赛门铁克和迈克菲(英特尔安全),这两个全球顶尖终端安全技术与反病毒厂商,近日几乎同一时间发布了对明年的安全趋势预测。
1. 智能汽车和云基础设施或成为勒索软件下一攻击目标
随着智能汽车、无人驾驶等汽车领域新技术的兴起,车联网的安全也开始成为了安全研究者的关注对象。用于控制汽车的手机应用、内部复杂的传感器控制系统、软件漏洞都有可能成为新的风险点。赛门铁克认为,黑客针对汽车发动大规模攻击只是时间问题。除了可能的远程攻击、未授权监控并获取汽车定位数据等信息外,2016年非常活跃的勒索软件也可能通过通过锁死汽车控制系统所要赎金。同时,汽车制造商和车载软件厂商在安全问题的责任划分上,也会对智能汽车的发展产生深远影响。
除了智能汽车以外,由于越来越多的企业选择将数据和业务系统迁往公有云或行业云,云基础设施也正成为网络攻击者获利的重要攻击目标。一旦发动勒索攻击者突破云服务提供商对云基础设施的基础性安全保护,没有在云上做额外安全加固的企业数据也可能受到影响。为了避免关键数据的丢失,企业将不得不支付赎金。
可以看出,赛门铁克认为,不只今年勒索软件攻击势头凶猛,明年受勒索软件攻击波及的影响面将更大。而迈克菲则认为,虽然近两年勒索软件的数量一直呈上升趋势,且收入不菲(CryptoWall 3.0这一单个勒索软件系列收入可能超过3.25亿美元),但是随着“停止勒索”等相关计划的展开,安全行业和国际执法机构的联手合作,2017年下半年全球勒索攻击的规模和效果会开始下降。
2. 利用物联网设备发起DDoS攻击已被成功实践 恶意软件可通过智能设备窥探用户隐私
今年10月末,美国DNS管理优化提供商Dyn遭遇由暴露在互联网上的大量存在弱口令漏洞的摄像头组成的僵尸网络Mirai发起的DDoS攻击。这直接导致美国东海岸Github、Twitter、Airbnb、PayPal等网站不能访问。物联网设备的安全风险以及可能导致的严重后果再次引起人们广泛重视。
除了工业用物联网设备以外,企业与家用物联网设备的数量也在与日俱增。打印机、恒温箱,甚至是洗衣机或者冰箱,一切联网设备都有可能成为攻击发起的跳板。目前,大量已进入市场的物联网设备在设计之初便缺少有效的安全防护机制,且有很大一部分无法通过软件/固件更新得到改善。2017年针对物联网设备发起的攻势可能会进一步增多。
同时,因为诸如智能摄像头等个人消费物联网产品的普及,许多物联网设备制造商会依赖第三方代码库缩短开发流程以降低成本,跳过开发过程中的安全测试环节并试图依靠之后的安全补丁来修正安全缺陷。而恶意软件也把目标瞄准这些制造商钟爱的“免费”代码库,并将恶意代码隐藏其中。通过这些后门程序回传用户隐私数据行为很难被发现,甚至设备厂商都不知情。
3. 云威胁与日俱增 要求更多的控制、可见性和安全性
无论是BYOD还是企业数据向云端的迁移,企业网络边界扩展到云端,且日趋模糊。在云服务的“成本、效率”和“更多的控制、可见性和安全性”这一矛盾中,云服务提供商要为不同客户提供不同的平衡点。而目前访问控制和身份验证仍是在云安全保护中仍是最薄弱的技术环节。迈克菲预测针对管理员账户的定向凭据盗窃和暴力攻击将会增多,且攻击流量将在容器与容器,虚拟机与虚拟机之间移动,试图攻击使用同一云服务提供商的不同客户。
对云端数据的访问控制,赛门铁克则更看好云安全访问代理(CASB)的方式,通过类似安全网关的方式对云端数据进行访问和权限控制,并辅以访问终端的安全防护,来保障数据的安全性。而赛门铁克在今年下半年宣布收购的Blue Coat,就提供基于CASB技术的安全平台。在之后的产品整合中,赛门铁克将可能加入DLP和加密数据传输能力,打造云安全产品。
4. 机器学习的双刃剑 社工库也需要进行大数据分析
