2018年全球各地各产业对外数据泄露事件频传,总计超过17亿次的数据外泄使得后续欺诈问题无孔不入。我们必须意识到,攻击者目前手中持有的数据信息比以往任何时候都多,身份证、手机号、银行卡号等都可以成为攻击者的可信武器。据统计,全球中大型网站目前每分钟遭受超过7000次账户尝试登录攻击,造成每年高达160亿美元的线上诈骗损失,并且这一数字在未来5年内有机会超过480亿美元。
同时,伴随着AI技术、自动化工具的应用及平台化趋势的加强,无论是老生常谈的漏洞利用、DDoS攻击、内网安全问题,还是新兴涌现的身份欺诈、API滥用、物联网设备安全风险,都在为2019年的动荡埋下伏笔。
加速漏洞曝光和利用
尽管目前存在大量已知漏洞,但实际上真正被黑客利用的只有大约6%。未来随着自动化工具(Bots)的强势发展和应用,这一比例必将大幅提高。借助自动化工具,漏洞利用攻击将不再是高级黑客组织的“专属”, 而开始向“低成本、高效率”的趋势发展。网络罪犯可以在短时间内,以更高效、更隐蔽的方式对大量不同网站进行漏洞扫描和探测,尤其对于0day/Nday漏洞的全网探测,将会更为频繁和高效。与漏洞快速曝光,和漏洞被快速利用相对应,则显现出企业的开发和安全运维人员几乎无法在合理的短时间内完成打补丁、补漏洞的安全应对。
助力AI这把双刃剑
2019年,人工智能(AI)仍然会是网络安全届的热点话题之一。过去劳动密集型和成本高昂的技术攻击已经在基于AI的对抗学习以及自动化工具的应用下找到新的转型模式。AI有益于数据挖掘和分析的算法和模型,以及由此带来的智能化服务,也会被黑产利用,借由自动化的助力,形成更为拟人化和精密化的自动化攻击趋势,这类机器人模拟真人的行为会更聪明、更大胆,也更难以追踪和区别于真人的行为。
身份信息不再只属于自己
每个人都必须承认,频繁的数据外泄事件后,我们的身份信息遭暴露、被贩卖,并且极易受到进一步的攻击。但对于网络罪犯而言,假冒合法身份、建立虚假账号却变得前所未有的简单。结合自动化脚本或工具,网络罪犯可以轻松利用被曝光的包括登录名/密码组合在内的个人数据,在短时间内对数百个不同的网站不断进行登录验证,试图盗用账号,乃至发起进一步攻击并从中获利或者获取更多的个人身份关联信息等有价数据。据统计,自2017年11月初至2018年6月底的8个月内,恶意登录尝试总计超过300亿次此外,这类攻击方式本身的变化——从海量易察觉攻击,转向由专业化自动工具发起的“低频率多IP源”的隐形逃避检测的攻击——也会给企业机构的安全应对带来更多难题。
“内鬼”悄无声息的利器
实际上,虽然企业多将大量资源集中用于应对来自外部的网络攻击,但相当多的安全事件卻是由内网安全风险引发的。企业内部员工无意或蓄意地利用自动化工具及内网合法权限,夺取内部信息,操纵内网交易,进行大规模数据盗取、建立垃圾账号的事件屡见不鲜。我们有理由相信,在当前的经济环境中,面对高价值的企业数据,“内鬼”造成的恶性安全事件会越来越多,而Bots充当了“内鬼”们利用其合法身份,模拟合法业务操作进行窃密的利器。
API滥用的推手
API安全性早已跻身OWASP十大排行榜,并且仍有极大可能蝉联。据调查,目前每个企业平均管理363种不同的API,其中69%的企业会将这些API开放给公众和他们的合作伙伴。尽管开放API、统一API接口等模式承担着拓宽企业技术和服务生态系统的责任,但这同时也为攻击者利用自动化工具大量调用API提供了更简单、更高效的途径,甚至能被用于暴力攻击、非法第三方App、网络钓鱼和代码注入等一系列威胁,并借由统一平台产生倍数级的破坏。对于API接口滥用行为的监测发现需求将愈加凸显。
DDoS攻击更大规模、更快速度
尽管DDoS攻击是一个非常古老的安全威胁,但它从未停止。2018年,由黑客组织“匿名者(Anonymous)”发起的代号为“Oplcarus2018”的DDoS攻击行动,波及全球各国金融机构;企业仍然很难保护他们的在线资源免受攻击。更令人不安的是,2019年,随着自动化攻击工具的广泛散播和大量物联网设备成为攻击跳板,DDoS攻击的体量规模和蔓延速度都会上升到一个新的水平。
智能家电成为藏在每个人家中的安全隐患
2018年下半年,数千台MikroTik路由器遭到攻击,悄然变成挖掘数字加密货币的矿工。但这只是一个开始。ACIConsumerGram分析显示,83%的路由器设备均存在安全漏洞问题,因此越来越多的家庭路由器将会被攻击者利用。随着物联网设备的多样化,网络罪犯者还会利用被感染的路由器,将攻击范围延伸至所有与其相关联的IoT设备,形成跨平台攻击,被感染的IoT设备甚至可被当作向内网发动窃密、挖矿劫持等进一步攻击的跳板。
安全对抗升级促使攻击手段进化
随着自动化攻击与安全防护之间对抗的不断升级,提供各类对抗服务的黑灰产组织也越来越多,各类服务例如代理IP服务、图形验证码识别、短信验证码代收、群控设备池、账号提供商,等等,可以轻易获取。大部分传统Bots防护手段被轻松穿透,与此同时又催生了更具拟人特点的全新Bots攻击,这些恶意Bots会通过使用模拟器、伪造浏览器环境、UA、分布式IP等给系统安全带来极大威胁。
为此,相关专家提出了一些建议。
部署针对Bots自动化威胁的防御新技术
将Bots管理纳入到企业应用和业务威胁管理架构中,部署能针对自动化威胁进行防护的新技术,结合多重变幻的动态安全防护、威胁态势感知及人工智能技术,防止漏洞利用、拟人化攻击等多类应用安全问题,构建集中于商业逻辑、用户、数据和应用的可信安全架构。
加强Bots管理
Bots的出现,一方面为企业提供了便利的服务,例如搜索引擎、应用可用性和监测服务、信息内容监控服务等。另一方面也会有一些组织、机构、个人,借助互联网、手机、物联网等形成的Bots,对数据资产进行恶意抓取,给企业安全、信誉造成潜在威胁。大量游走在Good和Bad之间的Bots不容忽视,通过Bots识别、提高成本、可视化展示等多维度对各类Bots进行管理。
强化内网纵深安全保护
从技术层面而言,企业可以通过APT解决方案、内网陷阱等方式,并引入“零信任机制”,强化内网纵深安全保护。此外,内网的Web应用及数据库服务器更是重点防护对象,以杜绝内部人员或外部渗透黑客窃取或篡改企业的敏感关键数据。而从管理层面看,严格制定并安全执行各类IT使用规范必不可少。
重视IoT及工控设备安全
重视物联网及工控设备安全,提供设备的资产清查、安全管理、预警与联防,整体防护物设备、网络传输及云端,避免物联网及工控设备成为企业信息安全的重大隐患。
从等保合规的角度制定网络安全防护策略
结合《网络安全法》、等保2.0等网络安全相关的法律法规,将风险评估、安全监测、数据防护、应急处置、自主可控等纳入企业网络安全防护策略,提高应对网络攻击的防御能力,降低工作流程中的数据泄漏和其他安全风险。