支付赎金的企业很可能会再次成为攻击目标。为了保护自己,企业需要改进其备份解决方案并加强员工培训,以抵御这些风险。
我预计,针对物联网 (IoT) 设备的攻击会增加,而这些设备通常缺乏可靠的安全措施。攻击者能够利用的设备有很多,并且他们往往会在发现漏洞后迅速实施攻击。 这突出表明,企业需要同时在消费者和企业层面上采取更强有力的安全措施和标准化协议。至关重要的是,及时更新补丁和保护措施并了解您的 IoT 足迹。
鉴于地缘政治局势持续紧张,我预计在战略上针对与特定国家/地区相关的目标的网络战争还会继续。此外,我预计与同时破坏关键警报系统和发动军事攻击等实际行动进行战略协调的网络事件将会增加。此趋势表明,以特定国家利益为目标的网络战争将持续受到关注。有鉴于此,必须采取多层安全方法并与政府机构建立合作,以提升应对这些不断变化的威胁的能力。
EMEA 地区安全技术高级总监 Richard Meeus
2024 年,有哪些事情给您留下了深刻印象?
2024 年的主要趋势是,欧洲、中东和非洲 (EMEA) 地区的黑客行动和 DDoS 攻击增加。第三季度,我们看到以欧洲和中东为目标的攻击大规模增加。这显然与两场地区性战争相关,这些战争促成了大量攻击活动的出现,并且没有迹象表明这些攻击将会停止。
另一个值得注意的发展变化是注重运营恢复能力的 NIS2 指令的实施。该指令旨在由欧盟 (EU) 各成员国写入立法。欧盟成员国必须在 2024 年 10 月 17 日之前将 NIS2 指令纳入各国法律。欧洲的企业需要确保其安全基础架构符合这些新的和更新后的要求,这些要求的核心是降低风险并提升遭受攻击时的恢复能力。
一个特别值得关注的事件是 XZ Utils 后门 (CVE-2024-3094),它利用了这一广泛使用的开源库中的一个漏洞。 该攻击者上演了一出潜伏大戏,在将近两年的时间里通过为 XZ 项目做出贡献来建立信任,直到能够将恶意软件嵌入开源环境中。这出潜伏大戏与 Volt Typhoon 活动有相似之处,该活动渗透了美国的 DSL 路由器并且其目标是破坏通信。
也许 DDoS 攻击中最引人关注的发展变化是 Akamai SIRT 发现的一个漏洞 ,该漏洞位于开源打印平台 Unix 通用打印系统 (CUPS) 之中。这是攻击者可以用来攻击欧洲的另一个攻击媒介。由于只需命中一次即可产生源源不断的流量,这种能力尤其引人关注,特别是考虑到互联网上有数以千计的易受攻击设备使用 CUPS。
您预计 2025 年会发生哪些值得注意的问题?
我认为,2025 年,我们会看到人们更加关注加密敏捷性。
——EMEA 地区安全技术高级总监 Richard Meeus
由于两场地区性战争仍在激烈进行中,我认为在近期内,黑客行动威胁都不会有所减弱。实际上,Akamai 会继续与乌克兰政府合作,保护其关键的在线资产。我认为,在这些地缘政治局势得到解决之前,这种威胁活动会一直持续下去,因为冲突或黑客行动主义者认知中的不公正现象给他们带来了源源不断的动力。他们会尝试造成对机构缺乏信任的局面,并对政府施加压力,迫使其停止对特定政权的支持。
我认为,我们将看到攻击媒介转变为更加关注 API。随着企业部署更多应用程序编程接口,这只会增加他们所面临的威胁,也会使其面临更大的滥用风险。Akamai 关注 API 漏洞已经有很长时间了,这是因为威胁形势不断扩大,并且企业急需实施 强大的 API 安全策略。
我认为,2025 年,我们会看到人们更加关注加密敏捷性。企业正开始思考实现“量子安全”所需的条件。几年后,甚至是更早,他们就需要更新自己的部分证书和算法。 这会引发很多与要使用的加密标准以及何时和如何转为量子安全加密相关的问题。这些问题并不会在明天就出现,但我认为,人们需要开始考虑相关风险以及如何应对这种风险。这是一次“世代交替”。
亚太地区和日本安全技术总监 Ruben Koh
2024 年,有哪些事情给您留下了深刻印象?
