2019年网络安全形势已然更加复杂,网络攻击手段更为多样,数据泄露、勒索软件、APT攻击等安全事件频发。此外,网络安全市场也在急剧膨胀,快速发展,安全产品更新快,种类多,数量激增。在2020年,网络威胁随着云技术、大数据、物联网、人工智能等技术的发展,也将进化,变得更加复杂、棘手、难以应对。网络安全投入持续增加,市场规模将进一步扩大,发展潜力也将继续被激发出来。
在2020年,网络威胁将仍然是安全行业发展的主要驱动力,而国家政策要求是安全市场增长的重要推动力。此外,技术变革将催生安全行业中新的应用场景与市场空间。在威胁、政策、技术的多重驱动下,信息网络安全行业需求将更加旺盛,发展将更加成熟。
一、2019年网络安全事件回顾
(一) 俄罗斯50多家大型企业遭到未知攻击者勒索
3月2日,Rostelecom-Solar的网络安全专家记录到针对俄罗斯企业的大规模网络攻击。攻击使用物联网设备,尤其是路由器,伪装成欧尚、马格尼特、斯拉夫尼奥夫等50多家知名公司发送钓鱼电子邮件,对公司人员进行勒索攻击。追踪被黑的网络设备要比服务器困难得多,且使用物联网设备的攻击更简单,对入侵者来说更安全。
(二) 英特尔CPU再现高危漏洞,得到官方证实可泄漏私密数据
3月,美国伍斯特理工学院研究人员在英特尔处理器中发现另外一个被称作Spoiler的高危漏洞,与之前被发现的Spectre相似,Spoiler会泄露用户的私密数据。虽然Spoiler也依赖于预测执行技术,现有封杀Spectre漏洞的解决方案对它却无能为力。无论是对英特尔还是其客户来说,Spoiler的存在都不是个好消息。
(三) 华硕软件更新服务器遭黑客劫持 50 万华硕用户受影响
4月,安全研究人员表示,全球最大的计算机制造商之一华硕近50万台Windows计算机在去年遭到了入侵,攻击者劫持了华硕的实时软件更新服务器(Live Update),在无人知晓的情况下在客户的电脑上安装了恶意后门。这些恶意文件经过了华硕数字证书的合法签名,所以看起来与该公司的软件更新并没有差别。
(四) 网络安全等级保护制度2.0系列标准正式发布
5月13日,《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》三项国家标准正式发布,并于2019年12月1日正式实施。
(五) CapitalOne大规模数据泄露
7月,Capital One数据事件披露,事件影响超过1亿的美国人和600万的加拿大人。一项调查显示,事件背后的黑客嫌疑人是一名前Amazon Web Services员工,被指控非法访问Capital One的AWS服务器检索数据以及其他30家公司的数据。
(六) 委内瑞拉再度因网络攻击上演大停电
7月,委内瑞拉再度因网络攻击上演大停电,委内瑞拉的23个州中有一半以上受到了停电影响。这是今年3月的大规模停电以来,停电首次波及首都加拉加斯。
(七) 《儿童个人信息网络保护规定》正式出台
8月23日,国家互联网信息办公室正式发布《儿童个人信息网络保护规定》,并于2019年10月1日起施行。这是我国第一部专门针对儿童网络保护的立法,该规定填补了互联网时代儿童个人信息保护的法律空白。
(八) YouTube非法搜集儿童隐私,美国判罚谷歌1.7亿美元
YouTube涉嫌违反儿童隐私法,美国联邦贸易委员会宣布将对谷歌处以1.7亿美元罚款。这是《儿童在线隐私保护法》出台以来开出的最大罚单。
(九) 隐私安全遭质疑 ZAO被工信部约谈
9月3日,工信部网站发布,对北京陌陌科技有限公司相关负责人进行了问询约谈。ZAO App一经推出便迅速火爆,但也因为隐私安全问题遭到用户质疑。其中争议最大的就是用户协议中写到需要使用者同意把肖像权,永久、不可撤销、免费地给它使用,还能修改,包括它的关联公司。
(十) 印度核电厂疑似遭APT组织攻击
11月,印度独立网络核电站Kudankulam遭遇疑似朝鲜APT组织Lazarus攻击,印度官方发布声明承认遭到外部攻击者渗透,被渗透的是用于管理内部计算机连接互联网的服务器。这些服务器主要控制部分内部计算机的网络访问权限,并且这些服务器与核电站的关键设施是隔离的,影响比较低。
(十一) Adobe泄漏7百万Creative Cloud用户数据
11月,Adobe确认有近700 万个Creative Cloud 用户的资料外泄。问题最初是由安全机构Comparitech和安全研究人员Bob Diachenko 发现,在一个公开的资料库当中包含了大量Creative Cloud 用户的资料,其中包括电邮地址、帐户建立日期、使用的Adobe产品、订阅状态、帐户ID和所在地等等。
