从报税表诈骗到WordPress漏洞、勒索软件、商业电子邮件泄露、DDoS攻击和总统大选被黑疑云——2016简直就是网络安全地狱年,而且这还没完。
根本没理由相信2017会有所好转。若说有什么区别的话,那就是会变得更糟糕——因为网络罪犯会继续发动社会工程,找到投送恶意软件的新方法,破解有漏洞的数据库,利用移动技术来找出打破公司防御咬上目标人物的途径。
两位杰出的网络安全专家:安全访问软件公司Bomgar首席执行官马特·德克斯,安全设备管理和移动安全公司 Cyber adAPT首席技术官斯科特·米里斯,为我们展望了一下2017网络安全形势。
1. 口令“成长”
10月21日造成互联网大面积掉线的DDoS攻击,至少有部分是因IoT设备上未修改的默认口令被黑客利用而发起的。别觉得自己能幸免,有多少用户用的是简单、常见、过时的口令?2017年,更好的口令管理服务,会随着企业意识到自己防护有多差而引起重视。
有太多特定用途的“哑”设备了,就像前面说过的助力DDoS攻击的那些路由器,这让黑客们的工作变得十分容易。
弱口令依然一统江湖的时候,网络安全人员面对关键基础设施、联网系统和远程访问系统及设备防护任务简直一筹莫展,而且问题还不只是外部威胁一种。
内部威胁缓解也可以通过更好的口令管理来完成。最佳方式,是实现用户未知口令安全存储的解决方案,并定期验证和轮转这些口令以确保安全。
这里指的,其实就是凭证保险柜。理想状况下,用户不会知道自己的口令,口令由保险柜自动填充,并且每周轮转和改变。黑客本质上是很懒的,他们也有自己的时间需求。如果你让他们的破解工作更难,他们就会转移目标而不是投入时间精力来跟你死磕。
2. 权限受到重视
黑客想要高权限,他们通过瞄准IT员工、CEO和供应商之类的特权用户来获得高权限。虽然公司对重要系统、应用和数据采取了安全措施,这些预防性措施显然已不再足够。2017年,懂行的公司最终会严肃对待特权用户保护问题,而不仅仅是系统防护,他们会识别、监视特权用户的访问,关闭他们不需要的权限。
有人说“我的用户和外部供应商都只能用VPN来连接,挺好的。”但其实他们根本不知道这些外部人士到底都在读取些什么!权限管理就像电梯间,根据角色,乘客只能进入某些特定楼层,切实地限制了用户行为,尤其是在用户怀有恶意的情况下。即便手握有效口令,只要权限限制了只能访问第1和第7层,任何试图闯入第6层的做法都会触发警报并锁定电梯。
解决权限问题,同样需要公司愿意提供关于潜在危险的扩展教育和培训,尤其是在越来越多的移动办公人员太喜欢牺牲隐私和个人数据来换取访问权,而且天真地以为自己的安全会被第三方服务提供商和App作者保护好的情况下。
尤其是最近几代数字原住民,太愿意给出自己的个人数据来换取App、联网、信息等等的访问权了——利用这一点简直不要太容易!他们几乎默认这些App开发者、服务提供商会确保他们的安全。天真!危险!综合考虑如今的网络安全技术缺口、人才短缺、移动办公、App为中心的环境、更高级的黑客活动,我们面对的根本就是一场完美风暴。只会更坏,不会更好。
3. 安全责任推卸升温
现在,安全公司的客户倾向于连“假如”发生网络攻击事件都不提了,直接就问“什么时候”被攻击?情况会有多糟?这种自己撒手不管,完全依赖安全公司服务的思潮,是十分恐怖的。
IoT和对安全解决方案提供商越来越重的依赖度,意味着公司企业可能在数据泄露发生时推卸其所有权和事件源头的责任。谁应该对保护、维护和修复各种技术负责?更糟的是,有没有产品被接入根本无法打上补丁的内部系统?很多IoT设备经常因为不在IT传统管辖范围内而被无视掉,但这确实造成了对威胁的暴露面。
IoT、自动化和云在不断集成整合,但似乎没人完全确定到底谁该对维护所有这些不同技术的安全负责:IoT设备制造商?安全服务提供商?内部IT团队?个人用户?在安全上,木桶理论完全适用——取决于最不安全的设备或关系。
当数据泄露发生,即便有层次化的安全措施,谁负责、谁有权响应的问题,也将引发激烈的争执和相互指责。
通过确保IT与业务部门之间的开放沟通,理解潜在威胁、安全选项、公司内部的挑战和限制,此类责任推卸游戏便可有效杜绝。
部分问题在于:作为CSO、CISO甚或CIO之类安全相关责任人,如果你工作做得超棒,那么你基本上毫无存在感;否则,你将如坐针毡。如果你定出了不错的策略、规程和安全措施,通常也得交给IT来实施。但如果因为你没能理解业务需求、预算、各种要求而导致这些措施没起到效果,那你就真的可有可无了。
4. 勒索软件将失去控制
自2016年1月起,赛门铁克安全响应小组见证了每天平均4000+勒索软件攻击:比2015年的数据增加了300%。
大多数公司依赖低开销预防技术来缓解此类威胁,比如防火墙、反病毒解决方案或入侵预防。然而,这些工具并不足以起到完全预防作用,被泄露的数据大军赤裸裸地昭示着这些检测和事件响应方法必须改善。
随着攻击者继续使用社会工程和社交网络来锁定敏感角色或公司内部人士,全面安全教育的需求变得比以往更加紧迫。
