智库跟踪 | McAfee Labs:2017年网络威胁预测(上)
再不点蓝字关注,机会就要飞走了哦
前言
McAfee Labs的报告指出了2017年需要关注的14个威胁趋势,以及网络安全行业面临的六大挑战。报告分为两部分,第一部分探讨网络安全挑战,云计算、物联网威胁、法规和供应商响应措施三个主题。第二部分对2017年的威胁活动进行了具体预测,包括勒索软件、所有类型的漏洞、利用威胁情报改进防御,移动威胁将扩展到勒索软件、RAT、破坏性应用市场,“无人机劫持”将网络威胁拓展到天空中,物联网恶意软件设置家庭的后门,机器学习加快社会工程攻击,以及虚假广告呈爆炸式增长、危及信任,广告战升级加剧恶意软件传播等。
今日本文介绍报告第一部分,报告第二部分敬请关注明日微信。
(一) 难以应对的安全挑战
数字信息安全领域始终面临着各种挑战。为了应对攻击者层出不穷的变化,我们持续不断地推出软件更新和补丁。重大软件版本在推出重要新功能的同时,也会带来意想不到的漏洞。在新漏洞攻击被发现之后才会发布紧急通知和修复。
我们还会遇到一些难以解决的大问题。这些全局性问题无法通过补丁或软件更新得到解决。解决这些问题需要进行基础研究、新型产品、海量开发时间和工作,以及持续不断的关注,而这些通常需要多个行业参与者通力合作。
过去几年内,随着云服务的快速普及使用,内部网络和外部网络之间的边界逐渐消失,新设备的增长速度令人难以置信,这些因素都对保护所有数字信息的传统方法提出了挑战。本文将讨论安全行业面临的六大挑战,并提供行业采取行动应对这些挑战的一些示例。
1.威胁防御有效性
攻击和防御双方都在不断变化和演进。下图显示了某种类型的防御随着时间推移的典型演进过程。随着新技术的开发,它的有效性迅速增加,最终可以随时进行部署。部署之后,它将广泛应用在现实场景下,开发团队可以收到反馈,另外还包括应用于其他防御中,从而进一步提高有效性。这种防御技术将不断增强,直至到达一定的有效性级别,促使对手采取相应措施。在这个阶段,攻击者会进行实验,发现规避这种防御的方法,制定出对策,从而降低这种防御技术的有效性。
图1 威胁防御有效性
2.降低信息不对称性
对手掌握的有关我们防御的信息,多于我们掌握的有关他们攻击的信息,这种不对称性严重影响了威胁防御有效性。对手可以针对安全防御测试攻击方法,而不会遭受损失,无论是在实验室中,还是在实际情景中,都可发起针对已部署系统的攻击。但我们大部分的测试都察觉不到,因而无法从攻击者一方汲取经验。很难防止攻击者针对我们进行测试,但是在更广范围内共享攻击信息是解决信息不对称的关键一步。我们从云环境、虚拟机和物联网设备等网元中监测大数据流和细节,应用数据科学,以更好地识别攻击模式,并更快地给出攻击提示。我们可以改变防御的可预测性,使对手更难以确定具体的弱点。这需要不同网络层防御的实时协调,使得即使通过一层的攻击或探测但被另一层阻挡。
3.提高发动攻击的成本,降低攻击获得的收益
金钱是大多数网络攻击者的主要动机。如果能够减少攻击获得的经济收益,降低攻击成功率,提高捕获的可能性,我们就能降低攻击目标的吸引力。分析执法数据,我们发现网络犯罪的调查和起诉与犯罪严重程度呈反比。针对高级别攻击进行调查和起诉更加困难,因为它们通常跨越多个司法管辖区,犯罪者掌握了更多技能和资源,可以帮助他们规避检测和起诉。针对这种情况,可以采取相应措施迷惑攻击者,增加他们花费在特定攻击上的时间,从而更简单地跟踪、识别、捕获和起诉这些网络犯罪。
4.提高可见性
