日前，RSA大會的內(nèi)容策劃Kacy Zurkus基于大會專家委員會的思考，發(fā)布了2022年網(wǎng)絡(luò)安全預(yù)測，內(nèi)容涵蓋供應(yīng)鏈安全、勒索軟件、安全人員供給等。安全內(nèi)參編譯如下：

　　企業(yè)對系統(tǒng)依賴項(xiàng)進(jìn)行大清理

　　勒索軟件將蔓延到物聯(lián)網(wǎng)

　　來自朝鮮或者伊朗的勒索軟件數(shù)量激增

　　美國政府對安全不佳的供應(yīng)商進(jìn)行問責(zé)

　　網(wǎng)絡(luò)安全專業(yè)人員不足將引發(fā)一場危機(jī)

　　企業(yè)和供應(yīng)商之間關(guān)系開始向利他主義轉(zhuǎn)變

　　檢查系統(tǒng)依賴項(xiàng)中的薄弱點(diǎn)

　　2021年10月上旬，F(xiàn)acebook經(jīng)歷了長達(dá)數(shù)小時(shí)之久的宕機(jī)故障。這提醒了我們一個(gè)嚴(yán)峻的事實(shí)：我們已經(jīng)將許多依賴項(xiàng)集成進(jìn)系統(tǒng)，但如果沒有發(fā)生宕機(jī)事件，我們在很大程度上并不會意識到這些依賴項(xiàng)會產(chǎn)生哪些影響。

　　RSA大會程序委員會主席休-湯普森（Hugh Thompson）說：“社會和依賴關(guān)系就像疊樂高積木玩具，在其中一塊積木被拉出之前，我們并不真正知道它的真實(shí)面貌?！边@些積木在2022年將不可避免地被移除。我們現(xiàn)在需要考慮每一塊積木對整體的影響，畢竟誰也不想看到塔樓轟然倒塌。

　　勒索軟件蔓延到物聯(lián)網(wǎng)

　　勒索軟件仍然是人們關(guān)注的焦點(diǎn)。Cobalt公司的首席戰(zhàn)略官Caroline Wong預(yù)測，我們將看到惡意團(tuán)體繼續(xù)擴(kuò)大勒索軟件攻擊規(guī)模，并且使之更加專業(yè)化。然而Wong表示，她預(yù)計(jì)勒索軟件會出現(xiàn)一些變化，特別是在物聯(lián)網(wǎng)方面。

　　“消費(fèi)者對勒索軟件并不陌生。雖然他們已經(jīng)有了心理準(zhǔn)備，但還是對其感到緊張和恐懼。雖然從技術(shù)層面上講，某些受害者的數(shù)據(jù)可能還沒到無法恢復(fù)的地步，但攻擊者仍將利用社會工程學(xué)技術(shù)，誘騙恐嚇受害者支付贖金”。

　　Wong說，在2022年，我們可能會經(jīng)?？吹綈阂庑袨檎呃梦锫?lián)網(wǎng)設(shè)備的漏洞?！霸谝酝睦账鬈浖校诳蜁用苁芎φ叩臄?shù)據(jù)，并在收到贖金前扣留其數(shù)據(jù)。但這種類型的攻擊有所不同，通常是攻擊者通過物聯(lián)網(wǎng)設(shè)備接管通信能力，利用受害者的恐懼和焦慮，并通過社會工程學(xué)來操縱他們的行為（即迫使他們支付贖金）?！?/p>

　　俄羅斯之外的對手會引發(fā)問題

　　Silverado Policy Accelerator公司主席Dmitri Alperovitch說，“大家都意識到俄羅斯已經(jīng)成為勒索軟件攻擊者的安全港。而其他國家的敵人，特別是朝鮮，正在密切關(guān)注這一點(diǎn)。在接下來的12個(gè)月內(nèi)，我們將看到來自朝鮮或者伊朗的勒索軟件數(shù)量激增。

　　SANS技術(shù)研究所總裁Ed Skoudis表示，我們擔(dān)心的是，這些其他國家的經(jīng)驗(yàn)會比較少，使得他們更有可能犯錯?！比鄙俳?jīng)驗(yàn)且缺少技巧，“ Skoudis說：”我確實(shí)認(rèn)為我們可能會看到一次（無意或有意的）嚴(yán)重勒索軟件攻擊，可能會摧毀一個(gè)聯(lián)邦政府機(jī)構(gòu)及其行使職能的能力。“

　　有人會收到法院傳票

　　問責(zé)制是一個(gè)影響廣泛的想法，我們希望看到每個(gè)人都肩負(fù)責(zé)任，以此來保護(hù)我們賴以生存的大型數(shù)字生態(tài)系統(tǒng)，而那些沒有滿足安全要求的人將被追究。

　　Alperovitch表示：”明年我們將可能會看到美國聯(lián)邦政府起訴某個(gè)聯(lián)邦承包商，理由是他們的安全狀況不佳“。

　　技能不足將引發(fā)危機(jī)

　　雖然整個(gè)教育領(lǐng)域都在實(shí)施網(wǎng)絡(luò)安全計(jì)劃，但Skoudis預(yù)測，

　　”隨著技術(shù)的激增并變得更加復(fù)雜和精密，網(wǎng)絡(luò)安全專業(yè)人員和專業(yè)知識的匱乏將愈發(fā)嚴(yán)重，可能將會引發(fā)一場危機(jī)。云環(huán)境和多云架構(gòu)的復(fù)雜性正變得越來越難以處理，而我們卻缺少足夠數(shù)量的優(yōu)秀人才“。

　　開始向利他主義轉(zhuǎn)變

　　這個(gè)預(yù)測與我們是否會花時(shí)間去識別系統(tǒng)依賴性中的弱點(diǎn)有關(guān)。考慮潛在的系統(tǒng)性故障這一行為本身就承認(rèn)了我們相互依賴、彼此負(fù)責(zé)。

　　思科公司CISO咨詢負(fù)責(zé)人Wendy Nather說，現(xiàn)在許多圍繞依賴性的討論都把焦點(diǎn)集中在羞辱受害者未盡其責(zé)上了。”現(xiàn)在我們在討論立法，促使供應(yīng)商做好他們的工作。這不僅僅是一個(gè)供應(yīng)鏈的問題，而是‘我們彼此應(yīng)當(dāng)給予對方什么？’因?yàn)檫@些關(guān)系不是單向的。它們不僅僅是供應(yīng)鏈，而是一個(gè)生態(tài)系統(tǒng)?！?/p>

　　到2022年，我們希望看到更多人意識到我們和供應(yīng)商之間關(guān)系的互惠互利。不存在什么階級制度可以讓別人背鍋。”我們彼此腰間都別著上膛的武器，不要擦槍走火，“Nather說。