数字化转型，安全是一切

文｜本刊记者 孙杰贤

“这几年的新冠疫情让我们发现这样一个事实，那就是数字化转型做得好的企业受到的疫情冲击要相对小得多。” F5安全事业部总经理陈亮在接受采访时表示，“进入信息社会和数字经济时代，数字化转型已经成为企业的必选项。但是有一个问题不能忽视，随着企业数字化转型深度和广度的增加，安全的风险会越来越大。对于企业来说，数字化转型，安全是一切。”

数字化转型的本质是企业将自己的资产、技术、服务和能力等通过技术手段打包到可重复利用的模块化软件和系统中。而这种资产、技术、服务和能力在软件和系统中以数据的形式被呈现。要利用好这些数据让其发挥最大价值便需要企业拥有良好的API 能力以打破数据孤岛，让数据在不同环境中使用。所以，数字化转型是由API驱动的，反之，数字化转型大势也成就了API经济。因此，从这一点看，应用安全是企业数字化转型的重中之重。

作为应用交付的鼻祖，F5自创立之初便将安全作为企业的基因之一。通过持续的研发、创新，以及并购、整合，F5巩固了在应用交付和应用安全领域的领先优势。F5安全运营中心（SOC）预测了2023年会出现的五大网络安全风险，希望为数字化转型中的企业提供参考。

威胁一：影子API将带来不可预知的漏洞。与网络安全的所有方面一样，企业无法为未知内容提供保障。F5认为，影子API代表了一种日益增长的风险，可能会导致大规模数据泄露，而受到侵害的企业甚至不知道这种风险的存在。

威胁二：多重身份验证将失去效力。攻击者会使用实时网络钓鱼代理来绕过多重身份验证（MFA）系统，这种攻击的目的是通过用大量的认证请求骚扰受害者，使企业意外或无奈地允许通知请求。这种类型的攻击将为企业带来直接的风险，因为员工通常是最容易受到社交工程攻击的威胁载体。2023年，这种攻击会越来越频繁和有效。

威胁三：云部署故障排除将带来更多问题。无论是意外还是出于故障排除的目的，许多云用户会采取创建临时服务用户的方式，通过内置身份和访问管理（IAM）策略或内联策略为其分配非常广泛的权限，然而这种临时的配置往往会变成永久性的配置，这将给企业带来极大的安全风险。

威胁四：开源软件库将成为攻击的主要目标。许多现代应用利用软件即服务（SaaS）进行安全防护，如集中式认证、数据库即服务或数据泄密防护（DLP）。如果攻击者能够破坏开源软件（OSS）的代码库或被应用消耗的SaaS产品，那么攻击者就在应用内部有了立足点，能够绕过如Web应用防火墙和API网关的外围防御，从而进行攻击。

威胁五：勒索软件将进一步扩张。有组织的网络犯罪将继续发展勒索软件技术，并将特别关注关键基础设施。针对云数据库的勒索软件攻击将在2023年大幅增加，因为企业和政府的关键数据都存储在其中。此外，攻击者将增加尝试次数，通过各种诈骗和下游欺诈手段（如申请新的信用卡），直接从受影响的个人身上获取漏洞数据。