日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

即將過去的2023年，網(wǎng)絡(luò)安全、云安全、應(yīng)用安全、數(shù)據(jù)安全領(lǐng)域暴露的諸多“安全債”中，有四大債務(wù)不但未能充分緩解，反而有在新的一年“爆雷”的風險。這四大債務(wù)分別是：Logj4漏洞、HTTP/2快速重置攻擊漏洞、惡意電子郵件和后量子加密，以下我們分別介紹：

成都創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站制作、成都網(wǎng)站設(shè)計、稱多網(wǎng)絡(luò)推廣、成都小程序開發(fā)、稱多網(wǎng)絡(luò)營銷、稱多企業(yè)策劃、稱多品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎；成都創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供稱多建站搭建服務(wù)，24小時服務(wù)熱線：028-86922220，官方網(wǎng)址：www.cdcxhl.com

一、Log4j漏洞仍然是2023年的頭號漏洞

Log4j漏洞是2021年11月曝出的互聯(lián)網(wǎng)歷史上最嚴重的漏洞之一，因為它不僅普遍存在、易于利用，且危害巨大。兩年后的今天，在全球網(wǎng)絡(luò)安全行業(yè)和企業(yè)界的共同努力下，很遺憾，Log4j漏洞仍然普遍存在、易于利用且危害巨大。

根據(jù)Cloudflare本月發(fā)布的報告，2023年全球范圍內(nèi)針對Log4j的攻擊量始終遠超其他漏洞（上圖），并且在10月最后一周和11月中下旬還出現(xiàn)了新的高峰（法國、德國、印度和美國的log4j漏洞利用最為活躍）。

Veracode近期發(fā)布的報告則顯示，盡管業(yè)界付出了巨大努力來修補Log4j漏洞，但2023年仍有超過三分之一的應(yīng)用程序運行易受攻擊的Log4j版本。

Log4j漏洞為何“復(fù)陽率”居高不下？Veracode首席研究官Chris Eng指出：“許多安全團隊反應(yīng)迅速，修補了最初的Log4j漏洞，但隨后又恢復(fù)了之前的松弛狀態(tài)，即使在2.17.1及更高版本發(fā)布后也不修補?！彼f。

Veracode發(fā)現(xiàn)，32%的應(yīng)用程序使用的Log4j版本已于2015年8月終止。79%的開發(fā)人員在將第三方（開源）庫添加到代碼中后從未更新過?！斑@解釋了為什么如此高比例的應(yīng)用程序正在運行Log4的終止版本?！盓ng說道。

二、最高效的DDoS攻擊技術(shù)：HTTP/2快速重置

2023年10月份披露的HTTP/2快速重置攻擊漏洞（通過快速重置繞過并發(fā)流限制）成了DDoS攻擊的熱門選擇，該漏洞可導(dǎo)致目標web應(yīng)用服務(wù)器、負載均衡器和web代理服務(wù)器的資源被快速耗盡。

Cloudflare對8月至10月的HTTP/2快速重置攻擊的分析（上圖）發(fā)現(xiàn)，平均攻擊率為每秒3000萬個請求(rps)，其中90次攻擊峰值超過1億rps。這些數(shù)字令人擔憂，因為HTTP/2快速重置漏洞使攻擊者可以利用規(guī)模相對較小的僵尸網(wǎng)絡(luò)（與動輒數(shù)十萬或數(shù)百萬臺主機的僵尸網(wǎng)絡(luò)相比，只需2萬臺受感染主機）發(fā)動大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊。

密碼管理和在線存儲公司Keeper Security的安全和架構(gòu)副總裁Patrick Tiquet表示：“雖然HTTP/2改進了Web性能和用戶體驗，但也引入了對攻擊者非常有吸引力的新攻擊向量。HTTP/2快速重置漏洞可被用來發(fā)動規(guī)模空前的DDoS攻擊?！?/p>

Qualys威脅研究部門網(wǎng)絡(luò)威脅總監(jiān)Ken Dunham補充道：“更糟糕的是，這種攻擊很容易實施，對攻擊者來說回報豐厚，因為HTTP/2快速重置攻擊據(jù)稱比傳統(tǒng)DDoS攻擊方法的效率高300%以上。”