通常只有在出现安全违规事件之后,组织才了解到他们的信息资产受保护的情况如何。在影子 IT、各种类型的云、“自带设备”趋势等因素影响下,我们更难清楚了解安全操作的有效性。几十年以来,企业一直在寻找识别和控制所有企业资产的制胜法宝。事实上,我们对信息资产的控制比较有限,由于信息资产的数量和分布位置急剧增加,控制级别还在降低。几乎没有任何公司能够宣称他们牢固掌握了信息资产的位置和控制权。因此,我们需要帮助组织改进安全状况的可见性。
公司和安全供应商内部的安全运营将重点从IT资产转向数据资产。我们有可以识别和分类数据,监控其使用情况,应用适当的策略或在必要时阻止移动的工具。 借助这些工具,组织可以更有效地量化其风险状况,确定关键差距并适当关注资源。好的组织将基本统计数据与上月比较,更好的组织致力于建立区域、国家和行业比较基准。然而,要实现近实时的方式对受保护环境中发生的威胁性活动采取行动还有许多工作要做。
5.识别披着合法外衣的攻击
很多攻击首先使用盗窃的凭据,然后使用合法的管理工具来攻击目标系统和泄露数据。传统方法基于文件签名或其他标准来查找恶意或可疑目标,从而检测非法行为,但在此类情况下,传统方法无法奏效。使用的目标已知是合法的,但被用于恶意目的。因此我们必须确定操作的意图——正常业务登录还是攻击?加密是用于保护数据还是泄漏数据?PowerShell会话是管理员发起还是恶意探测?很难分别这种差异,只能进行行为分析。一个有争议的可能措施是用户信誉和预测分析的发展。该概念是评估特定帐户被泄漏、窃取或被未经授权的内部人利用的可能性。通过在上下文中收集用户行为,从不同系统上的密码重用到工作描述和典型工作时间的趋势,我们可以将每个操作与一组预期的合法活动进行比较,并标记那些在给定风险级别以外的活动。这是一个敏感的领域。在这种技术成为主流之前,我们将面临重大的隐私、道德和法律问题。
6.保护去中心化数据
数据在企业周边之外移动,因而容易出现无意泄露和遭受针对性攻击。数据要移动到云和个人设备,还要移动到合作伙伴、供应商和客户。我们如何在移动过程中保护数据,确保它安全到达目的地。虽然组织仅有不足 20% 的数据始终在这种扩展生态系统中移动,但是 70% 的数据丢失都与这种移动相关。目前,有些机构试图对数据进行加密,并在单独的邮件中发送密钥,将保护数据的责任移交至链条中的下个人,从而保护此种类型的数据移动,这将导致信任范围很小。我们必须找到如何扩展信任范围,同时又维持更好的控制。
7.在没有代理的情况下进行检测和保护
过去,很多安全功能要通过在我们保护的设备上运行代理来实现。但在今后的很多情况下,这种方法将不再可行。物联网设备的存储空间和计算能力非常有限,操作系统变得更加封闭以提高安全性,各种操作系统和设备类型数量繁多,超出了任何供应商的研发能力,汽车和关键基础设施等行业的元器件生命周期很长,无法随时更新。要确保未来的网络安全,解决大部分难以解决的重大问题,必须实现无代理环境下的安全。
8.总结
提高整个安全行业的威胁防御有效性是遏制对手的关键。各行业参与者必须协同工作,共同解决单个补丁或软件更新无法解决的全局性问题,这至关重要。我们需要更加广泛地在业界领先公司之间分享信息,这样不仅能为我们提供更多的详细遥测数据,而且有助于增强反欺骗技术。通过增加预测性分析的使用,提高组织资产和分散数据的安全可见性,减少专门代理的使用,我们能够提高威胁防御生命周期的有效性。
(二) 云威胁、法规和供应商
云服务提供商正在建立信任和赢得客户。越来越多的敏感数据和关键的业务流程正在转移至公有云和私有云。攻击者将适应这种转变,继续寻找最简单的方式来获得经济收益,或者实现他们的目标。在未来两至四年内,我们的重点是云安全的演进。我们预期会看到哪些威胁和安全违规?地缘政治、法规、监管行动将如何影响这种环境?我们预测云服务提供商和安全供应商将会采取哪些响应措施?