二、2020年网络安全趋势预测
(一) 勒索软件热潮不退,仍是网络安全攻击的“宠儿”
对于攻击者而言,利用勒索软件犯罪风险很小,只有在少数情况下,发起勒索软件活动的网络犯罪分子会被绳之以法。然而,其潜在的回报却很大。在过去的一年中,勒索软件攻击案件频发,有许多受害者屈服于攻击者的勒索要求,他们通常支付高额赎金以换取其网络的安全或换回信息数据。数据显示,勒索软件今年的攻击成本超过100亿美元。
在2020年,作为一种有利可图且相对无风险的网络犯罪形式,黑客想必不会放弃。并且目标式勒索软件攻击将大幅度增加,确保破坏规模并提高赎金,这样的手法只会有增无减。
(二) 数据隐私问题依然热门,过去揭露的泄露事件只是冰山一角
2019年网络安全对于数据的依赖性极强,数据泄露事件仍是人们的核心关注点。数据安全问题逐渐凸显的另一面是数据的激增。据预测数据显示,2020年我国数据总量全球占比将达20%,成为数据量最大、数据类型最丰富的国家之一。
黑客贩卖个人信息、企业数据遭窃取和泄露、网络运营商收集用户数据等一系列事件依然在人们视线中活跃。后续引发的网络钓鱼事件在2020年会持续增加。据微软的一项分析发现,网络钓鱼诈骗今年增长了250%。未来这些技术会变得越来越复杂,这使它们既难以识别,也更成功地实施。隐私和安全已经成为数字时代的新标志,数据安全和隐私将是2020年企业面临的头等大事。
数据比黄金更有价值,不管是企业负责人还是网络攻击者都已察觉。在新的十年开始之初,企业组织将会更加重视数据存储位置,划分数据敏感程度以及如何保护。个人的数据隐私保护意识也将会加强。
(三) 人工智能技术作为一把“双刃剑”,将使黑客攻击技术、手法更加复杂
2019年,网络安全行业开始利用AI技术开展安全防御工作,探索安全解决方案。但网络攻击者随即跟上了步伐,利用AI技术和机器学习研发攻击工具、恶意程序,以此来绕开和躲避渗透目标系统。
因此,2020年基于AI的恶意软件防护将变得愈加重要。网络安全威胁的发展推动我们进入AI对抗AI的时代。机器学习、自动化、Deepfakes等都是人工智能技术发展的成果,但是在享受成果的同时,也要防范其中带来的安全风险。
Sophos CTO Joe Levy预测,网络安全行业尝试并采用机器学习新技术的速度将继续提高,使系统在保护信息系统及其用户方面能够做出半自主甚至全自主的决策。这些新的防御技术至关重要,因为网络犯罪分子很可能会结合自动生成内容和人工操作来开展有目标的攻击,从而逃避当前的防御,执行“人脑(湿件)”攻击。
(四) Deepfakes技术进一步成熟,相关欺诈案件数量或持续走高
2019年,AI换脸是频频出现的热词。所谓deepfake,是指使用人工智能技术来制作视频内容,它可以实现以假乱真的效果,使得人们无法通过肉眼分辨真伪。
从国外的恶搞奥巴马,到国内的朱茵换脸杨幂、以及ZAO App的昙花一现。这项脑洞大开的技术在2017年由Reddit网站用户「deepfakes」提出并开源,便在论坛炸了锅。随即衍生出FakeApp等视频合成工具和一系列伪造影片。
Deepfake对女性群体的威胁更大,相关伪造视频中,有超过90%以上涉及到了色情。同时,AI支持的Deepfakes技术能带来的巨大经济收益,预计在2020年会有更多的人模仿攻击,更多的基于Deepfakes的攻击可能以很低的成本制造出以假乱真的音频和视频,与此相关的欺诈损失将超过205亿美元。
据Mitek CTO Stephen Ritter预测,Deepfakes对2020年选举也将产生重大影响,因为人们的真实身份变得越来越难以验证。这项技术将用于生成虚假视频,污蔑政治候选人说过什么或者做过什么,并且这些视频近乎可以实时制作。
(五) 智能互联设备数量大幅增加,物联网安全问题意识加强
2019年可谓是物联网发展关键的一年,智能联网设备相较之前大幅增加,技术更加先进,对于人们的生活更加便捷。但是针对物联网安全的问题也开始困扰着人们。
物联网的普及使得安全问题迫在眉睫。IoT Analytics预测,到2020年,全球活跃的物联网设备数量将达到100亿台。智能家居、智慧城市、车联网等,其建设都有赖于物联网技术的进步。
然而,物联网安全频频见诸报端,比如黑客入侵家用路由器、智能门铃、汽车或者其他智能设备来监视用户生活,窃取用户信息,将用户的信息数据隐私出售换取实质利益,或者成为进一步犯罪的手段,这些都让人们对物联网“又爱又怕”。
