随时爆雷!2023年四大“安全债”

即将过去的2023年,网络安全、云安全、应用安全、数据安全领域暴露的诸多“安全债”中,有四大债务不但未能充分缓解,反而有在新的一年“爆雷”的风险。这四大债务分别是:Logj4漏洞、HTTP/2快速重置攻击漏洞、恶意电子邮件和后量子加密,以下我们分别介绍:

一、Log4j漏洞仍然是2023年的头号漏洞

Log4j漏洞是2021年11月曝出的互联网历史上最严重的漏洞之一,因为它不仅普遍存在、易于利用,且危害巨大。两年后的今天,在全球网络安全行业和企业界的共同努力下,很遗憾,Log4j漏洞仍然普遍存在、易于利用且危害巨大。

根据Cloudflare本月发布的报告,2023年全球范围内针对Log4j的攻击量始终远超其他漏洞(上图),并且在10月最后一周和11月中下旬还出现了新的高峰(法国、德国、印度和美国的log4j漏洞利用最为活跃)。

Veracode近期发布的报告则显示,尽管业界付出了巨大努力来修补Log4j漏洞,但2023年仍有超过三分之一的应用程序运行易受攻击的Log4j版本。

Log4j漏洞为何“复阳率”居高不下?Veracode首席研究官Chris Eng指出:“许多安全团队反应迅速,修补了最初的Log4j漏洞,但随后又恢复了之前的松弛状态,即使在2.17.1及更高版本发布后也不修补。”他说。

Veracode发现,32%的应用程序使用的Log4j版本已于2015年8月终止。79%的开发人员在将第三方(开源)库添加到代码中后从未更新过。“这解释了为什么如此高比例的应用程序正在运行Log4的终止版本。”Eng说道。

二、最高效的DDoS攻击技术:HTTP/2快速重置

2023年10月份披露的HTTP/2快速重置攻击漏洞(通过快速重置绕过并发流限制)成了DDoS攻击的热门选择,该漏洞可导致目标web应用服务器、负载均衡器和web代理服务器的资源被快速耗尽。

Cloudflare对8月至10月的HTTP/2快速重置攻击的分析(上图)发现,平均攻击率为每秒3000万个请求(rps),其中90次攻击峰值超过1亿rps。这些数字令人担忧,因为HTTP/2快速重置漏洞使攻击者可以利用规模相对较小的僵尸网络(与动辄数十万或数百万台主机的僵尸网络相比,只需2万台受感染主机)发动大规模分布式拒绝服务(DDoS)攻击。

密码管理和在线存储公司Keeper Security的安全和架构副总裁Patrick Tiquet表示:“虽然HTTP/2改进了Web性能和用户体验,但也引入了对攻击者非常有吸引力的新攻击向量。HTTP/2快速重置漏洞可被用来发动规模空前的DDoS攻击。”

Qualys威胁研究部门网络威胁总监Ken Dunham补充道:“更糟糕的是,这种攻击很容易实施,对攻击者来说回报丰厚,因为HTTP/2快速重置攻击据称比传统DDoS攻击方法的效率高300%以上。”

虽然微软、AWS、F5等基础设施提供商和Web服务器、负载均衡软件厂商都已经发布了HTTP/2快速重置攻击漏洞的缓解措施或补丁,但是安全专家认为HTTP/2快速重置DDoS攻击仍将在2024年大行其道。

三、恶意电子邮件攻击持续增长

恶意电子邮件/网络钓鱼依然是网络攻击的首先方式。据估计,90%的成功网络攻击都是从电子邮件网络钓鱼开始的。根据FBI最新发布的数据,商业电子邮件泄露(BEC)是一种无恶意软件的攻击,可诱骗收件人转账资金,已导致全球受害者损失超过500亿美元。

虽然电子邮件安全始终是企业网络安全防御的重要环节,但是2023年电子邮件安全态势进一步恶化。根据Cloudfare Area1分析报告,2023年平均有2.65%的电子邮件被发现是恶意的,且呈现上升趋势。按周计算,2月初、9月初和10月下旬恶意电子邮件占比分别飙升至3.5%以上、4.5%和5%以上(下图)。

2023年恶意电子邮件占比持续增长  数据来源:CloudFlare

2023年恶意电子邮件占比持续增长 数据来源:CloudFlare

恶意链接、身份窃取依然是2023年最主要的电子邮件威胁,敲诈内容在十月份出现了一个短暂的高峰,各邮件威胁类型的变化如下:

