预测一向很难,而且网络安全领域的预测更难。威胁界面广阔无垠,攻击性和防御性技术层出不穷,民族国家攻击无论规模还是复杂程度都在不断增加。
网络战争迷雾令人很难看清或评估任何趋势。比如说,去年,CSO网站对2018年的预测就没料想到加密货币挖矿的快速上升。事后来看的话,这种对网络罪犯而言相对容易且低风险的变现手法应该是很明显的。
不过,CSO网站去年的预测还是命中了一些:威胁检测过程的自动化程度上升、涉IoT设备的攻击大幅增加、网络犯罪增多导致的信任衰退等等。
今年,CSO网站给出的未来12个月里可能出现的重大事件或趋势如下:
1. 勒索软件逐渐减少,但破坏力依然惊人
因为罪犯转向其他方式赚取收益,勒索软件将会逐渐消退。但勒索软件仍是个问题,会进化成更针对性的攻击。卡巴斯基数据显示,2017和2018年遭遇过勒索软件的用户数量比2016到2017年时间段内遭遇勒索软件攻击的人数减少了近30%。
但随机性减少,针对性却变强了,后期的勒索软件攻击大多影响重大。赛门铁克发现,SamSam勒索软件背后的黑客团伙如今就主要针对数量相对较少的美国公司开展行动,大部分是市政和医疗机构。
勒索软件攻击数量减少的原因是罪犯找到了加密货币劫持和其他更有效的生财之道。现成加密货币挖矿工具的数量和质量意味着罪犯无需多少技术。卡巴斯基给出的数据:过去一年加密货币挖矿攻击受害者数量上升了44.5%,就充分体现了这一点。隐藏挖币机在2019年继续猛增,恶意软件作者以此侵害你的业务。只要攻击者能从挖币机感染中赚到外快,加密货币挖矿就会继续是个威胁。
2. 隐私监管和公众对隐私的看法将驱动数据保护策略
去年,CSO网站预测欧盟将很快处罚几家违反了《通用数据保护条例》(GDPR)的公司以杀鸡儆猴。但该预测并没有成真。尽管如此,2019年里,个人信息受损会遭到处罚的威胁依然会对安全运营产生巨大的影响。
这些处罚很有可能即将到来。2019年上半年,GDPR的实施将开始变严。涉嫌以监视用户隐私牟利的公司,比如谷歌和Facebook,未来几年可能不会太好过。已有数百份投诉发出,其中一些投诉对象就是谷歌和Facebook。
2019年,我们将看到欧盟开始回应这些投诉。GDPR和其他隐私监管规定的风险将进一步阐明。即便GDPR不回应,也会释放出不用太在意这项条例的信号。
对公司如何保护个人信息的关注增加,将会推动更多人向这些公司问责。消费者对层出不穷的安全事件和其他不道德信息披露(比如Facebook)的反应,会促使他们要求公司企业对用户信息设置更多默认隐私和控制。
2019年有可能会颁布类似GDPR的隐私法律。《加州消费者隐私法案》已被通过,将在2020年生效。11月1日美国参议院 Ron Wyden 提交了《消费者数据保护法案》(CDPA),该法案对隐私违法行为的处罚非常严厉,甚至包括了入狱。
鉴于美国联邦政府效力的当前状态,该法案不太可能吸引太多关注。同时,美国大多数处理消费者数据的公司企业将以GDPR和CCPA作为参考。加州和纽约将持续推动有关消费者数据隐私的协商,美国联邦政府却在故意拖延。
公司企业将开始考虑采用隐私优先的数据处理方式,尤其是在这些法律扩展到更多辖区和针对银行、医疗与支付等特定垂直行业的情况下。公司企业收集、使用和共享数据的方式需要进行重大调整。
3. 民族国家对个人的攻击和监视会更多
对记者、持不同政见者和政治家的黑客国家队网络攻击还将继续增多。有类似意向的政府对自己国土上的此类攻击会睁一只眼闭一只眼。
对本国公民实施监视的最坏可能结果,在沙特异议记者卡舒吉被虐杀案中得到了充分体现。以色列《国土报》报道称,沙特政府利用以色列网络武器在卡舒吉位于加拿大时对他实施监视。
以色列政府似乎是其他政府监视本国国民所用技术的主要出口商。《国土报》另一篇报道称,多个国家在用以色列软件监视异见者和同性恋。
