智库跟踪 | McAfee Labs : 2017年网络威胁预测(下)
再不点蓝字关注,机会就要飞走了哦
前言
McAfee Labs的报告指出了2017年需要关注的14个威胁趋势,以及网络完全行业面临的六大挑战。报告分为两部分,第一部分探讨网络安全挑战,云计算、物联网威胁、法规和供应商响应措施三个主题。第二部分对2017年的威胁活动进行了具体预测,包括勒索软件、所有类型的漏洞、利用威胁情报改进防御,移动威胁将扩展到勒索软件、RAT、破坏性应用市场,“无人机劫持”将网络威胁拓展到天空中,物联网恶意软件设置家庭的后门,机器学习加快社会工程攻击,以及虚假广告呈爆炸式增长、危及信任,广告战升级加剧恶意软件传播等。
昨日微信介绍了报告第一部分,今日微信介绍第二部分,敬请阅读。
(四) 2017 年网络威胁预测
1.勒索软件将在 2017 年下半年衰退
在 2017 年下半年之前,勒索软件仍将是一大严重威胁。2017 年上半年,“勒索软件即服务”模式、在黑市上出售的定制勒索软件、来自开源勒索软件代码的创意衍生攻击方式仍将肆虐。勒索软件影响所有行业和地区,迫使安全行业采取断然行动。我们预测,到2017 年底,由于“No More Ransom!(停止勒索)”协作等计划开展、反勒索软件技术的发展、持续执法行动等因素,勒索软件的规模和效用将会降低。
2.针对 Windows 的漏洞利用降温,而针对其他平台的漏洞利用愈演愈烈
近年来,利用客户端软件漏洞的难度显著加大,从而提高了通用可靠的漏洞利用的开发成本。为了成功渗透最新操作系统(例如,在 64 位 Windows 10 操作系统上运行的经过全面修补的 Microsoft Edge 浏览器),攻击者必须利用高级攻击技术,将多个高质量漏洞组合在一起。虽然在一些黑客大赛上(例如 Pwn2Own2016)已经演示了成功的攻击,但我们尚未见到先进的漏洞利用方法,例如那些自动散布型的漏洞利用。我们怀疑这些漏洞利用手段仅适用于少数人,出现在非常重要的高级攻击中。针对Adobe Flash,Java, PDF,基础设施软件和虚拟化软件的漏洞的攻击将成为热点。
3.富有经验的攻击者们越来越多地将威胁目标锁定在硬件和固件
软件,包括操作系统和应用程序,毫无疑问必须依赖硬件才能正常运行。硬件漏洞可以侵蚀整个软件堆栈的运行和安全。利用硬件漏洞可能威胁整个系统,所以无需攻击软件堆栈。此外,硬件被攻击成功的系统如果不更换有漏洞的硬件,可能很难修复。最后,系统的基于软件的安全机制和保护方法全都不值得依赖,因为这些安全机制和保护方法都以硬件未受损为前提。
4.“无人机劫持”将威胁散布到天空中
无人机的普及化趋势仍在延续。无人机最初不过是孩子的玩具,现在则作为发烧友有点奢侈的爱好真正“起飞”。无人机发展顺利,正在成为承运商、执法机构、摄影师、农场主、新闻媒体等的重要工具。很难否认无人机现在对各企业和政府机构的价值更大了。最近我们发现一架无人机被安装完整的黑客套件,可以在住宅、企业或者重要基础设施的房顶着陆,还可以尝试侵入局域网。
5.移动威胁将扩展到勒索软件、RAT、破坏性应用市场
McAfee Labs 发现移动恶意软件在 2017 年将保持增长势头,主要威胁包括勒索软件、银行业务特洛伊木马程序和远程访问工具。
McAfee Labs 的移动恶意软件研究团队已记录了大量针对移动设备的勒索软件,特别是在 2016 年第 2 和第 3 季度,范围涵盖用于锁定屏幕的小概念验证到旨在威胁外部内存的大型 crypto 恶意软件。第 2 和第 3 季度的一个引人瞩目的移动勒索软件系列是 Android/Jisut。这款勒索软件用于更改移动设备的锁定 PIN,并要求通过比特币或预付费卡付款。
