數(shù)字化轉型，安全是一切

文｜本刊記者 孫杰賢

“這幾年的新冠疫情讓我們發(fā)現(xiàn)這樣一個事實，那就是數(shù)字化轉型做得好的企業(yè)受到的疫情沖擊要相對小得多。” F5安全事業(yè)部總經(jīng)理陳亮在接受采訪時表示，“進入信息社會和數(shù)字經(jīng)濟時代，數(shù)字化轉型已經(jīng)成為企業(yè)的必選項。但是有一個問題不能忽視，隨著企業(yè)數(shù)字化轉型深度和廣度的增加，安全的風險會越來越大。對于企業(yè)來說，數(shù)字化轉型，安全是一切。”

數(shù)字化轉型的本質是企業(yè)將自己的資產(chǎn)、技術、服務和能力等通過技術手段打包到可重復利用的模塊化軟件和系統(tǒng)中。而這種資產(chǎn)、技術、服務和能力在軟件和系統(tǒng)中以數(shù)據(jù)的形式被呈現(xiàn)。要利用好這些數(shù)據(jù)讓其發(fā)揮最大價值便需要企業(yè)擁有良好的API 能力以打破數(shù)據(jù)孤島，讓數(shù)據(jù)在不同環(huán)境中使用。所以，數(shù)字化轉型是由API驅動的，反之，數(shù)字化轉型大勢也成就了API經(jīng)濟。因此，從這一點看，應用安全是企業(yè)數(shù)字化轉型的重中之重。

作為應用交付的鼻祖，F(xiàn)5自創(chuàng)立之初便將安全作為企業(yè)的基因之一。通過持續(xù)的研發(fā)、創(chuàng)新，以及并購、整合，F(xiàn)5鞏固了在應用交付和應用安全領域的領先優(yōu)勢。F5安全運營中心（SOC）預測了2023年會出現(xiàn)的五大網(wǎng)絡安全風險，希望為數(shù)字化轉型中的企業(yè)提供參考。

威脅一：影子API將帶來不可預知的漏洞。與網(wǎng)絡安全的所有方面一樣，企業(yè)無法為未知內(nèi)容提供保障。F5認為，影子API代表了一種日益增長的風險，可能會導致大規(guī)模數(shù)據(jù)泄露，而受到侵害的企業(yè)甚至不知道這種風險的存在。

威脅二：多重身份驗證將失去效力。攻擊者會使用實時網(wǎng)絡釣魚代理來繞過多重身份驗證（MFA）系統(tǒng)，這種攻擊的目的是通過用大量的認證請求騷擾受害者，使企業(yè)意外或無奈地允許通知請求。這種類型的攻擊將為企業(yè)帶來直接的風險，因為員工通常是最容易受到社交工程攻擊的威脅載體。2023年，這種攻擊會越來越頻繁和有效。

威脅三：云部署故障排除將帶來更多問題。無論是意外還是出于故障排除的目的，許多云用戶會采取創(chuàng)建臨時服務用戶的方式，通過內(nèi)置身份和訪問管理（IAM）策略或內(nèi)聯(lián)策略為其分配非常廣泛的權限，然而這種臨時的配置往往會變成永久性的配置，這將給企業(yè)帶來極大的安全風險。

威脅四：開源軟件庫將成為攻擊的主要目標。許多現(xiàn)代應用利用軟件即服務（SaaS）進行安全防護，如集中式認證、數(shù)據(jù)庫即服務或數(shù)據(jù)泄密防護（DLP）。如果攻擊者能夠破壞開源軟件（OSS）的代碼庫或被應用消耗的SaaS產(chǎn)品，那么攻擊者就在應用內(nèi)部有了立足點，能夠繞過如Web應用防火墻和API網(wǎng)關的外圍防御，從而進行攻擊。

威脅五：勒索軟件將進一步擴張。有組織的網(wǎng)絡犯罪將繼續(xù)發(fā)展勒索軟件技術，并將特別關注關鍵基礎設施。針對云數(shù)據(jù)庫的勒索軟件攻擊將在2023年大幅增加，因為企業(yè)和政府的關鍵數(shù)據(jù)都存儲在其中。此外，攻擊者將增加嘗試次數(shù)，通過各種詐騙和下游欺詐手段（如申請新的信用卡），直接從受影響的個人身上獲取漏洞數(shù)據(jù)。