在2020年,智能联网设备的供应商会加强安全因素的考量。研发没有安全问题的联网产品,增加人们对设备的信任程度,扩大市场推动行业发展。因此,物联网设备制造商和连接设备的部署者需要制定计划,升级其提供的功能以确保安全的物联网系统。
(六) 供应链攻击、开源软件恶意感染继续增加
据赛门铁克数据显示,2019年,供应链攻击增加了78%。企业资源集中于特定市场从而将大多数辅助业务流程外包给了熟练的供应商和经验丰富的第三方,降低了成本,加快了交付速度。大多数人从已知开发人员的官方网站安装软件或更新的时候,不会过多思考。因此,在过去几年,黑客越来越多地利用这种信任,通过源代码来传播恶意软件。
利用用户对厂商产品的信任,在厂商产品下载安装或者更新时进行恶意软件植入进行攻击。这种攻击手法不易发现,且潜藏时间长久。IBM表示,2019年发现漏洞的平均时间高达206天。一般情况下,用户都不会怀疑受信任的开发人员或供应商,而供应商又可以提供大量的用户,攻击者可以以较低的投入,获得非常高的回报。
(七) 云安全事件随企业上云的普及而增加,云数据存储与处理面临考验
在2019年的重大数据泄露中,有很大一部分源于配置不当的云存储,造成大型科技公司和金融机构的数据泄露。比如Capital One数据泄露事件,利用一个配置错误的AWS S3存储桶来下载敏感数据,影响了大约1亿美国人和600万加拿大人。
《福布斯》称,到2020年,企业会将83%的工作量转移到云上。云计算的进步将引发新的网络信息安全问题,驱动云安全市场的高速增长。网络技术协同融合意味着安全风险的交织与演变。
DivvyCloud联合创始人兼CTO Chris DeRamus预测,在2020年,企业持续上云,我们将看到大量由于配置错误而导致的数据泄露。由于科技更新换代的压力,开发人员经常以创新的名义绕过安全性,这就容易导致大规模的数据泄露。
(八) 5G普及,移动端将遭遇更大的攻击风险,为APT组织所青睐
抓住2019的尾巴,我国正式进入5G商用元年。在今年10月正式商用5G。到11月,中国5G手机销量超500万部。中国5G基站到年底将建成超13万个。据预测,2020年中国将建设超过60-80万个5G宏基站。
来年5G的普及也意味着攻击者将加大了移动恶意软件攻击的力度。Mimecast威胁情报副总裁Joshua Douglas预测,在2020年,企业专注于简化终端用户体验,创建即时通讯并自动执行日常任务。在2020年,我们将看到针对移动平台的攻击会有所增加,攻击者利用新工具的安全隐患进行账户访问并隐藏身份。同时,未来移动设备的数据丢失,将用时更短,数量更大。企业对于移动威胁的检测和响应投入也将增加,以此完善整体安全策略。
移动端植入已成为很多 APT 团伙的基本操作,移动端的零日漏洞价格也是水涨船高,行情一路看涨。今年 9 月份,零日漏洞交易服务商 Zerodium 发布的数据显示,Android 零日漏洞的价格首次超过了 iOS。
(九) 安全法律法规进一步落地,企业或将面临合规资源和机制不堪重负
2019年,等保2.0、《国家关键信息基础设施安全保护条例》、《儿童个人信息网络保护规定》等网络安全相关法规、政策逐渐出台、落地,推动了整体行业的发展。
在2020年,行业相关法律法规将陆续出台,比如即将生效的《加利福尼亚消费者隐私法》,不断填补安全行业空白区域。同时,现有的和新出台的安全法规将进一步落地,加大对不合规企业、过度收集数据企业的惩处力度。企业或将面临合规资源和机制不堪重负的问题。
(十) 威胁情报信息共享重要性提升,或将面临新挑战
在2020年网络安全攻防全面升级,而威胁情报共享和有效利用将成为提升整体网络安全防护效率的重要措施。
2019年11月,国家互联网信息办公室会同公安部等有关部门起草了《网络安全威胁信息发布管理办法(征求意见稿)》,向社会公开征求意见。威胁情报对于网络安全防护具有现实价值,且越来越多的企业和机构对此需求迫切。
威胁情报发布标准的落地,由此建立更好的威胁信息共享体系。集体网络防御和公私协作将进一步加强未来网络安全防御的信心和能力。如果与行业内的其他公司共享网络安全方面的信息,他们就可以同归对比各自的安全策略和实践方式来找出自身在安全保护方面的短处,并提升安全机制的成熟度。但是对于企业应该共享哪些类型的威胁信息以及分享给谁,这些信任问题将阻碍威胁情报信息共享的发展。