1.威胁和安全违规
云服务不断快速成熟和发展,既为组织和国家带来机会,也为犯罪分子提供可乘之机。我们通过讨论做出了以下 11 条预测,在未来两至四年内,这些预测很可能变成显而易见的现实。
1) 人们对云的信任度会提高,云中的敏感数据和处理将会增多,导致针对云攻击的可能性增大。
2) 企业仍将关键功能保留在自己信任的数据中心和网络。
3) 云服务的速度、效率、成本仍将与控制、可见性、安全性产生冲突。
4) 我们熟悉的身份验证方案及其控制系统仍将是云保护中最薄弱的技术环节;很多攻击首先将凭据窃取做为重点。
5) 攻击将来自所有方向,同时利用“东-西”和“南-北”攻击媒介。
6) 服务层之间脱节、不一致的设置及控制是第二个薄弱环节;攻击者可能成功利用这些脱节和不一致性。
7) 在将计算和数据迁移到云时,可见性和控制仍将是企业面临的关键问题。
8) 攻击者,包括雇佣的职业攻击者,将利用云实现规模化、快速以及匿名等目的。
9) “勒索拒绝服务”将成为针对云服务提供商和依赖云开展运营的组织的常见攻击。
10) 除了基于凭据弱点的数据泄漏之外,成功的公共云数据泄漏事件仍然比较少,但影响却不断增加。
11) 物联网设备的数量和多样性不断增长,将会破坏一些云安全模式,导致攻击者成功通过这些设备发起攻击。
2.法律和边界
云威胁和数据泄漏事件将会导致来自政治和法规的双重响应。技术的快速发展妨碍了有效的立法,而立法的滞后又妨碍了技术进步。各个国家/地区制定了不同甚至相互矛盾的法规,让消费者、企业、云服务提供商很难找到法律依据。
法律将无法跟上技术进步的速度。法规将使用诸如“尽职调查”和“合理努力”之类的字眼,让云服务提供商及其客户面临遭受起诉的风险。
数据在司法辖区的流入和流出将成为长期挑战。保护消费者的法规将限制云利用。有些司法辖区将对云服务提供商及其关联企业提出最低运营要求,并且进行认证和/或审计。
3.供应商的响应措施
威胁、数据泄漏和相关立法将促使云服务和安全供应商在技术和服务方面采取响应措施。他们将会增强身份验证系统,开展企业级别的控制,实现安全功能的自动化,从而减少差距和不一致,另外威胁情报共享将会改进检测。以下是我们预期供应商将在未来两至四年内针对云威胁采取的十大响应措施。
1) 生物识别、多级别身份验证、行为分析将帮助保护服务提供商及其客户的数据。
2) 企业级别的可见性和控制将帮助管理影子 IT 的信息向云的移动,并协调在云中执行的工作的复杂度和规模。
3) 安全自动化有助于解决人才短缺问题。
4) 云访问安全代理不断成熟,提供更出色的安全性、更高的可见性、更多的控制。
5) 增加对数据在静态或流通状态下的保护,将成为一些云服务提供商的竞争优势。
6) 对云服务提供商操作的审计和可见性将成为常态。
7) 安全解决方案供应商将开始使用机器学习来预测和中止攻击,预先防止危害。
8) 多家云服务提供商将合作建立威胁情报共享组织,它们将改进身份标识,缩短对攻击的反应时间。
9) 云安全的技术和保证标准将继续加强。
10) 网络安全保险市场将会增长,但由于法律条款的解释不清晰,无法确定是否发生可保险的安全事件,它仍然面临挑战。
4.总结
随着云服务使用的持续增加,这些服务作为攻击目标具有更高的价值。虽然很多公司仍会将最敏感信息存储在私有数据中心,但速度、效率和成本的压力将迫使他们将数据存储在受信任网络之外和迁移到云中,这样可以实现很多优势。企业开始学习如何在运营中应用云服务,但控制、可见性、安全等方面的脱节将会导致出现数据泄漏。
攻击来自所有方向——包括在组织堆栈中上下移动、在使用同一云服务企业之间的移动。凭据和身份验证系统仍将是最易受攻击的攻击点,因此网络犯罪分子将全力窃取凭据,尤其是管理员凭据,因为它们能够提供最大范围的访问。针对安全和隐私问题,政府机构采取的最常见响应措施是对服务提供商进行认证,提出最低运营要求,并采取其他监管控制行动。各个司法辖区的做法存在很大差异,有时这些管制措施会限制云使用。跨国组织在跨越国境边界使用云服务时将会非常谨慎。法律无法跟上云技术和云服务的发展步伐。诉讼将成为重要手段,大部分在违规事件发生之后,原告和被告试图争辩哪些行动才算是“合理努力”。
云服务提供商和安全供应商将努力增强身份验证系统,逐渐采用生物识别技术,作为最佳解决方案。服务提供商及其客户将努力提高服务可见性,实时审计将成为一项标准服务。新兴技术将在静态和传输状态下更好地保护数据。为了应对大量的快速威胁,企业将利用行为分析、安全自动化、共享威胁情报服务来改进检测和纠正功能。机器学习将成为预测和终止攻击的一种方式,防止它们造成危害。
(三) 物联网威胁、法规和供应商响应措施
物联网覆盖了各个行业的数百甚至数千种设备,可以实现和提供各种服务,其中很多服务是基于云的。因此,物联网威胁和响应措施与云威胁和响应措施存在着密切关联。
在很多行业,这些支持云的设备网络可以视为利益社区。例如,工厂车间就是制造商的利益社区,该网络包含制造产品所需的各种设备。在医院环境中,满足医疗人员需求的医疗设备和相关网络构成了一个利益社区。
攻击者将有很多盗窃数据、拒绝操作、造成危害的机会。在本文中,我们的重点是物联网安全功能在未来两至四年内的演进。我们预期将会看到哪些威胁和安全违规?地缘政治问题、法规、监管行动将如何影响这种环境?我们预测物联网设备开发商和安全供应商将会采取哪些响应措施?