在 2017 年,移动勒索软件将继续发展,但是移动恶意软件作者的关注重心将改变。由于移动设备通常会将数据备份到云,所以直接勒索收费才解锁设备通常很难成功。因此,移动恶意软件作者结合了移动设备锁与其他攻击形式,如盗窃凭据。例如,我们今年发现安全行业确定为移动勒索软件的 Android/Svpeng之类系列现在正在变异为针对银行业务凭据,想方设法从受害者帐户盗窃资金。我们相信在 2017 年,出自勒索软件者之手的银行业务特洛伊木马程序将出现。这类恶意软件结合移动设备锁和其他勒索软件功能与传统中间人攻击,旨在盗窃主要和次要身份验证要素,让攻击者可访问银行帐户和信用卡。
6.物联网恶意软件设置家庭的后门
消费电子产品继续迅速增长。特别是物联网消费产品,这个领域到 2019 年预计将达到大约 18 亿台设备。这个所谓的“智能家居”或“互联家居”市场,包括各种成功品牌和产品,以及大量想挤进来的小公司。
我们在商业上有“最简可行产品”( MVP)这一概念,指拥有足以让先行者愿意购买最少功能的产品。家居物联网市场“粘性”极高,顾客一旦购买智能自动调温器或照明系统,可能就不会更换。因此,抢市场既快又激烈,家居物联网设备制造商通常会采用 MVP 方法。例如,许多会依赖第三方代码库缩短开发流程和降低成本。
这样的鲁莽行为和对第三方软件的依赖可能会引发安全威胁。良好的编程实践要求开发人员彻底检查产品中的所有第三方代码库。不幸的是,匆忙开发 MVP 并上市以打败竞争对手时,代码通常在经过最少的测试后抛出,依靠发布补丁来更正出现的缺陷。当开发人员面临时间压力时,往往会忽视安全。即使考虑到了安全,也会这样做。我们发现一些消费类物联网产品带有严重的安全漏洞,并且多年都未曾修复。
7.机器学习加快了社会工程攻击
随着机器学习在教育、商业和研究领域越来越普及,最近几年机器学习工具包、文档和教程的出现呈爆发趋势。短短一个小时内,一个人就可以通过培训学习到分布式架构中大型数据集的复杂模型。在 2016 年,我们已经看到发烧友和专业数据科学家教会了机器如何写莎士比亚式十四行诗、作曲、像毕加索一样画画,以及打败职业围棋棋手李世石。学习周期变得越来越短,并且所有人,包括网络犯罪分子都可以轻易接触。安全是一场军备竞赛,而网络犯罪分子则在机器学习的帮助下调整他们的手段。
8.虚假广告和买“赞”呈爆炸式增长,危及信任
每位互联网用户在决策时都遭受信息轰击:点哪个,看什么,在哪里花钱。这些选择催生了一门上十亿美元的网络经济,由于这样大的一笔资金处于危险之中,不法实施者在不断找办法占他人的便宜。信誉是许多决策者做出有信心决策的关键,所以有些人会想方设法利用信任。利用先行者的反馈,是获得信任的主要手段之一,因此Facebook上的一个点“赞”价值已超过200美元。这直接导致了收费行为的产生,尽管Facebook进行打击,打这一猫鼠游戏很难终止,并在用户会话中出现相关恶意软件,包括虚假广告。
9.广告战升级加剧恶意软件传播
安全研究人员在危险的互联网领域花费了大量时间,这里充斥着被攻破的网站和“随看随下”恶意软件下载。为了以相对安全的方式浏览,我们使用浏览器的安全附加项禁用活动内容、阅读原始网站内容代码、访存使用不同服务器的位片段,以及通过虚拟机重载避免感染本地计算机。这些预防措施使“上网”成为难得多的过程。为了提高可用性,浏览器添加了阻止弹出窗口的能力,用户与广告商之间的广告战由此展开。广告商不止推出展示广告,还利用恶意软件收集用户信息、监测用户行为。
10.黑客行动主义者暴露隐私问题
这些年来,收集的有关用户的数据量呈指数增长。聚集的这些数据帮助我们改善健康,在搜索时以更快的速度达成目标,找到失散多年的好友,拥有性能更优越的家居电子系统,甚至在上网时保护我们。从校园开展的教育孩子如何控制自己数据的活动,到有关企业如何使用个人信息改善广告的投放效果的文章等途径,继续提升对从设备收集的数据和数字足迹规模的关注。