恶意电子邮件威胁类型占比变化  数据来源:CloudFlare

恶意电子邮件威胁类型占比变化 数据来源:CloudFlare

2024年,随着生成式人工智能武器化的流行,恶意电子邮件的内容质量、发送规模和针对性将全面提升。企业需要结合智能化电子邮件安全解决方案和针对性安全意识培训才能有效缓解恶意电子邮件攻击。

四、后量子加密流量仅占互联网流量1.7%

虽然2023年谷歌的Chrome浏览器开始支持后量子密码技术(PQC),但整个互联网中PQC加密流量的占比依然很低。根据CloudFlare的报告,2023年使用PQC加密的互联网流量占比约1.7%。

2023年后量子加密流量占比变化  数据来源:CloudFlare

2023年后量子加密流量占比变化 数据来源:CloudFlare

“网络流量向量子安全加密的方向迈出了一步,但是PQC的采用率仅为1.7%,仍然太低。”量子安全安全解决方案制造商QuSecure的首席信息安全官Craig Debban表示:“由于PQC仅适用于TLS1.3,因此PQC可能需要数年时间才能获得业界的普遍关注。”

Debban指出:“当今的企业需要能够编排加密技术,规划并加速采用PQC加密技术,而无需等待客户和供应商升级他们的系统。”

企业数据安全提供商Qrypt的首席技术官兼联合创始人Denis Mandich补充道:“量子计算和人工智能的威胁正在加速到来,而后量子加密技术也已经不是新鲜事物,企业的网络安全团队不能满足于与同行对齐,只有跑赢同行,你才能避免被狗熊袭击。那些没有准备好转向量子安全工具和解决方案的人,不会得到任何人的同情。”

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/259189.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

《每天一分钟学习C语言·三》

1、 scanf的返回值由后面的参数决定scanf(“%d%d”,& a, &b); 如果a和b都被成功读入,那么scanf的返回值就是2如果只有a被成功读入,返回值为1如果a和b都未被成功读入,返回值为0 如果遇到错误或遇到end of file,返回值为EOF…

Ansible常用模块详解(附各模块应用实例和Ansible环境安装部署)

目录 一、ansible概述 1、简介 2、Ansible主要功能: 3、Ansible的另一个特点:所有模块都是幂等性 4、Ansible的优点: 5、Ansible的四大组件: 二、ansible环境部署: 1、环境: 2、安装ansible&#…

web前端游戏项目-雷霆战机飞机大战游戏【附源码】

文章目录 一:雷霆战机HTML源码:JS文件:(1)function.js(2)impact.js(3)move.1.1.js(4)script.js 二:飞机大战HTML源码:CSS源…

短视频时代,又恰逢双旦来临之际,普通人又该如何立足?

我是电商珠珠 在电商发展迅速的同时,短视频也在同步发展。国内的短视频比较热门的有抖音、视频号、快手这几个。 抖音在19年的时候发展起了自己的电商行业-抖音小店,并顺势掀起了直播电商的热潮。 直播电商在短视频中很火,所以很多人都选择…

电源模块测试方法 | 怎么测试电源负载瞬态响应?

负载瞬态响应测试是检测电源稳定性和质量的重要方法之一,而电源稳定性是设备正常运行的基础。通过负载瞬态响应测试来检测电源的响应速度和稳定性,从而优化电源设计,提升性能,确保电子设备可以稳定工作。 什么是负载瞬态响应测试?…

技术博客:市面上加密混淆软件的比较和推荐

引言 市面上有许多加密混淆软件可供开发者使用,但哪些软件是最好用的?哪些软件受到开发者的喜爱?本文将根据一次在CSDN上的投票结果,为大家介绍几款在程序员中普及度较高的加密软件。以下是投票结果,希望能对大家的选…

如何进一步优化Ubuntu服务器的性能

导读: 要进一步优化Ubuntu服务器的性能,您可以考虑以下几个方面:优化软件包管理: Ubuntu使用APT(Advanced Package Tool)作为其软件包管理工具。为了提高性能,您可以采取以下措施 要进一步优化U…

鸿蒙ArkTS语言介绍与TS基础法

1、ArkTS介绍 ArkTS是HarmonyOS主力应用开发语言,它在TS基础上,匹配ArkUI框架,扩展了声明式UI、状态管理等响应的能力,让开发者以更简洁、更自然的方式开发跨端应用。 JS 是一种属于网络的高级脚本语言,已经被广泛用…

纵横字谜的答案 Crossword Answers

纵横字谜的答案 Crossword Answers - 洛谷 | 计算机科学教育新生态 (luogu.com.cn) 翻译后大概是&#xff1a; 有一个 r 行 c 列 (1<r,c<10) 的网格&#xff0c;黑格为 * &#xff0c;每个白格都填有一个字母。如果一个白格的左边相邻位置或者上边相邻位置没有白格&…