2024 年,一个特别重要的趋势是,针对亚太地区和日本 (APJ) 的第 7 层 DDoS 攻击大幅增加。我们专注于应用程序威胁的互联网现状 (SOTI) 报告《 数字堡垒受到围攻》中详细介绍了这一趋势。 Akamai 研究人员发现,从 2023 年 1 月到 2024 年 6 月,针对亚太地区和日本的第 7 层 DDoS 攻击数量增长了五倍 (图 3)。此类高影响攻击的增长轨迹非常令人担忧。
图 3:从 2023 年 1 月到 2024 年 6 月,针对亚太地区和日本的每月第 7 层 DDoS 攻击数量增长了五倍
另外值得注意的是,DDoS 攻击的激增与重大地缘政治事件的时间相一致。2024 年,亚太地区和日本有三个国家/地区(印度、印度尼西亚和中国台湾)举行了大选,我们发现在这些事件发生期间,DDoS 攻击呈上升趋势。
我认为,这些攻击的增加可能是由于黑客行动的增加,这些行动针对的是黑客行动主义者认为与其意识形态和信仰相冲突的国家/地区或行业。 此观察结果凸显出,企业不仅需要防范寻求牟利的网络犯罪分子,还需要防范受政治议程驱动并且可以随时发动攻击的黑客行动主义者。
很显然,DDoS 攻击是一个主要问题,但我认为,亚太地区和日本的很多企业仍然未做好防范这些攻击的充分准备。它们是真正存在的威胁,必须严肃对待。DDoS 攻击的目标不只有商业企业,还有包括银行系统、交通运输和公用设施在内的关键基础设施。如果 DDoS 攻击得逞,我们的日常生活很可能会受到影响。
您预计 2025 年会发生哪些值得注意的问题?
随着 AI 越来越深地融入业务运营之中,保护 AI 安全必须成为各企业战略的重中之重。
——亚太地区和日本安全技术总监 Reuben Koh
和全球其他地区一样,2025 年,亚太地区和日本每个行业的企业都会以更疯狂的速度采用 AI 技术,以促进业务发展并提高盈利能力。但在争相采用 AI 技术的同时,必须确保他们并未忽略必要的安全保护措施。十几年前,在各企业争相采用云计算和网络安全技术时,我们就看到过类似的情况。由于注重采用速度,企业往往会忽视安全性,这不可避免地导致了几起备受瞩目的数据泄露事件。
目前,我认为我们只是粗浅地了解了 AI 能实现什么,而企业可能并不完全了解底层潜在的安全影响。随着 AI 越来越深地融入业务运营之中,保护 AI 安全必须成为各企业战略的重中之重。遗憾的是,如果从过去的活动来看,发生这种情况的可能性相对较低——直到发生重大数据泄露事件,突然促使企业和监管机构关注相关的安全框架和法规。
我认为,从 2025 年开始,我们会看到人们将越来越关注 AI 安全的两个方面:保护 AI 系统和防范 AI 驱动的攻击。毕竟,网络犯罪分子都在学习如何利用 AI 来提高攻击的隐蔽性、效率和有效性。AI 将降低攻击者的准入门槛,并提高他们发现和利用漏洞的能力。Akamai 已在未雨绸缪,不仅构建了自己的 AI 模型、探索攻击它们的方式,还确定了需要采取哪些保护措施来改进我们的安全解决方案,其中也可能包括 AI 增强功能的各种实施。2025 年及以后,我们将在这一领域继续提升我们的能力。
最后,当人们被 AI 这种最新奇的事物所吸引时,必须确保他们并未忽略坚实的安全基础。2025 年,攻击者仍然会以 API 端点为目标,并且仍然会发动网络钓鱼攻击。我们仍然需要确保及时部署补丁,确保我们的保护措施始终开启,并确保对相关人员开展持续培训,以识别和减少恶意活动。因为无论是否采用 AI 技术,这些威胁都不会消失。
Akamai CISO 顾问 Steve Winterfeld
2024 年,有哪些事情给您留下了深刻印象?