考虑到这些趋势,我们预计在 2017 年,黑客行动主义者将利用这个机会“教育用户”他们放弃的数据量有多大。我们预料这样的行为将通过下面的攻击实施:渗透部分用于收集数据(搜索、链接、连接、观看页面、使用产品、检测信号等)的云服务,然后将内容以“公共宣传服务”的形式公布。根据过去的行为来判断,一旦有黑客行动主义者团体以某个领域为目标并取得成功,也会实施类似攻击来证明该观点——每次攻击都在试图提升关注度。在这一动机下,我们预计这些数据泄露愈演愈烈。
11.执法机构的打击行动震慑网络犯罪
我们已经看到了最近一些值得注意的执法,其支持者打击了一些恶意网站或实施者。Intel Security 参与了其中的部分行动。打击行动是执法机构与其他各方(通常是安全提供商)联合打击网络犯罪行为的一系列合作行动。在最好的情况下,打击行动可能会逮捕犯罪分子,但是通常情况下,打击行动只能破坏或查封网络犯罪分子使用的基础设施。打击行动可能需要几个月才能产生结果,在某些情况下,可能需要数年。
12.威胁情报共享取得巨大进步
分享威胁情报可以扭转局面,将优势从对手转换到我们防御者这一方。它破坏攻击的生命周期,事实证明可以提高坏人的实施成本,因为他们需要将自己的资源和技术转移到新战术上。这场转移已在 2016 年展开,2017 年通过加强协作和开展更深入的研究,继续改善集体防御。此项研究将披露新攻击以及威胁的细节,并共享和添加到成员的控制系统,以阻止更多攻击。
13.行业和执法机构联手打击网络间谍
2016 年的前九个月,Intel Security 登记了 78 个我们归类为网络间谍或战争的公共案例。在大多数活动中,民族国家想方设法了解目标实体的政治观点或背景。这些目标实体属于政府部门,在某些情况下,为政党的个人或成员。
这些案例的惯用伎俩都很类似,但是我们预计 2017 年变化会非常大。每次的开始都是实施者建立主机域基础设施,充当控制服务器或提供负载。接下来是鱼叉式网络钓鱼攻击,目标在此攻击中收到武器化的电子邮件。攻击者有时会在嵌入式 HTML 中加入隐藏代码,用于跟踪攻击者计划控制的计算机,以了解登录了网络中的哪个位置。攻击者在这里使用大量工具,如各种凭据编辑器、哈希传递攻击或定制脚本。在大多数情况下,后门程序远程访问特洛伊木马程序在网络中保留立足点。技巧不足的实施者团体使用现成的商业 RAT(如 PlugX)并修改基本设置来为自己的活动服务。
14.物理安全和网络安全行业通力合作
安全行业即将发生战略转移。网络和物理安全领域将开始交汇,并将安全延伸到现实世界与数字世界之间。由于不断采用改善个人生活和企业效率的技术,将迫使安全行业跨越网络安全和物理安全之间的鸿沟。此融合是这两个领域保护人与资产这一共同目标的自然结果。
在 2017 年,我们将看到物理和网络安全行业合作创建更复杂、更具粘性的安全解决方案:
1) 物理和网络安全行业将通力合作,开始基于数字威胁强化安全产品。为客户着想,这两个市场已统一。现在他们将彼此共享资源来增强下一代产品和服务的安全。
2) 消费者将担心针对物理设备,旨在破坏其安全和隐私的网络攻击。他们将需要统一的安全体验,或关注其他供应商和提供商。
3) 网络安全解决方案提供商将开始通过为集成提供新软件、平台和架构,开始服务和支持物理安全提供商。预计大小型网络安全公司都会发布公告。
4) 物理安全会议将扩展到包含网络安全主题、专家和供应商。这是供应商开始在商业活动中交叉营销时可靠的协作征兆。
本内容仅供研究参考,严禁用于商业用途。
推荐阅读
智库跟踪 | McAfee Labs:2017年网络威胁预测(上)
智库跟踪 | 英国投行GP Bullhound:2017年十大技术预测
好文章,快分享,一起涨姿势~