网络安全是难以预测的领域之一,我们能做的是洞察攻击方法的趋势、威胁态势的变化、了解新技术以及暗流涌动的“网络犯罪经济”、提供关于未来的最佳“猜测”。是的,虽然标题是预测,但以下更多只是猜测和“抛砖”。
2021年,比量子霸权和机器人崛起更加现实的威胁背景:
- 2021年全球范围网络犯罪造成损失高达6万亿美元,超过全球毒品交易总规模(Cybersecurity Ventures)。网络犯罪收入超过1.28万亿美元,相当于12个沃尔玛(达沃斯报告)。
- 勒索软件持续变异蔓延。每5秒钟发生一起勒索软件攻击事件,全年勒索软件造成损失超过200亿美元,是2015年的61倍(亚信安全)。
- SolarWinds供应链攻击引发全球关键基础设施安全新“冷战”。
- 疫情因素导致部分企业IT预算紧缩,技术债累积,被迫向云端迁移导致云安全风险放大。
- 网络攻击和安全漏洞继续快速增长,安全误报和远程办公/数字化转型快速迁移将造成部分安全人员压力上升和过劳倦怠。
2021年,我们将面临不断升级的新威胁和新挑战、新的工具和技术。2020年SolarWinds供应链攻击对关键物理设施、国家安全和生命安全的威胁已经验证,攻防双方勉强维系的对等和平衡已经被彻底打破,2021年威胁网络安全“再平衡”甚至将成为一种国防需求。
以下,我们整理了业界对2021年的几个有代表性的预测:
勒索软件“勇猛精进”
根据Cybersecurity Adventure的预测,到2021年,企业将每11秒遭受一次勒索软件攻击,而2019年为每14秒。这将使勒索软件成为增长最快的网络犯罪类型。全球勒索软件破坏成本预计将达到200亿美元,高于2015年的3.25亿美元。到2021年,每年所有加密货币交易中的70%以上将用于非法活动(目前的比例范围是包括5种主要加密货币的20%以及比特币的近50%。)
2020年是勒索软件集体爆发的一年,复杂化、产业化(RaaS)、定制化(针对性)、勒索手段的多样化组合和赎金价格的不断飙升是2020年勒索软件已经呈现出的主要发展趋势。进入2021年,勒索软件几乎肯定会成为攻击组合的重要组成部分,更多的勒索软件团伙将在加密数据之窃取数据,来继续“增加价值”,这种组合勒索方法在医疗行业将引发更为严重的问题,例如攻击者可以利用被盗的患者记录来勒索患者。
持续攻击医疗基础设施可能会导致严重后果,2020年,勒索软件攻击已经制造了数个命案,2021年,更多人可能会因网络攻击死亡。唯一的积极结果是,悲剧性事件已经为医疗行业和执法部门敲响了警钟。
随着勒索软件商业模式的不断进化,犯罪分子将变得更加大胆,并瞄准更广泛的行业。2021年,很多以前没有被视为高风险的公司和行业也会遭遇针对性攻击,例如金融服务、政府、高等教育或能源部门。
零日攻击与加密货币
针对流行操作系统和应用程序的零日攻击仍会是一个大麻烦。虽然开发人员总体上已经变得比过去更加谨慎,但是仍有改进的空间。漏洞赏金会有所帮助,但恶意行为者将故技重施,出售漏洞利用程序的犯罪团伙将获得高额回报。
加密货币仍然是一种“流通性”和隐蔽性很强的支付手段,受到隐私保护主义者和罪犯的青睐,而被政府机构所厌恶。从网络安全防御的角度来看,随着加密货币市场的火爆,挖矿软件已经成为攻击者常用载荷,因为受害者的计算资源本身就是一种可供掠夺的“财富”。
各国政府已经在努力规范网络空间,2021年,我们有望看到更多政府立法试图控制(即使不是完全禁止)加密货币的使用。面对不断增长的地下网络犯罪分子,各国执法部门和企业将需要合作建立勒索软件(及加密货币)情报共享机制。同时,勒索软件犯罪团伙不断发展壮大的同时,也会使他们更容易成为执法部门的目标。
汽车黑客“崛起”
以电动汽车、自动驾驶和联网汽车为代表的汽车数字化时代已经到来。2021新年,特斯拉Model Y在中国市场10小时售出10万台,相当于传统汽车厂商热门车型一年的销量。
但很少有人注意到,特斯拉也是安全漏洞赏金支出最高的汽车企业。没有人比马斯克更清楚,汽车产业数字化和智能化面临的最大威胁是黑客攻击。