这些新法规会产生跨区域影响,有必要从全球视角来看待合规问题。
——Akamai CISO 顾问 Steve Winterfeld
全球网络安全的监管环境在不断发展变化。2023 年, Anu Bradford 概述了三种不同的新兴方法:市场驱动模式、国家驱动模式和权利驱动模式。此框架提供了一个有用的视角,让我们可以理解 2024 年的新法规,包括美国证券交易委员会推出的“ 网络重要性报告要求”、欧盟的 DORA 以及中国的 《数据安全法》。这些新法规会产生跨区域影响,有必要从全球视角来看待合规问题。新兴的监管重点领域包括 API、生成式 AI 以及勒索软件支付政策,这些都值得密切关注。
与此同时,DDoS 攻击从主要由犯罪组织采用发展成为民族国家和黑客行动主义者所采用的地缘政治工具。我们目睹了创纪录的 DNS NXDOMAIN 攻击,也称为 伪随机子域 (PRSD) 攻击,并且以冲突地区的金融机构为目标的第 3 层和第 4 层(基础设施)DDoS 攻击有所增加,与此同时,针对应用程序和 API 的第 7 层(应用层)DDoS 攻击日益盛行。我们在各行各业、各个地区都观察到了这些趋势,这凸显出采取强有力、适应性强的网络安全措施的必要性。
网络安全形式继续发展变化,欺诈成为安全团队日益关注的问题。Akamai 最近发布的关于网络抓取的报告受到客户保护需求的推动,该报告显示金融服务行业受到的影响最为严重。我们的数据表明,检测到的可疑域名中有 36% 以金融机构为目标(图 4)。值得注意的是,这些伪造的金融服务网站中有 68% 都采用了网络钓鱼攻击手段来获取个人身份信息(包括凭据),以帮助实现帐户接管和身份盗用。为了应对这些日益猖獗的骗局,有必要开展跨企业合作。
图 4:在网络钓鱼和/或品牌仿冒域中,金融服务业占到了 36.3%
您预计 2025 年会发生哪些值得注意的问题?
虽然生成式 AI 仍处于起步阶段,但开放全球应用程序安全项目 (OWASP) 已发布了一份针对大语言模型 (LLM) 的 十大安全风险列表。根据所列出的这些风险,企业需要防范 DDoS 攻击、敏感信息泄露和运行时安全问题等威胁。此外,网络安全团队还必须培养有效利用和保护这些模型的技能。
随着规模的快速扩大,API 风险仍将是一个关键问题。 OWASP 十大 API 安全风险 列表凸显出需要技能和安全措施来应对业务逻辑攻击。尽管 API 仍然容易受到 本地文件包含等传统威胁的影响,但这些新的流行攻击媒介需要更强大的可视性和快速响应能力。2025 年,识别成为未受管理“僵尸”的恶意系统或被遗忘系统、对开发人员进行常见漏洞培训以及验证安全代码部署的运行时将变得更加重要。因公共 API 滥用而引发的重大泄露事件不断增加,这凸显出在此类活动升级为重大影响之前对其进行持续监控和抵御的重要性。
网络安全记录者 Tricia Howard
2024 年,有哪些事情给您留下了深刻印象?
防御者不断遭受着各种攻击,并且每一年,形势似乎都在恶化。
新技术也为旧威胁提供了新的攻击路径。您先前抵御的威胁现在可能有了全新的入口点,或者某个攻击媒介可能会在利用后造成更大的破坏。我们发现,今年有大量的恶意软件都利用了Log4Shell 等旧漏洞,其中部分是十多年前的漏洞,甚至有一些漏洞并未分配 CVE 编号。经验丰富的僵尸网络创作者可以将其工具包扩展为包含基于 Go 语言的恶意软件,因为该恶意软件更加难以混淆,并且任何能使用信用卡的人都能轻松地发起全面的勒索软件或 DDoS 攻击,整个过程就像在网上购买鞋子一样简单。
您预计 2025 年会发生哪些值得注意的问题?
我们称之为互联网的这片不断变化的数字丛林变得更加互联互通,攻击者将有更多地方来发起攻击。明年,企业应回归本源,重新审视和更新其补丁管理及事件响应策略,即使是针对以前不起眼的漏洞也应如此。考虑到攻击者能够以极快的速度扫描漏洞和传播恶意软件,并且 输入不匹配 会影响全球,因此我认为 2025 年发生数据泄露不可避免。
总结
凡事预则立,不预则废。Akamai 致力于帮助客户、同事和公众了解当前影响企业的威胁,以及那些伺机而动的威胁。
除了应对当今威胁的实用解决方案之外,我们还高度关注 AI 给攻击策略和防御措施带来的变革性变化。Akamai 研究人员还将注意力转向下一代技术(包括量子计算),并与客户合作,帮助他们做好迎接未来的准备。
了解更多