安全云架構有哪些關鍵步驟？

配置錯誤的興起始于2018年，主要是由沒有適當訪問控制權力的云數據存儲實現驅動的……盡管主要云計算提供商努力使默認配置更安全，但這些錯誤仍然存在。

云計算網絡攻擊并不像人們想像的那樣驚心動魄，現實生活中的劇本更加平淡無奇。網絡攻擊者部署自動化技術來掃描互聯網以尋找可利用的漏洞。他們得到的是一個可供選擇的目標虛擬“購物清單”，一旦進入云計算環境，他們就會利用其架構上的弱點來查找敏感數據，例如個人身份信息(PII)可以在幾分鐘內提取出來，通常是從對象存儲服務或數據庫快照。

網絡攻擊者不會遍歷安全團隊使用傳統入侵檢測和預防解決方案和流程監控的傳統網絡。企業正試圖用以往的數據中心安全技術挫敗當今的云計算攻擊者，并且對云計算威脅形勢沒有完全了解。

物聯網碎片化帶來了哪些挑戰？

隨著全球物聯網設備的數量遠遠超過 200 億，很明顯，該行業的受歡迎程度繼續增長。將設備連接到互聯網的 能力允許遠程操作和與其他設備合作。如果物聯網和人工智能技術繼續發展，用不了多久就會出現第一個真正的智能家居，即家中的設備由人工智能管家智能控制，可以預測居住者的需求，節約能源，提高整體效率。

但是，盡管物聯網技術帶來了許多優勢，但它們仍然存在許多問題。其中之一是早期設備缺乏安全措施；第一代物聯網設備問世之際，物聯網設備易受攻擊的想法還沒有被構想出來。當時的許多工程師認為， 單個物聯網設備對黑客來說會顯得無趣，而黑客會將他們的精力投入到攻擊服務器和主流 PC 上。?

然而，黑客很快就想到了將物聯網設備用作能夠執行大規模拒絕服務攻擊的僵尸設備。黑客們還注意到，入侵物聯網設備也可以進入可用于發起攻擊的本地網絡，并且還認識到物聯網設備可用于間諜活動。

如何防范 Deepfake 攻擊和勒索

2021 年初，聯邦調查局發布了關于合成內容（包括深度偽造）威脅日益增加的警告，將其描述為“生成或操縱的廣泛數字內容，包括圖像、視頻、音頻和文本”。人們可以使用 Photoshop 等軟件創建最簡單類型的合成內容。Deepfake 攻擊者使用人工智能 (AI) 和機器學習 (ML) 等技術變得越來越老練?，F在，這些可以創建逼真的圖像和視頻。

請記住，攻擊者從事網絡盜竊業務是為了賺錢。勒索軟件往往會成功。因此，他們將 deepfakes 用作新的勒索軟件工具是合乎邏輯的舉措。在共享勒索軟件的傳統方式中，攻擊者通過嵌入誘人的 deepfake 視頻的惡意軟件發起網絡釣魚攻擊。還有一種利用深度偽造的新方法。攻擊者可以向人們或企業展示各種非法（但虛假）的行為，如果圖像公開，這些行為可能會損害他們的聲譽。支付贖金，視頻將保持私密。

除了勒索軟件，威脅行為者可能會將數據和圖像武器化以散布謊言并欺騙員工、客戶和其他人，或勒索他們。

了解網絡犯罪的演變以預測其未來

對網絡犯罪從 1990 年代開始發展到今天的數十億美元的發展進行分析有一個壓倒一切的主題：網絡犯罪作為一項業務的發展密切模仿合法業務的發展，并將繼續發展以提高其自身的投資回報率.

在早期，黑客攻擊更多的是為了個人聲望和榮譽，而不是為了賺錢——但互聯網讓人們意識到互聯網上可以賺錢。網絡犯罪的第一階段大致符合 1990 年至 2006 年的時期。

從這個簡單的認識出發，HP Wolf Security對網絡犯罪的演變的研究表明，一個地下業務遵循并模仿了地上業務生態系統——包括數字化轉型。高級惡意軟件分析師兼報告作者亞歷克斯·霍蘭德（Alex Holland）表示：“數字化轉型加劇了攻防鴻溝的雙方——例如，‘即服務’產品的日益普及表明了這一點。這已經使惡意活動民主化，以至于需要高水平知識和資源的復雜攻擊——曾經是高級持續威脅 (APT) 組織的保留地——現在更容易被更廣泛的威脅行為者訪問?！?/span>?

面對不斷增長的攻擊面，金融業該何去何從？

近年來，零日漏洞的不斷加劇、勒索軟件的越發猖獗以及各種安全威脅的持續升級，使網絡安全形勢變得愈加嚴峻。金融服務業作為前沿技術的最佳踐行者，面臨的網絡安全問題更加嚴重復雜。尤其在新冠疫情期間，移動銀行應用程序、移動客戶服務以及其他數字工具迅速得到了普及。

根據思科 CISO 基準研究數據表明，2020 年有17% 的公司每天都會收到 10萬 個或更多的安全警報，這一趨勢在疫情發生后仍在繼續。數據還顯示，2021 年的常見漏洞和暴露數量創下歷史新高，達到20141個，超過了 2020 年 18325 個的記錄。

據Adobe 2022 年 FIS 趨勢報告顯示，在接受調查的金融服務和保險公司中，有超過一半的公司的移動用戶在 2020 年上半年都出現了顯著增長。此外，報告還發現，有十分之四的財務高管表示數字和移動渠道占其銷售額的一半以上，并預計這種趨勢將在未來幾年內持續下去。

攻擊面管理為何成為 2022 主流？

近期，美國網絡安全審查委員會發布首份報告稱，2021年年底曝光的Log4j漏洞成為難以消除的漏洞，其影響將會持續十年之久。

Log4j事件表明，我們對暴露的IT資產知之甚少。據統計，大型組織通常擁有數千、數萬或更多面向互聯網的資產，包括網站、敏感數據、員工憑證、云工作負載、云存儲、源代碼、SSL 證書等。?

如果要問“攻擊者發現和利用Log4j等漏洞的頻率和速度帶來什么教訓”，答案一定是應在攻擊面管理和網絡保護工具部署等方面做出積極主動的探索。

現代數字基礎設施加速發展，容器化、SaaS應用以及混合工作環境急速增長，企業面臨的攻擊面也在隨之擴大。為降低攻擊風險，許多機構都在努力發現、分類和管理面向互聯網的資產。

保護智慧城市安全始于網絡基礎設施

雖然智能城市的承諾為市政當局和居民提供了“智能”服務的效率和價值，但它也帶來了網絡安全挑戰。每個連接的組件——從設備到網絡基礎設施——為黑客竊取數據、破壞系統和獲取他們不應該擁有的信息提供了一個潛在的切入點。?

智慧城市生態系統可能充滿了數以萬計的物聯網 (IoT) 設備，它們通過公共網絡基礎設施進行通信。為了讓智慧城市取得成功，每個物聯網設備都必須是低功耗、性能卓越、能夠承受干擾并且可靠的。它們將在設備和連接它們的網絡基礎設施之間自由傳輸數據。

智慧城市設備制造商，從智能照明和供水系統到智能交通管理系統和交通系統，在安全方面充當第一道防線。每個設備可能具有許多協同工作的技術，例如芯片組、傳感器、通信協議、固件和軟件。這些技術組件的構建或采購必須考慮到安全性。