与家用WiFi路由器和空调传感器相比,汽车堪称高动量的“大规模杀伤性武器”,由数百万联网冰箱和摄像头组成的僵尸网络,可以瘫痪半个美国的互联网,但却无法伤及一条人命。但是大量联网电动汽车一旦成为网络犯罪分子的猎物,其后果不堪设想。就汽车安全而言,我们讨论的将不再是物联网安全或者消费者隐私问题,而是大规模的恐怖袭击和创纪录的勒索赎金。
当前,物联网(IoT)设备的安全可视性依然很差,即使被入侵成为“肉鸡”也很容易被忽视。与大型设备(例如医学成像系统)不同,小型物联网设备将变得无处不在,但是由于物联网厂商普遍缺乏安全基因,很多设备的漏洞即使不是不可修补的,也将保持脆弱和未打补丁的状态。不法分子会发现这些物联网设备有新的和更具“创造性”的用途,而不仅仅是用来发动可怕的DDoS攻击。
对最新一代联网车辆的网络攻击的号角经吹响。尽管眼下还没有记录到针对车载软件空中更新的攻击,但随着越来越多的汽车制造商采用该技术,这一问题将日益引起人们的关注。2021年,我们很可能看到针对自动驾驶系统的多种形式的攻击。
虽然已经公布的概念验证攻击只是欺骗(通过对抗性样本)人工智能自动驾驶系统误判障碍物或交通标志,但黑客也有可能对启用这些技术的传感器和软件实施后果严重的攻击。
内部威胁风险加大
无论是“删库跑路”还是接受贿赂或泄露账户信息,正如2020年我们看到的,随着疫情和远程办公的常态化,2021年的内部威胁风险将加大,内部威胁的攻击矢量也会增加。
这里所说的内部,还包括那些能够访问内部系统的合作伙伴。2021年供应链安全将得到越来越多的关注,因为越来越多的攻击者(包括勒索软件和高级针对性攻击)开始选择从供应链中的薄弱环节,例如规模较小安全能力不成熟的企业入手,进而攻击上游或下游企业。
5G打开安全威胁的潘多拉盒子
2021年,5G网络安全将成为各国5G战略的头等大事。
5G网络引入的网络功能虚拟化、网络切片、边缘计算、网络能力开放等关键技术,一定程度上带来了新的安全威胁和风险,对数据保护、安全防护和运营部署等方面提出了更高要求。
2020年5月份特斯拉汽车“失联”事件表明,5G作为新基建的核心基础设施,其安全问题如不能在“原生”和“设计”阶段消灭在萌芽中,将给电动汽车、智能物联网、智慧城市等新基建发展埋下严重隐患。
如果想避免物联网安全的悲剧重演,5G设备制造商、系统与服务提供商、运营商、监管机构等需要与包括网络安全业企业在内的5G生态组织一起做好5G安全的“顶层设计”和“原生设计”。
零信任与XDR构筑新的防御体系
2021年,随着密码管理工具和多因素身份验证(MFA)的普及,通过外部网络钓鱼和数据盗窃来实施攻击的速度被大大减缓。
这些工具在减少入侵账户的威胁方面非常有效,其中基于令牌的MFA在这两种工具中更有效,但这些年来其应用增长缓慢。但是,2021年廉价的物理密钥和基于软件的认证器软件有助于推动多因素认证的普及。在新的一年里,多因素认证的用户接受度仍然是一个挑战,而且可能还会持续数年。
我们还可能看到基于风险的访问控制技术的增长,越来越多的企业使用安全分析工具来定制合适的身份验证级别,仅在需要时才进行额外的身份验证,这将有助于减轻用户的负担,减少业务摩擦。此外,通过将行为分析技术绑定到安全工具堆栈中,防御者正在给攻击者制造更多麻烦。这些都与零信任架构有关,2021年零信任将进入快速发展阶段。
安全分析作为一项技术将得到更多的应用,并被整合到现有的安全堆栈中。随着扩展的检测和响应(XDR)从最初的以供应商为中心的定义演变为更开放的,与供应商无关的模型,在企业安全领域的地位将进一步提升。行为分析模型将继续改进,随着端点代理不断改进并向堆栈中提供更好的信息/情报,行为分析将提供更准确的结果。
如果幸运的话,我们将看到能够在物联网设备上部署的超轻型代理。我们还将看到欺骗技术得到更广泛的应用。尽管它们无法阻止攻击,但它们可以作为可靠的预警并补强现有网络安全解决方案。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】