文/本刊记者 Sophia
世界安全大佬眼中的2016网络安全态势预测策略性数据操纵及扰乱将成常态
文/本刊记者 Sophia
即便不是安全圈的从业人员也知道2015年是网络安全不太平的一年,一方面高级、可持续的威胁正在成为常态(APT),另一方面原理复杂、攻击性极强的漏洞正在以很便宜的价格流入黑市。面对纷纷扰扰、威胁无处不在的互联网世界,2016年的安全圈内,又将有怎样的发展和变化呢?
赛门铁克首席执行官迈克尔·布朗
随着越来越多的消费者购买更多的智能手表、智能活动跟踪器、全息耳机及其他物联网(IoT)设备,对这些设备改进安全性方面的需求将变得更加紧迫。
物联网设备市场非常分散,有着各种各样的繁杂且低成本的硬件平台和操作系统。而随着市场领军的脱颖而出,以及某些系统的进一步发展,对这些设备的网络攻击无疑将升级,毕竟,我们已经看到了诸多针对Android平台的网络攻击。
此外,“护理关怀无处不在”理念的不断发展,可能会使得医疗器械设备的安全性问题或将成为2016年的一大主流话题。众所周知,诸如心脏起搏器、胰岛素泵等维持病患生命的设备可能会面临被黑客攻击的风险。
鉴于这些技术的发展变化如此之迅猛,相关的监管可能需要在2016年被迫赶上技术发展的步伐。我们可能会发现,一些国家或行业将开始制定相应的指导方针,以解决针对新的数据信息使用过程中的风险规避问题、数据所有权问题、以及允许物联网设备提交数据的问题。
最近几年,苹果设备的人气飙升。根据IDC的数据显示,该公司目前占到了全球智能手机出货量的13.5%,全球PC出货量的7.5%。用户数据的急剧增加显然不会被网络攻击者们所忽视。一些网络攻击活动的犯罪分子已经开始在开发能够感染Mac OS X或iOS设备的特定恶意软件了。
尽管相对于该公司的主要竞争对手(台式机领域是windows;移动领域则是Android)而言,针对苹果操作系统的网络威胁的数量仍然相当低,但在近几年,已发现的针对该公司设备的网络攻击也开始呈现稳步增长态势。与此相呼应的则是,与苹果设备相关的恶意软件感染水平已经飙升,特别是在过去的18个月。安全研究人员对于苹果软件的漏洞也给予了更多的关注,在过去一年中发现的一些备受瞩目的安全漏洞。零日漏洞经纪人已经开始为发现苹果漏洞提供高额悬赏,最近甚至为iOS 9.1的成功越狱支付高达100万美元的赏金。
勒索软件团伙将极有可能与更多的传统恶意软件分销商发生冲突,勒索软件的感染是公开和明显的,而大多数其他恶意软件的感染则是隐蔽和谨慎的。存在勒索软件的计算机通常会提示电脑拥有者彻底清理机器,删除任何恶意软件。而由于勒索软件可能是由某一个单独的恶意软件所安装的,这将导致其他恶意软件也将被删除,这无疑切断了其他恶意软件运营商的商业模式。
由于人们防范诈骗意识的增强,网络攻击者及其恶意软件很可能进一步演变,并使用更先进的技术来躲避检测并防止被清除。而相关的“勒索信”将很可能也会发生演变,攻击者会使用不同的诱饵来欺骗无辜的用户。
有两大关键性的因素推动了网络保险的迅速普及:新的监管规定明确了企业对于数据信息泄露应承担的责任和义务;网络犯罪分子利用所窃取的信息进行金融支付欺诈、身份盗窃和其他犯罪行为的增加。
网络攻击和数据泄露不仅会造成企业声誉受损和业务中断,同时最重要的是,其代价是相当昂贵的。仅仅依靠IT 防御可能会带来一种虚假的安全感,但是,任何企业都不能免于风险。在2016年,更多企业将开始将网络保险作为另一个保护层,特别是作为网络攻击开始镜像物理世界的攻击。
我们已经看到了许多的针对企业基础设施的袭击事件,而在2016年,我们预计这种状况还将继续增加。而针对企业基础设施实施攻击的动机都是政治性和犯罪性的,包括由某些国家或政治组织发起的网络战;或者由犯罪份子以获得盈利或赎金的犯罪行为。由于需求的增长,工业物联网正在日渐通过互联及连接额外服务汇报和改善功能。这些变化将带来更大的网络攻击面,致使更传统的企业基础设施更难确保运行环境的安全。
无处不在的加密将很快成为科技行业的共识。鉴于人们和系统之间通过不安全且易受攻击的网络进行了大量的通信和互动,在数据传输过程中的强大的加密在一段时间内已然成为了人们的普遍共识,并已经得到了广泛的实施。
不幸的是,许多新的设备和应用程序在这方面执行得非常糟糕,导致的漏洞允许攻击者能够获得这些通信的数据内容。例如,移动设备已经成为大多数人的生活的中心,人们利用这些设备进行通信、数据存储及一般技术性的互动。而这又为网络犯罪分子带来了高价值的攻击目标。移动操作系统制造商不断改进其加密的产品,来填补应用程序和服务商的差距。而尽管这种更多加密的趋势对于保护用户的数据不被网络罪犯窃取固然很好,但这也让政府执法部门认为这是干扰他们执法的障碍。上世纪90年代的加密战争很可能将会在未来两年内再次发生 。