1.威胁和安全违规
对于网络犯罪分子或某些国家而言,物联网设备是非常具有吸引力的攻击渠道,有以下一种或两种原因:它们可能是数据或元数据的潜在来源,或者是造成危害的潜在攻击媒介。我们通过讨论做出了以下 10 条预测,在未来两至四年内,这些预测很可能变成显而易见的现实。
1) 物联网攻击威胁真实存在,但犯罪分子获得经济收益的机会仍然具有不确定性。
2) 勒索软件将成为主要威胁。
3) 黑客行为主义将成为人们最大的担忧。
4) 某些国家对关键基础设施的攻击始终都将是令人担心的问题,但由于害怕遭受物理或网络报复,这些攻击只会零星发生。
5) 物联网将严重剥夺消费者隐私权。
6) 物联网设备将成为入侵控制、监控、信息系统的有用攻击媒介。
7) 在让产品支持互联网协议时,设备制造商还会犯下低级错误。
8) 物联网设备的控制台将成为主要目标。
9) 收集来自设备的数据的聚合点也将成为主要攻击目标。
10) 勒索软件将攻击连接互联网的医疗设备。
2.法律和边界
随着物联网威胁和安全违规事件的发生,促使我们在政治和法规上采取应对措施。技术进步的高速度妨碍了有效的立法,而立法的滞后又妨碍了技术进步。各个国家/地区制定了不同甚至相互矛盾的法规,让消费者、设备制造商、服务提供商更难找到法律依据。
3.供应商的响应措施
威胁、安全违规和相关立法将促使物联网设备制造商、服务提供商、安全供应商在技术和服务方面采取响应措施。他们将会增强设备安全性和隐私性,开发用户身份保护功能,扩展基于硬件的防御,另外保险服务也将演进,将物联网系统实施也纳入保险范围。以下是我们预期在未来两至四年内将会采取的针对物联网威胁的七大响应措施。
1) 如果使用免费的产品,您要以提供自己的数据为代价。
2) 经过改进的新的加密方法。
3) 基于硬件的隐私和安全功能将内置到一些物联网设备硬件中。
4) 安全供应商将引入和支持行业标准以保护物联网设备身份。
5) 物联网设备控制系统将用于集成和保护在 2020 年之前推出的众多物联网设备。
6) 物联网设备的行为监控将成为新兴技术。
7) 物联网系统实施的网络安全保险和风险管理将会发展。
4.总结
过去几年内,共有数十亿部物联网设备投入运行,也带来了切实存在的网络攻击威胁。但是,要谋划如何从攻击中牟取非法经济收益,犯罪分子还需要一定的时间,因此针对这些设备的成功攻击数量很难大幅增加。
物联网的采用极大地增加了攻击面。由于物联网设备的安全性较差,加上制造商犯下的低级错误,这一问题将会变得更加复杂。其中有些漏洞将被作为初始攻击媒介利用,让攻击者能够进入控制、监控和信息系统。勒索软件最可能成为近期的重大威胁。收集来自物联网设备的数据的聚合点也将成为近期的主要攻击目标。
消费者隐私泄漏,立法机构对公民关注问题的响应措施,都将成为媒体报道的热点。但是,物联网设备实现的便利和效率远大于弊端,因此采用率仍会居高不下。各个司法辖区的法规存在很大差异,滞后于市场发展,诉讼将在指引物联网市场发展方向上扮演重要角色。
供应商将采取很多响应措施,以鼓励和支持市场采用。新加密选项、芯片嵌入的安全和隐私功能、用于管理和保护物联网设备的设备控制系统、物联网设备的行为监控都将快速推出和演进。
消费者将会更深刻地认识到个人数据的内在价值,这也是一大重要变化。消费者希望供应商提供共享物联网设备收集的个人数据的更多选项,包括补偿。
推荐阅读
智库跟踪 | 英国投行GP Bullhound:2017年十大技术预测
好文章,快分享,一起涨姿势~