人工智能和机器学习,在海量的安全数据分析上,给了企业安全人员更多的能力。企业需要拥有更强的洞察力,这将增加人与机器的进一步协作。除了要求企业能够收集和分析不同企业、行业和地区中的端点和攻击传感器数据外,对于云端的庞大实时威胁情报网的利用方面,赛门铁克也认为机器学习会在安全威胁分析中去的重大作用。而且,蓝色巨人IBM的 Watson在网络安全领域的应用也已经越来越近。
但是,机器学习对大数据分析处理的能力,也可以被攻击者利用。迈克菲认为,试图进行企业电子邮件攻击(BEC)的诈骗分子,也正试图利用机器学习技术,从海量的公开曝光数据、社交媒体以及泄露数据等社工库中挑选更高价值的攻击目标。2017年,可能会出现提供基于机器学习算法和海量公开企业数据的“目标获取即服务”数据盗窃服务提供商,并加速社会工程学攻击的进步。
5. 无人机劫持风险显露 可被用于网络犯罪
随着无人机在军事、警方、商家和个人大量使用,通过拦截无人机控制信号而篡改无人机定位或航线信息,甚至被攻击者远程控制后,遭劫持的无人机可被用于各种违法行为,如盗窃其上的设备和数据(特别在物流领域),对其它机构网络进行渗透等。相对的,也会出现“反无人机”攻击技术,例如利用漏洞设置禁飞区。
消费类无人机因为其开放端口和弱身份验证,使其可被轻易进行中间人攻击。所幸,目前商用无人机大多数漏洞可通过安全补丁进行修复。它们更多是因为没有采取安全措施,如不使用加密通信和大量开放端口而容易被成功入侵。
6. 无文件恶意软件蔓延
传统终端安全防护需要检测执行文件,并依据特征库对可疑进行鉴别。而无文件感染不需要使用任何类型文件作为载体,可以在不写入硬盘的前提下将可执行文件解密并直接加载入内存,使得终端防护产品无法进行侦测,也无法获取恶意软件的执行记录。这种非硬盘驻留型恶意软件因为其没有文件实体,所以可以轻易逃避入侵防御和防病毒程序的阻拦。赛门铁克预测其会在2017年继续蔓延,目前其主要攻击方式是通过Windows的PowerShell,一种任务自动化及配置管理框架进行传播。
7. 越来越多攻击将目标锁定硬件和固件
因为硬件漏洞可以侵蚀整个软件堆栈运行和安全的特性,对硬件的攻击成功,即意味着所有系统基于软件的安全机制和保护措施全部失效。虽然硬件相较于软件更不容易被攻击,但是利用硬件逻辑漏洞的攻击也并不是天方夜谭。迈克菲认为,有理由相信黑客高手有能力攻击基于传统BIOS、(U)EFI、固态盘、网卡和WIFI设备及其上的固件系统。例如,因为DRAM密集存储而导致相邻存储单元在快速重复地访问物理存储位置这一特定条件下可导致邻近位置的比特位。同时,固件也是恶意软件理想的藏身地,如BIOS会被大多数杀软无视,即使系统重启也不会对恶意软件造成任何影响。在防御的一方,基于硬件层面的安全防护技术,如使用UAF和U2F协议的FIDO、可信执行环境(TEE)以及可信平台模块(TPM)也在被广泛实践。
8. 威胁情报共享将取得实质性进展
虽然之前威胁情报的共享受到“可能无意共享客户隐私信息”、“失去企业竞争优势”以及“公众会知晓哪些组织受到黑客攻击”这三点阻碍,但这些担心目前正烟消云散。Cybersecurity Information Sharing Act已经将美国政府与私营企业间的责任保护,延伸到共享实体的私有企业间的威胁情报共享提供了法律基础。美国企业正在评估相关的威胁情报共享政策。
同时,由美国国土安全部成立的信息共享和分析组织(ISAO),将在2017年建立根据细分市场、区域并围绕利益相关性建立的ISAO社区,以及允许企业将威胁情报听驾到自己安全系统中的ISAO平台。可以预测,随着ISAO和其它威胁情报共享计划的发展(目前国内也有相关行业联盟),其管理和业务将得到改善,2017年将会看到更多的威胁情报共享。
【本文是51CTO专栏作者李少鹏的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】