在过去的两年中,我们已经看到对于生物识别技术的使用呈现了显著的上升趋势。而伴随着业内的大部分主要企业开始对新的设备传感器和诸如FIDO和TouchID这样的生物认证框架技术的采用的显著增长,预计这一趋势还将继续。这些技术的采用有利于借助生物信息(如指纹)等设备存储以及应用程序和系统之间的互操作性的安全。这意味着生物识别技术终于可以回答消费者一直关注的“这里面有我的什么信息”的问题了,其将通过生物体传感器来代替传统密码的PKI认证保护。借助越来越方便的指纹设备解锁、指纹购买和支付为消费者带来了明显的安全性的提升。这也导致了企业开始采用生物识别技术,我们可能会开始看到企业对传统密码依赖的减少。
互联网安全不仅仅依赖于科技的进步,其同样依赖于人类的因素。如果人们的操作能够更熟练,可以大大帮助他们减少所面对的网络安全风险。这在消费者避免欺诈骗局,与政府雇员避免有针对性的社会工程攻击方面尤为突出。
在这样的背景下,安全游戏化将通过使用心理奖励和简单的电脑游戏即时满足用于将“此刻的愿望”转变为持久的行为改变。例如,安全游戏化也可以用来培养消费者要警惕钓鱼邮件或生成、记忆和使用强大的密码。预计在2016年对于这种培训的需求将会带来一个巨大的市场机会。
企业还将在为安全漏洞做好准备,更好地实施防御方面投入更多,他们将通过模拟安全“战争游戏”来更好的了解他们的安全防御体系。通过将传统的渗透测试扩展到模拟响应和整治阶段,企业可以训练他们的员工,提高和改善他们对于安全风险的准备。早在2015年一月,英国首相戴维·卡梅伦和美国总统巴拉克·奥巴马就曾达成了进行联合跨国网络军演“战争游戏”的协议。而企业则可以在2016年参考他们的例子为榜样。
Riverbed公司大中华区总经理 袁志陵
混合IT将持续发展,复杂度将继续增加,虽然一些小企业和初创企业可以利用“纯云”环境,但是大中型企业将持续部署混合IT,使之成为新常态。如果想实现可扩展性、灵活性及灵敏性,依靠本地应用很难做到,而混合IT就有非常大的优势。从另外一方面来讲,混合企业复杂度大,难以管理,会产生诸多挑战,如影子IT、有限的带宽和缓慢的SaaS应用性能等等,这使IT领导忙得不可开交。混合环境产生的复杂度要求我们必须以全新的端到端视角来看待整个IT环境。
网络安全的重点将从预防转移到监测上。适应性安全架构在Gartner 2016十大战略IT趋势中位列第7,但是我预计它在今年的地位将上升。因为保护网络的传统方式将无法奏效。依赖周界防御和基于规则的安全远远不够,尤其是当组织机构开发更多云服务并向客户和合作伙伴开放API以集成其系统时则更显不足。IT领导必须集中精力检测并响应威胁,以及借助更多传统拦截和其他措施来防止攻击。”因此,确保更大的网络可视化应是每一位IT领导2016年的工作重点。
此外,超融合边缘基础设施可完成远程无数据存储,将实现更大范围的应用。SD-WAN也将赋予IT对边缘实现更多控制和更高效率的支持,预计SDN技术市场未来的规模将达到14亿美元。CIO将继续重申如何创造价值并向其业务部门清晰表达,他们开始真正改变企业对IT的印象。同时,一个重要的角色将应运而生,它就是CDO,即首席数字官。
Palo Alto Networks 副总裁兼亚太区首席安全官Sean Duca
勒索软件将在传播方式、逃逸技术、通信及目标文件隐藏等方面继续发展,网络威胁联盟研究报告指出,勒索软件CryptoWall v3已为其幕后黑手带来超过3.25亿美元的收入。这一趋势将带来更多版本的勒索软件类攻击,从而使更多的网络犯罪团伙欺诈使用者支付赎金以取得解锁密钥,我们预测这些手法将会伸延到其他平台,如OS X和移动操作系统。
情报共享能够在机构防御威胁时,自动且实时地得以执行,优势将呈指数级增长。一旦清楚了是谁将你设为攻击对象,他们手中有哪些工具可以使用以及他们惯常采用的攻击方法,企业机构就可以更有效地保护自己的网络。这个趋势将会持续下去,缘于越来越多的机构已经开始意识到知识分享所带来的优势,并将其作为一种手段来团结各方力量对抗亚太区的网络入侵。
越来越多的情况表明当攻击者试图发起攻击时,通常情况下会有某个间接受害者受此牵连。在亚太区,最常见的手段是“水坑攻击”,即将漏洞代码植入机构网站,并试图感染访客站点。预计2016年此类攻击事件将继续呈现上升趋势。