一文读懂光量子技术

量子力学理论是在二十世纪初提出的&#xff0c;目的是为了更好地解释原子发出的光的光谱。当时&#xff0c;许多人认为物理学几乎已被完全理解&#xff0c;只剩下一些异常现象有待“解决”。 量子力学完整理论的出现完全出乎人们的意料&#xff1a;它从根本上描述了自然界。它描…

python+torch线性回归模型机器学习

程序示例精选 pythontorch线性回归模型机器学习 如需安装运行环境或远程调试&#xff0c;见文章底部个人QQ名片&#xff0c;由专业技术人员远程协助&#xff01; 前言 这篇博客针对《pythontorch线性回归模型机器学习》编写代码&#xff0c;代码整洁&#xff0c;规则&#xf…

[CVPR-23] PointAvatar: Deformable Point-based Head Avatars from Videos

[paper | code | proj] 本文的形变方法被成为&#xff1a;Forward DeformationPointAvatar基于点云表征动态场景。目标是根据给定的一段单目相机视频&#xff0c;重建目标的数字人&#xff0c;并且数字人可驱动&#xff1b;通过标定空间&#xff08;canonical space&#xff09…

域架构下的功能安全思考

来源&#xff1a;联合电子 随着整车电子电气架构的发展&#xff0c;功能域控架构向整车集中式区域控制演进。新的区域控制架构下&#xff0c;车身控制模块(BCM)&#xff0c;整车控制单元&#xff08;VCU&#xff09;&#xff0c;热管理系统&#xff08;TMS&#xff09;和动力底…

机器学习笔记:支持向量机回归SVR

1 主要思想 主要思路类似于机器学习笔记&#xff1a;支持向量机SVM_支撑向量学习-CSDN博客 和SVM的区别主要有 解法和SVM区别不大&#xff0c;也是KKT 2 和线性回归的区别 对SVR&#xff0c;如果f(x)和y之间的差距小于阈值ε【也即落在两条间隔带之间】&#xff0c;则不计算…

Text2SQL学习整理(三)SQLNet与TypeSQL模型

导语 上篇博客&#xff1a;Text2SQL学习整理&#xff08;二&#xff09;&#xff1a;WikiSQL数据集介绍简要介绍了WikiSQL数据集的一些统计特性和数据集特点&#xff0c;同时简要概括了该数据集上一个baseline&#xff1a;seq2sql模型。本文将介绍seq2SQL模型后一个比较知名的…

盲盒电商:万物皆可盲盒

随着社会的进步和消费观念的改变&#xff0c;盲盒已经成为了年轻人喜爱的消费方式之一。从玩具、文具到美妆、服饰&#xff0c;甚至是旅行、餐饮等领域&#xff0c;盲盒的形态和内容也在不断变化和丰富。今天&#xff0c;我们就来聊聊这个充满惊喜和未知的盲盒世界。 一、盲盒的…

JDK bug:ciObjectFactory::create_new_metadata:原因完全解析

文章目录 1、问题2.详细日志2.关键日志3.结论4.JDK&#xff1a;bug最终bug链接&#xff1a; 京东遇到过类似bug各位大佬如果有更详细的解答可以留言。 1、问题 服务不通&#xff0c;接口404&#xff0c;查看日志有一下截图&#xff0c;还有一个更详细的日志 2.详细日志 # #…

Missing artifact org.wltea.analyzer:ik-analyzer:jar:5.0

没有找到【org.wltea.analyzer】 找到了【org.wltea.ik-analyzer】 https://github.com/wks/ik-analyzer https://github.com/wks/ik-analyzer.git https://code.google.com/archive/p/ik-analyzer/downloads?page2 C:\Users\Administrator\Desktop\ik-analyzer-master>m…

java实现回文数算法

判断一个数是否为回文数可以使用以下算法&#xff1a; 将数字转化为字符串&#xff1b;初始化左右两个指针&#xff0c;分别指向字符串的首尾&#xff1b;循环比较左右指针指向的字符&#xff0c;如果相等则继续比较&#xff0c;直到左右指针相遇或者发现不相等的字符为止&…

《opencv实用探索·二十一》人脸识别

Haar级联分类器 在OpenCV中主要使用了两种特征&#xff08;即两种方法&#xff09;进行人脸检测&#xff0c;Haar特征和LBP特征。用的最多的是Haar特征人脸检测。 Haar级联分类器是一种用于目标检测的机器学习方法&#xff0c;它是一种基于机器学习的特征选择方法&#xff0c;…