4. 微软将在其所有主流产品中加装高级威胁防护(ATP)
Windows 10 高级威胁防护(ATP)是可以让持有E5安全证书的用户了解攻击者所作所为的一项服务。计算机连接到ATP服务时即启动遥测。
微软将在所有版本的Windows上推广ATP服务,借以打造重视安全的品牌形象。未来几年,该项服务将成为令用户选择Windows产品而不是IBM Red Hat 产品的一大卖点。
5. 确认中期选举中出现了选票造假
选票造假的确认将刺激人们呼吁更好的选民信息保护和推动更多的人参与在线投票过程。但想要让投票尽可能方便的人和想要保护投票过程完整性的人之间的冲突仍将继续。
我们需要确保每个人都能在线登记和投票,但我们也需要采取重要措施以确保可以安全而恰当地做这件事。
6. 多因子身份验证将成为所有在线交易的标准
尽管远不是完美解决方案,大多数网站和在线服务将抛弃仅口令式的访问,提供带额外要求或可选身份验证的方法。一段时期内,不同形式的多因子身份验证(MFA)可能会使用户迷惑和感到沮丧。
只使用口令来验证身份会使我们对网络钓鱼和其他攻击愈加不设防。但所有供应商都急于实现不同形式的身份验证方法,意味着用户可能会因需管理多种双因子身份验证而烦躁不堪。在更标准化的过程出现之前,这种烦躁的状态估计不会得到改善。
而这类标准,至少在供应商端,已经着手在做了。从FIDO2浏览器增强和Duo/思科的并购就能看出端倪。来年有望看到这方面的更多创新,让MFA的使用更便捷更令人信服。
7. 鱼叉式网络钓鱼更具针对性
攻击者知道,越是了解你,对你网络钓鱼成功的可能性就越高。其中一些战术令人毛骨悚然。鱼叉式网络钓鱼的趋势之一,是黑客攻入电子邮件系统,潜伏并暗中学习,然后运用他们学到的信息和经常相互沟通的人所建立起的关系与信任。
这一趋势体现最明显就是抵押贷款欺诈——买房人将过户费汇往黑客假冒可信按揭代理发出的电子邮件中提供的虚假账户。攻击者黑掉抵押放贷机构的计算机,记下所有即将到来的交易及其截止日期。然后在抵押代理通常会发出汇款提醒邮件的日期之前,网络钓鱼攻击者使用该抵押代理的计算机向买房人发出附带虚假账户的过户费支付提醒邮件。天真的客户汇出费用,然后面临失去房子的后果(除非他们还能再拿出一笔过户费来完成真正的交易,而绝大多数人通常是不会有这么多闲钱的。)
8. 各国将设立网络战规则
即便是在常规战争中,大多数国家也都会就基本规则达成共识,比如不虐囚、不使用毒气、不屠杀平民等。这些规则设置了贴合世界上大多数国家利益的行为边界。
网络战中不存在这样的规则,某些国家似乎认为他们可以随心所欲地做任何事。朝鲜黑掉了索尼影业,俄罗斯黑关键工业控制系统并试图影响其他国家的选举,中国盗取知识产权,美国和以色列使用恶意软件摧毁伊朗核设施。数字边界正在被试探,一些民族国家已开始反击。数字战争中的《日内瓦公约》指日可期。
在网络战问题上,无论有没有规则,有些国家都会继续越界。俄罗斯、中国和朝鲜仍会是网络攻击者的天堂。网络攻击者将有更多的资源可用,无论这些资源是来自他们背后的政府,还是来自勒索软件和加密货币劫持攻击得来的不义之财。他们将运用这些资源开发新的攻击方式,提升其恶意软件的弹性和适应性。除非国际地缘政治发生重大变化,否则这一情况将持续发酵。而国际地缘政治发生重大变化,最早也要到下一次美国总统选举了。
9. 更多公司将要求CSO/CISO拥有网络安全硕士学位
网络安全培训会变得更加成熟,仅有培训认证已不足以使安全人员在职业生涯中更进一步。五花八门的安全认证系统无法提供合适的教育和训练。网络安全硕士学位遍地开花,包括加州大学伯克利分校和纽约州立大学这样的名牌大学都未能免俗,越来越多的公司企业希望聘用通过硕士培养过程获得跨学科技术技能的CSO/CISO。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】