成功发动攻击不但变的更加容易和廉价,而且正在摧毁我们对在线系统的数字信任。未来将有更多机构采用全新安全模式,如“零信任”(Zero Trust),可弥补包括以边界为中心策略、原有设备以及部署这些设备所使用的技术的不足之处。“零信任”奉行“绝不信任,必须验证”的指导原则。
物联网攻击将变得频繁,但暂时不会出现成千上万设备被攻击的情况。
各国政府及立法者将在保护互联网和使用者方面会更加积极主动,与网络犯罪法律相关的讨论将会增加,过时的网络安全标准也会得到修改,整体安全形势将得到有效提升。
RSA 公司首席执行官Amit Yoran
黑客攻击工具及服务的商品化程度日益提高,攻击机构的成本也已显著下降。这使得非财务目的驱动的黑客行为更加猖獗。“匿名者”等使用复杂工具的黑客活动分子已经和不那么复杂的黑客恶棍融合在了一起。各大机构需要认识到,金钱上的好处不再是他们对手的主要驱动因素。安全部门和风险管理者不仅需要提升对威胁本身的认识,还需要理解威胁的本质、原因、地点,以及自己为什么会成为目标。
机构将开始意识到,自己的数据并不只会遭受非法访问,还会被操纵和篡改。人类和计算机作出的决策都是基于数据。如果数据在不知情时被篡改,决策将基于错误数据作出。想象一下控制系统和制造流程使用的数据被同时篡改的灾难性场景吧。
MalwareBytes 公司资深安全研究员Jerome Segura
网络罪犯在2015年已经创造了够多的勒索软件变种。受害者付钱拿回文档,这个商业模型已经证明了自身的价值。执法机构甚至暗示交钱是唯一渠道。因此,我们在2016年很可能看到更多勒索软件的模仿者,恶意软件编写者将重用一些勒索软件家族的源码,开发自己的版本。就像我们看到了 Zeus 银行木马的很多变种一样,勒索软件变种很有可能源源不绝。不过,可以预料的是,一些恶意软件团伙也将被捣毁。
得益于零日漏洞的崛起,网络罪犯使用在线广告投放恶意软件的行为非常高效。尽管广告运营商在尽力驱逐恶意广告投放者,2016年的攻击数量仍将上升并影响到大型媒体。恶意广告还在变得更加聪明,投放的准确度也更高。从历史上看,恶意广告已经出现在了 banner 上,但明年,我们可能还会看到它们出现在视频广告中,甚至将 HTML5作为新的感染向量。广告拦截器已经引发了围绕广告质量、安全和用户整体体验的争论,但这能否改变我们过去已经走了十年的老路,仍待考量。
Xchanging 全球创新与科技总裁Mani Gopalaratnam
研究机构 Allianz给出的数据表明,每年,网络犯罪在全球造成的损失高达4450亿美元(约3万亿人民币)。2015年并没有例外,2016也不会,除非企业做好了进攻的准备。企业正日益依赖于在线系统,这很容易创造黑客行为的高危环境,因此创建并部署预测性防御系统比以往任何时候都更加重要。能够持续检测、拦截、分析、响应威胁的系统的需求将更加紧俏。
Fortscale 公司首席执行官 Idan Tendler
严重安全事件和数据泄露的数量将快速增多,特别是对于在配备进攻型防御系统方面表现迟缓的第二级供应商而言。不幸的事实是,漏洞的和潜在的侵入点数量每年都在增加。每个新诞生的应用、操作系统和设备都会增加网络罪犯的入侵机会。此外,黑客工具搜索老设备上漏洞的能力比以往任何时候都更强,这对还没装备最新一代安全工具的小机构而言影响尤其严重。黑客永远会选择脆弱链下手。如果他们认为大企业太强壮,就会转而找小企业下手。
SecureAuth 公司首席技术官Keith Graham
行为识别将登上前台。这将成为自适应和用户识别技术的重要部分。因此,分析键盘敲击、鼠标移动、触摸行为的能力将成为认证过程中可行、有价值的方式。
Palerra 公司首席执行官 Rohit Gupta
物联网带来新威胁。2016年,可穿戴设备、医疗设备、智能汽车带来的隐私和威胁问题将急剧凸显。举例而言,黑客可以入侵汽车的计算机系统导致严重路面事故、窃取医疗监控设备中的公共卫生数据(PHI)、拿到用户的家庭用电用水信息。
SkyHigh Networks公司Rajiv Gupta
企业开始偿还欠下的云安全债。越来越多的企业全速向云端前进,然而迄今为止,安全很难跟上脚步。云安全预算和企业应当投入的资金额度之间存在差距。根据魔力象限(Gartner)的研究,企业在云安全领域的投入仅占总安全预算的3.8%。2016年,企业将弥补云安全的滞后问题,该领域的投入占比将提升。
Ziften 公司首席执行官Chuck Leaver
新的数据保护指令即将到来。欧盟的新条款将确定企业在保护自身数据完整性方面的角色。数据保护官和首席风险官的角色将变化,但不论如何,企业都将明确自己的角色是猎人,而不是猎物。这意味着企业需要利用威胁情报和下一代安全解决方案,更早地检测到威胁。