雖然微軟、AWS、F5等基礎(chǔ)設(shè)施提供商和Web服務(wù)器、負載均衡軟件廠商都已經(jīng)發(fā)布了HTTP/2快速重置攻擊漏洞的緩解措施或補丁，但是安全專家認為HTTP/2快速重置DDoS攻擊仍將在2024年大行其道。

三、惡意電子郵件攻擊持續(xù)增長

惡意電子郵件/網(wǎng)絡(luò)釣魚依然是網(wǎng)絡(luò)攻擊的首先方式。據(jù)估計，90%的成功網(wǎng)絡(luò)攻擊都是從電子郵件網(wǎng)絡(luò)釣魚開始的。根據(jù)FBI最新發(fā)布的數(shù)據(jù)，商業(yè)電子郵件泄露(BEC)是一種無惡意軟件的攻擊，可誘騙收件人轉(zhuǎn)賬資金，已導(dǎo)致全球受害者損失超過500億美元。

雖然電子郵件安全始終是企業(yè)網(wǎng)絡(luò)安全防御的重要環(huán)節(jié)，但是2023年電子郵件安全態(tài)勢進一步惡化。根據(jù)Cloudfare Area1分析報告，2023年平均有2.65%的電子郵件被發(fā)現(xiàn)是惡意的，且呈現(xiàn)上升趨勢。按周計算，2月初、9月初和10月下旬惡意電子郵件占比分別飆升至3.5%以上、4.5%和5%以上（下圖）。

2023年惡意電子郵件占比持續(xù)增長 數(shù)據(jù)來源：CloudFlare

惡意鏈接、身份竊取依然是2023年最主要的電子郵件威脅，敲詐內(nèi)容在十月份出現(xiàn)了一個短暫的高峰，各郵件威脅類型的變化如下：

惡意電子郵件威脅類型占比變化 數(shù)據(jù)來源：CloudFlare

2024年，隨著生成式人工智能武器化的流行，惡意電子郵件的內(nèi)容質(zhì)量、發(fā)送規(guī)模和針對性將全面提升。企業(yè)需要結(jié)合智能化電子郵件安全解決方案和針對性安全意識培訓(xùn)才能有效緩解惡意電子郵件攻擊。

四、后量子加密流量僅占互聯(lián)網(wǎng)流量1.7%

雖然2023年谷歌的Chrome瀏覽器開始支持后量子密碼技術(shù)（PQC），但整個互聯(lián)網(wǎng)中PQC加密流量的占比依然很低。根據(jù)CloudFlare的報告，2023年使用PQC加密的互聯(lián)網(wǎng)流量占比約1.7%。

2023年后量子加密流量占比變化 數(shù)據(jù)來源：CloudFlare

“網(wǎng)絡(luò)流量向量子安全加密的方向邁出了一步，但是PQC的采用率僅為1.7%，仍然太低?！绷孔影踩踩鉀Q方案制造商QuSecure的首席信息安全官Craig Debban表示：“由于PQC僅適用于TLS1.3，因此PQC可能需要數(shù)年時間才能獲得業(yè)界的普遍關(guān)注。”

Debban指出：“當今的企業(yè)需要能夠編排加密技術(shù)，規(guī)劃并加速采用PQC加密技術(shù)，而無需等待客戶和供應(yīng)商升級他們的系統(tǒng)?！?/p>

企業(yè)數(shù)據(jù)安全提供商Qrypt的首席技術(shù)官兼聯(lián)合創(chuàng)始人Denis Mandich補充道：“量子計算和人工智能的威脅正在加速到來，而后量子加密技術(shù)也已經(jīng)不是新鮮事物，企業(yè)的網(wǎng)絡(luò)安全團隊不能滿足于與同行對齊，只有跑贏同行，你才能避免被狗熊襲擊。那些沒有準備好轉(zhuǎn)向量子安全工具和解決方案的人，不會得到任何人的同情?！?/p>
網(wǎng)頁名稱：隨時爆雷！2023年四大“安全債”
路徑分享：http://www.dlmjj.cn/article/dpjiisj.html