Palo Alto Networks 看2023：雲端供應鏈攻擊擾亂企業運作

根據Palo Alto Networks 最新的《網路調研的下一步》，幾乎所有的受訪者都承認他們的組織在過去一年中經歷過網路安全事件和資料洩漏事件，平均數為11起。然而，令人擔憂的是，只有五分之二的人表示他們的董事會對網路風險的認識有隨著數位化戰略的加速而大大的增加。
 
Palo Alto Networks 在2023年亞太區網路安全預測中提出了五大預測，幫助企業最新尋求更安全的未來。在網路安全方，預測具有很強的相關性，因為除了攻擊者的行為，還需考慮更廣泛的視野 – 從技術到工作場所趨勢不斷的變化與相關的法律與規範。

2023年需要關注的5個關鍵網路安全趨勢

預測1：5G加速應用將提高漏洞風險
 
根據行業協會GSMA最近的一份報告，亞太地區（APAC）的5G連結預計將在2025年達到4.3億，高於2021年底的2億。根據國家通訊傳播委員會指出，至111年第1季，台灣5G電波人口涵蓋率已達94.36%。雖然雲端提供了更大的敏捷性、可擴展性和性能，但它也使5G核心暴露在雲端的安全漏洞之下。大規模的攻擊可能來自任何地方，甚至來自營運商自己的內網。
 
 Palo Alto Networks台灣技術顧問總監蕭松瀛說明，現代5G交換基礎是建立在雲架構上，雖然提供更快的敏捷性、可擴充性和效能，但也使5G核心暴露在原安全漏洞之下，大規模攻擊可能來自任何地方，甚至是營運商自己的內網。隨著5G穿透性更高、傳輸速度更快，攻擊的成功率也會提高。因此建議企業應採取次世代防火牆，搭配雲端資安方案。且由於5G導入，受駭企業的應變時間將縮短，更應考慮自動化的資安監控系統。
 
預測2：確保連網醫療設備的安全將至關重要
 
數位化實現了新的醫療能力，例如虛擬醫療和遠端診療。系統遺留的機敏數據普遍存對網路犯罪分子具有吸引力，容易使醫療成為一個目標，網路威脅者將會關注它。設備離病人越近，就越有可能影響病人的安全，威脅者也越有可能將其做為武器。確保醫療物聯網得網路安全對病人的安全可說是前所未有的關鍵。
 
蕭松瀛舉例，根據Palo Alto Networks最近一項評估顯示，被掃描的醫療注射幫浦中有75%存在已知的安全漏洞，可能被攻擊者破壞。醫療物聯網將需要擴大網路安全部門的任務，以確保醫療OT的安全。
 
預測3：雲端供應鏈攻擊將擾亂企業運作
 
隨著企業採用雲端原生架構，他們也自然地將第三方代碼用作為關鍵應用程式。Log4J最近展示了許多組織如何因為隱藏在軟體套件程序中的一個相依碼而立即受到攻擊。攻擊者利用軟體套件更新的機會，經由攻擊自願維護開源程式碼的人來滲透進組織網路。這個問題屬於雲端供應鏈的範疇，由於雲端運算的採用日趨普及，未來幾年將看到更多這方面的破壞。
 
雲端供應鏈漏洞的範圍不僅限於應用程式。大多數企業現在都採用基礎架構及程式碼來將環境構建自動化。Palo Alto Networks 掃描檢視了一個廣為被使用的公共IaC存儲庫，發現有64%的範本有至少一個高風險或危險的不安全配置。
 
預測4：關於資料主權的爭論將愈演愈烈
 
隨著世界變得更加依賴數據和數位訊息，出於控制和保護公民以及確保關鍵服務的持續可用性的意圖而制定的法規和立法數量將增加。因此，圍繞資料本地化和數據主權的對話在2023年將變得更加激烈。
 
蕭松瀛特別指出，限制安全數據跨境流動的數據本地化法規或政策會使企業失去即時性、全球部署的預防性防禦和安全，以及在安全背景下使用人工智慧/機器學習（AI/ML）即時關聯網路威脅訊息的能力，這對於利用我們孤立方法的進化攻擊者來說是必需的。
 
預測5：元宇宙將成為網路犯罪分子的新樂園
 
根據估計，每年有540億美元的資金花在元宇宙的虛擬商品，該平台可能成為網路犯罪分子的新樂園。元宇宙的身臨其境的特點將為企業和消費者帶來新的體驗，使買家和賣家能夠以一種新的方式進行聯繫。企業將利用混合現實體驗的優勢，使他們的產品多樣化，並提供元宇宙空間中消費者的需求。
 
蕭松瀛說明，元宇宙會在四個基本面受到攻擊: 平台、渠道、邊緣與用戶。大多數元宇宙平台將建立在雲架構(公有雲或私有雲)，容易受到基於雲的攻擊。元宇宙透過其他API和其他連結協議與其他平台互動，這些聯結將成為攻擊目標，特別是元宇宙與加密貨幣之間連結的溝通管道。在邊緣的部分，元宇宙連接裝置的普及將不可避免地擴大攻擊面，並且造成隱私與資料外洩。
 
Palo Alto Networks台灣區總經理尤惠生總結道，攻擊手法益發成熟與多樣的時代，零信任原則與網路安全架構必須要結合，才能協助組織轉型以面對極度創新和進化的攻擊者。零信任原則移除在公司網路內、雲端及邊緣的所有隱含信任。網路安全架構需隨時隨地取得具有高可視性、控制性和效率的最佳網路安全效能。Palo Alto Networks提供ZTNA2.0主動、易用且符合成本效益的網路安全機制 。