海外观察
两大杀毒巨头发布2017年安全威胁趋势预测:
勒索软件、云安全、物联网被划重点
赛门铁克和迈克菲(McAfee ),全球两大终端安全技术与反病毒厂商,近日几乎同一时间发布了对2017年的安全趋势预测。
用于控制汽车的手机应用、内部复杂的传感器控制系统、软件漏洞都有可能成为新的风险点。除了可能的远程攻击、未授权监控并获取汽车定位数据等信息外,2016年非常活跃的勒索软件也可能通过锁死汽车控制系统索要赎金。此外,云基础设施也正成为网络攻击者获利的重要攻击目标。一旦发动勒索,攻击者突破云服务提供商对云基础设施的基础性安全保护,没有在云上做额外安全加固的企业数据也可能受到影响。为了避免关键数据的丢失,企业将不得不支付赎金。
仅CryptoWall 3.0这一单个勒索软件系列收入就可能超过3.25亿美元。但随着“停止勒索”等相关计划的展开,安全行业和国际执法机构的联手合作,2017年下半年全球勒索攻击的规模和效果会开始下降。
2016年10月末,美国DNS管理优化提供商Dyn遭遇僵尸网络Mirai发起的DDoS攻击,这一僵尸网络是由暴露在互联网上的大量存在弱口令漏洞的摄像头组成的。这直接导致大半个美国互联网瘫痪。并且攻击仍然在全球其他地区延续。物联网设备的安全风险以及可能导致的严重后果再次引起人们广泛重视。
除了工业用物联网设备以外,企业与家用物联网设备的数量也在与日俱增。打印机、恒温箱,甚至是洗衣机或者冰箱,一切联网设备都有可能成为攻击发起的跳板。目前,大量已进入市场的物联网设备在设计之初便缺少有效的安全防护机制,且有很大一部分无法通过软件/固件更新得到改善。2017年针对物联网设备发起的攻击可能会进一步增多。
无论是BYOD还是企业数据向云端的迁移,企业网络边界扩展到云端,且日趋模糊。在云服务的“成本、效率”和“更多的控制、可见性和安全性”这一矛盾中,云服务提供商要为不同客户提供不同的平衡点。而目前访问控制和身份验证在云安全保护中仍是最薄弱的技术环节。迈克菲预测针对管理员账户的定向凭据盗窃和暴力攻击将会增多,且攻击流量将在容器与容器,虚拟机与虚拟机之间移动,试图攻击使用同一云服务提供商的不同客户。
对云端数据的访问控制,赛门铁克则更看好云安全访问代理(CASB)的方式,通过类似安全网关的方式对云端数据进行访问和权限控制,并辅以访问终端的安全防护,来保障数据的安全性。
人工智能和机器学习,在海量的安全数据分析上,给了企业安全人员更多的能力。企业需要拥有更强的洞察力,这将增加人与机器的进一步协作。除了要求企业能够收集和分析不同企业、行业和地区中的端点和攻击传感器数据外,对于云端的庞大实时威胁情报网的利用方面,赛门铁克也认为机器学习会在安全威胁分析中起到重大作用。
但是,机器学习对大数据分析处理的能力,也可以被攻击者利用。迈克菲认为,试图进行企业电子邮件攻击(BEC)的诈骗分子,也正试图利用机器学习技术,从海量的公开曝光数据、社交媒体以及泄露数据等社工库中挑选更高价值的攻击目标。
2017年,可能会出现提供基于机器学习算法和海量公开企业数据的“目标获取即服务”数据盗窃服务提供商,并加速社会工程学攻击的进步。
通过拦截无人机控制信号而篡改无人机定位或航线信息,甚至被攻击者远程控制后,遭劫持的无人机可被用于各种违法行为,如盗窃其上的设备和数据(特别在物流领域),对其它机构网络进行渗透等。相对的,也会出现“反无人机”攻击技术,例如利用漏洞设置禁飞区。
消费类无人机因为其开放端口和弱身份验证,使其可被轻易进行中间人攻击。所幸,目前商用无人机大多数漏洞可通过安全补丁进行修复。它们更多是因为没有采取安全措施,如不使用加密通信和大量开放端口而容易被成功入侵。
传统终端安全防护需要检测执行文件,并依据特征库对可疑文件进行鉴别。而无文件感染不需要使用任何类型文件作为载体,可以在不写入硬盘的前提下将可执行文件解密并直接加载入内存,使得终端防护产品无法进行侦测,也无法获取恶意软件的执行记录。这种非硬盘驻留型恶意软件因为其没有文件实体,所以可以轻易逃避入侵防御和防病毒程序的阻拦。赛门铁克预测其会在2017年继续蔓延,目前其主要攻击方式是通过Windows的PowerShell,一种任务自动化及配置管理框架进行传播。
因为硬件漏洞可以侵蚀整个软件堆栈运行和安全的特性,对硬件的攻击成功,即意味着所有系统基于软件的安全机制和保护措施全部失效。虽然硬件相较于软件更不容易被攻击,但是利用硬件逻辑漏洞的攻击也并不是天方夜谭。迈克菲认为,有理由相信黑客高手有能力攻击基于传统BIOS、(U)EFI、固态盘、网卡和WIFI设备及其上的固件系统。同时,固件也是恶意软件理想的藏身地,如BIOS会被大多数杀毒软件无视,即使系统重启也不会对恶意软件造成任何影响。在防御的一方,基于硬件层面的安全防护技术,如使用UAF和U2F协议的FIDO、可信执行环境(TEE)以及可信平台模块(TPM)也在被广泛实践。
虽然之前威胁情报的共享受到“可能无意共享客户隐私信息”、“失去企业竞争优势”以及“公众会知晓哪些组织受到黑客攻击”这三点阻碍,但这些担心目前正烟消云散。Cybersecurity Information Sharing Act已经将美国政府与私营企业间的责任保护,延伸到共享实体的私有企业间,为下一步威胁情报共享提供了法律基础。美国企业正在评估相关的威胁情报共享政策。
同时,由美国国土安全部成立的信息共享和分析组织(ISAO),将在2017年建立ISAO平台,根据细分市场、区域并围绕利益相关性建立ISAO社区,以及允许企业将威胁情报添加到自己的安全系统中。可以预测,随着ISAO和其它威胁情报共享计划的发展(目前国内也有相关行业联盟),其管理和业务将得到改善,2017年将会有更多的威胁情报共享。
(来源:安全牛)