當回顧過去一年中需要關注的安全事件、事件和故事時，很明顯，引人注目的數據泄露和零日攻擊將繼續占據頭條新聞。似乎幾乎一周過去了，某種網絡安全事件沒有成為頭條新聞，隨著 CISO 和防御者應對經濟惡化和損害安全計劃的裁員，將支出預算擴大到極限。

在這篇對 2022 年熱點事件的回顧中，《 安全周刊》的編輯們仔細研究了影響 2022 年的五個重大事件，以及它們對未來大規模保護數據可能意味著什么。

Lapsus$ 肆虐

這一年開始時，防御者仍在爭先恐后地緩解Log4j 供應鏈危機，但在表面之下，潛伏著同樣危險的東西，并準備對高科技領域的一些知名企業造成大屠殺。

Lapsus$ 是一群出于經濟動機的網絡犯罪分子的代號，其“勒索和破壞”黑客狂潮引起了人們的注意，這使英偉達、三星、育碧、優步和 Rockstar Games 等知名公司暴露并蒙羞。

Lapsus$ 大屠殺還打擊了科技巨頭Microsoft 和 Okta，Redmond 公開記錄了“大規模的社會工程和勒索活動”，而 Okta 在其違規程度方面嚴重破壞了與客戶的溝通。

“[該組織] 以使用純粹的勒索和破壞模型而不部署勒索軟件有效載荷而聞名，”微軟在一份說明中警告說，承認其自己的系統在備受矚目的突襲中受到損害。

到 2022 年底，Lapsus$ 的妥協非常嚴重，以至于美國政府注意到并指派其 CSRB（網絡安全審查委員會）“審查 Lapsus$ 的網絡活動，以分析他們的策略并幫助各種規模的組織保護自己。”

零日漏洞

連續第二年，記錄在案的野外零日攻擊案例仍然備受關注，新數據顯示零日攻擊活動已蔓延至低級網絡犯罪分子。

到 2022 年底，有 52 起公開記錄的零日攻擊襲擊了廣泛的軟件產品，最顯著的影響來自大型技術供應商 Microsoft、Google 和 Apple 的代碼。

更令人擔憂的是，已觀察到針對思科、Sophos、趨勢科技、Atlassian、Magento 和 QNAP Systems 產品中的軟件和固件漏洞的零日攻擊。在這一年中，包括 Fortinet 和 Citrix 在內的多家供應商被迫發布緊急修復程序以應對零日攻擊。

根據SecurityWeek跟蹤的數據，2022 年 Microsoft 漏洞約占所有零日漏洞利用的 23%，其次是 Google Chrome (17%) 和 Apple 產品（iOS 和 macOS 零日漏洞合計為 17%）。

在 2022 年期間，美國政府的網絡安全機構 CISA 不間斷地將“已知被利用的漏洞”添加到其必須修補目錄中，VPN、防火墻和固件在受到攻擊的產品類別中占據突出地位。

大型科技公司對付雇傭間諜軟件供應商

整個 2022 年，隨著 Cytrox、Candiru、BellTroX 和 DSIRF 等公司加入臭名昭著的NSO 集團，雇傭間諜軟件供應商的公開曝光和點名羞辱繼續快速進行hack-for-hire 有針對性的攻擊操作。

包括 Facebook 母公司 Meta 提交的法庭文件、微軟的公開文件和谷歌在國會的露面在內的大型科技公司打擊行動描繪了一幅遍布全球的雇傭監控行業的圖景，黑客團隊設在美國，歐洲和以色列。 

2022 年出現的一些新名稱包括 Cobwebs Technologies、Cognate、Black Cube、Bluehawk CI 和 CyberRoot（前身為 BellTroX），因為防御者發現了零日攻擊、魚叉式網絡釣魚活動和復雜的攻擊鏈的跡象。

不斷擴大的雇傭監視活動促使網絡安全專業人士呼吁美國政府緊急控制這些陰暗的業務。在眾議院情報委員會的一次露面中，Google 的Shane Huntley呼吁國會考慮“全面禁止”聯邦采購商業間諜軟件技術，并敦促擴大對兩個臭名昭著的供應商——NSO Group 和 Candiru 的制裁。

2022 年這些故事中出現的一個令人擔憂的趨勢是使用美國盟友情報部門的退伍軍人，以及針對記者、活動家和持不同政見者的專制政府繼續濫用軟件。

SBOM 和軟件供應鏈安全

為確保軟件供應鏈安全而進行的殊死搏斗在整個 2022 年占據了中心位置，因為美國政府呼吁特別關注固件安全作為“單點故障”，并圍繞 SBOM 的強制執行展開了熱烈討論（軟件物料清單）。

SBOM 授權包含在白宮行政命令中，是聯邦政府推動軟件交付生態系統中的供應商和供應商提供安全保證的一部分。

隨著安全領導者和 CISO 爭先恐后地弄清楚如何使用和交付強制性軟件成分列表，大型技術供應商發布了用于 SBOM 生成的開源工具包，風險資本家加倍投資于供應鏈領域。

然而，在表面之下，一些 IT 和軟件交付領域的大腕對政府的 SBOM 授權表示強烈反對。到年底，代表大型科技公司的游說者公開呼吁聯邦政府的管理和預算辦公室 (OMB) “勸阻機構”要求 SBOM，認為供應商“現在為時過早且效用有限”準確提供構成軟件組件的成分的嵌套清單。

這個名為 ITI（信息技術產業委員會）的貿易組織的重要成員包括亞馬遜、微軟、蘋果、英特爾、AMD、聯想、IBM、思科、三星、臺積電、高通、Zoom 和 Palo Alto Networks 。

網絡安全業務越來越大

在攻擊面蔓延、與云相關的數據泄露和不斷擴大的勒索軟件危機持續擴大的一年中，投資者繼續尋求投資于網絡安全初創公司的利潤。

網絡安全“獨角獸” （估值超過 10 億美元的初創公司）的步伐在 2022 年明顯放緩，但不乏大型融資交易，尤其是對于處理軟件供應鏈或云數據安全的早期初創公司而言。

我們觀察到風投們瘋狂地將資金投入一些奇怪的類別（安全的企業瀏覽器就是一個例子），并且穩定的投資流向處理 API 安全、攻擊面管理、數據安全態勢管理和軟件供應鏈安全的公司。

谷歌以 54 億美元收購 Mandian t 并以5億美元收購 Siemplify，這為這家搜索營銷巨頭提供了令人印象深刻的網絡安全堆棧，可將其添加到其企業云產品中，并標志著與競爭對手微軟爭奪網絡安全相關收入的巨大推動力。

微軟在 2022 年放棄了大手筆收購，但在網絡安全收入達到 150 億美元的年度大關之際，通過推出新的托管服務繼續展示其安全業務實力。

去年，知名私募股權公司積極收購身份和訪問管理領域的公司。重大交易包括 Thoma Bravo以 28 億美元收購 Ping Identity，以總計120億美元收購SailPoint和ForgeRock；Vista Equity Partners為 KnowBe4支付了 46 億美元。