如果安全策略和技术不将此类攻击方法纳入考虑,勒索软件将持续渗入。还有检测问题。有些攻击者能在公司环境中畅游数月之久,而网络、边界、终端和数据安全系统及过程之间的隔绝却限制了公司预防、检测和响应高级攻击的能力。
最后,新的攻击界面,比如说:IaaS、SaaS和IoT。这些东西太新了,公司企业还没弄清保护它们安全的最佳方法。
5. 驻留时间看不到多大改善
驻留时间——从攻击成功到被受害者发现的时间间隔,在2017年不会看到任何改善。某些极端案例中,驻留时间甚至能达2年之久,给公司造成数每次泄露百万美元的损失。
为什么会这么久?原因令人无奈的简单——几乎没有对真正攻击活动检测的关注。随着恶意软件时代的到来,公司、厂商和个人都绷紧了‘把坏人拦在门外’的弦,整个行业快速成长,专注于两个基本主题:“深度防御”——用层次化预防战术让从外部渗透变得更难;以及“恶意软件识别”——已证明自身是朝向100%检测率的军备竞赛。
响应技术和修复能力都有了进步,受害者可以快速隔离和修复攻击所造成的损害。但是,问题在于,这些技术对减少驻留时间没什么卵用;除非响应团队偶然遇到了某些恶意事件,或者意外发现了某个异常。
时至今日,安全人员使用网络设备日志文件来搜索攻击是否发生或已成功的线索,但存储和分析这大量数据是花费巨大且低效的。
大量数据存储和大规模分析引擎的需求,驱动了新安全信息和事件管理(SIEM)产业。但是,尽管SIEM是个很好的事后鉴证工具,却依然对发现实时进行中的攻击毫无效果。分析原始网络流量以发现攻击指征或许会有所帮助。在黑客攻击边界或设备防护层时,或者在他们作为无辜/恶意内部人士完全绕过防护措施后尽快发现他们,将大幅缩短他们的驻留时间。
6. 手机作为切入点的数据泄露将持续上升
2017年,至少会有1起(大概会更多)重大企业数据泄露事件由手机导致。波耐蒙研究所一份报告发现,对一家企业而言,手机数据泄露的经济风险可高达2640万美元。该项调查中67%的受访企业报告称,曾因员工使用手机访问公司的敏感和机密信息而导致数据泄露。
当今世界的人员及其手机都流动得太快太频繁了,老一套网络安全策略很难起效。而且,随着用户对其所选手机权利意识的增长,漏洞利用形势堪称成熟。
很多用户觉得自己能在对公司和个人服务的持续访问中保护好自身隐私。还有很多人丝毫不觉得自己是安全事件责任人;如果他们能规避“安全”以改善用户体验,他们会的。CISO、CIO和CEO将之视为实现企业安全策略的复杂挑战,而且是不能用通过SSL发送电子邮件和日程安排到单一指定OS能解决的。
手机支付,也将成为安全责任的一方面。MasterCard的“自拍支付”和英特尔的人脸识别解锁软件 True Key 只是冰山一角。个人应当明白,自身生物特征数据应像其他财务和私密数据一样得到妥善保护。而这,又落到了教育和培训的身上。
公共WiFi接入提供商像香烟盒上印制“吸烟有害健康”标语一样竖起互联网安全警示牌或许会比较好。比如说,“警告:本公共接入连接不安全,您收发的信息有可能被罪犯偷看、收集并用以盗取您的资产、身份或私密信息。”
7. IoT = 威胁网?
IoT漏洞和攻击还会继续增长,对各类安全措施的标准化需求亦然——今年DefCon上的黑客展示了47个新漏洞,影响21个厂家的23种设备。
还有,今年10月让包含推特、Netflix、Reddit和英国政府网站在内世界主要站点掉线的大规模DDoS攻击,据说也是由不安全IoT设备组成的Mirai僵尸网络造成的。
投放到“智能设备”上的大量关注正好印证了IoT日益扩张的影响力。现实却是,联网设备未必是智能设备。联网的“东西”,通常因其简单性而是“即发即弃”没有后续维护的,或者干脆就是我们根本不知道的一些内置功能或工具——就像Mirai僵尸网络中使用的那些路由器。这导致了一种无视这些“哑”设备的思维,根本没注意到这些设备虽然“闷不吭声”,却是连接到联通全球的互联网上的。
这还不仅仅是小型消费级设备,甚或智慧家居或智慧汽车的问题。更令人不安的,是对广泛使用的大型基础设施系统的攻击,比如电网、航空电子设备或铁路系统。
联网喷头忽冷忽热都是小问题,2017年遭遇电网或交通系统大型黑客事件的极高可能性才令人担忧。这些来自50或60年代的技术依然在为关键基础设施系统服务,而且几乎完全没有防护,这才是实实在在一点就爆的“哑”IoT。
其实这是个认知问题。普罗大众似乎不认为这些系统与他们日益频繁使用的IoT设备类似——甚至手机都能落入该分类范畴。
就像之前的智能手机,IoT设备被认为是新的、独立的一类东西,不属于老一代技术范畴,不受过往技术的限制。但这种想法很是荒谬:智能手机根本是最常见最广泛的互联网设备。IoT则是下一个大规模风行的东西。有些公司这次稍微前瞻了一点点,试图摒除掉IoT上类似手机当前面临的那些安全问题。目前为止,采取的行动还是又落回了预防上,但每个设备/连接都是可被攻击的。缩短驻留时间和保护IoT安全,取决于能否尽快以最高置信度报出这些不可避免的攻击所发生的时间。