论文部分内容阅读
对于网络安全而言,2018年会怎样,有可能比2017更糟糕吗?
2018年,网络安全领域几乎确定的事实是:市场会保持活跃,而攻击将变得更加复杂。
Gartner预测,2018年全球安全支出将达到960亿美元,比今年增长8%——这对于复杂的网络安全行业来说是个好消息。
这很容易理解。
如果说有哪一年能称得上是网络安全问题真正为人们所关注的一年,那么2017年应该首当其冲。
这一年一开始便延续了2016年的混乱状态——俄罗斯有可能在美国大选前进行了干预,还有社交媒体和论坛上有组织的造势活动干扰英国的脱欧投票,等等。
这些事件还在不断发酵,而现在“国家发起的”已经成为“俄罗斯”的同义词——不管是不是这样,还有,企业正在根据对供应商的指控撕毁卡巴斯基合同。
现在,英国的银行将不得不报告数据泄露事件,否则就会面临被罚款的风险,随着GDPR将于明年5月25日生效,企业不论规模大小都必须密切关注越来越复杂的安全形势。
在一个日益相互关联的世界里,很多不同的事件和参与方、国家、企业、消费者和市场混杂在一起——无论是合法的还是非法的,因此,如果不根据现状进行预测,会很难弄清楚今后的发展方向。2018年网络安全将走向何方。
“流氓”人工智能
我们不认为2018年将是杀死全人类这一比喻成为现实的一年。英国网络安全供应商Darktrace采用机器学习技术去主动捕获威胁攻击,该公司深为担忧的是,如果好人正在考虑使用人工智能,那么黑客们同样有很好的机会。
虽然还没有发现真正的人工智能增强型恶意软件,但Darktrace的网络分析总监Andrew Tsonchev告诉英国《计算机世界》说,使用机器学习针对个人或者企业的复杂网络钓鱼工具并非不可想象。
Tsonchev解释说:“这是我们非常关注的,也是我们正在做的,我们都非常清楚这样做的好处,所以我们很担心会出现大量可供攻击者使用的人工智能恶意软件和工具包。”
总的来说,这是因为人工智能的应用有利于决策,而以前这是人类发起的攻击的所作所为。有网络攻击者,也有本机攻击者,而他们在攻击前会去“探路”。他们能看出缺点是什么。他们可以根据自己发现的特定环境来调整攻击路径,这就是他们很难被发现的原因。
“我们非常担心能这样做的恶意软件:使用机器学习分类器的恶意软件上网并观察网络,看看自己能干些什么。”
Darktrace的技术总监Dave Palmer补充说,自动化使得勒索软件、鱼叉式网络钓鱼和基于物联网的攻击更加复杂。
Palmer说:“这些攻击对谁都一视同仁。只要参与到国家经济体中,就足以使一个企业变得容易受到攻击。没有一家公司能躲开恶意攻击,即使他们认为自己没有什么值得窃取的东西。”
与此同时,McAfee也认为2018年将会出现人工智能增强型的勒索软件攻击,而安全公司和黑客将展开“机器学习竞赛”,攻击者和供应商都试图超越对方。
对关键系统的攻击,网络战
最近出现在东欧的攻击——特别是针对乌克兰的攻击,看起来是为了对关键系统和电网进行更广泛攻击而开展的某种试验。到目前为止,大部分网络攻击似乎都是出于经济动机,但如果有什么好的攻擊手段,那么攻击者绝不会放弃每一个机会。
今年,Techworld与Martin Libicki进行了一次讨论,Libicki教授兼研究员是《Atlanticist》一书的作者,也是兰德公司智库成员。Libicki解释说,尽管《Tallinn手册》为网络战行为一系列的“规范”制定了宽松的政策框架,而它可能更适用于审查实际领导网络战的国家的行为——美国。
通过震网病毒对伊朗核离心机进行的有组织的攻击表明,尽管一个国家在技术上注意到了战争国际法,但这些国际法仍然有很多解释的余地。
曾参加过海军的Carbon Black安全顾问Rick McElroy解释说:“现代战争已经改变了。我们实际是站在国家民族主义者的角度去看问题,这值得我们商讨。什么是网络武器?网络攻击什么时候会变成涉及生命、基础设施和金融的实体攻击?具体是怎么定义的呢?”
McElroy补充说:“任何现代战争的前兆都是网络战。看看别人的‘剧本’:美国写的,其他人都只是采用它,这其中有多少涉及到为了发起实体攻击而收集情报?其中又有多少是为了占得其他国家的先机而收集情报?”
国家关键的基础设施往往是过时的,而且经常资金不足,或者受到系统性问题的困扰(老旧硬件、缺乏人才、长期的设计缺陷,等等——看看美国核机构,他们不得不为450枚核导弹的扳手而求助于联邦快递)。
英国今年将网络安全威胁升级为一级威胁。即将于2018年5月实施的NIS条例补充完善了GDPR——专门针对基础设施企业制定了条款,如果他们没有采取足够的措施来防止攻击将会被罚款。
Huntsman首席执行官Peter Woollacott说:“事实上,NIS是促使企业认识到这些危险很重要,他们的计划应付诸于正确的行动。如果连接完全是物理的,那么防止和停止攻击相对简单。而在网络世界里,这还远远不够。”
A10 Networks公司的Ronald Sens估计,工业SCADA系统或者物联网连接的关键系统中的漏洞会在“2018年造成物理损害”。
Sens说:“物联网设备和SCADA系统的漏洞会在2018年导致某类物理损害,而不只是数字损害。希望损害范围能被限制在仅对控制器组件造成破坏。与震网病毒和Flame目标不同,物联网和SCADA设备采用了常见的开源框架,这些框架在安装之后很容易被发现,但却难以修补,因此成为主要攻击目标。” 数据泄露
几乎每一星期都有数据泄露事件的严重受害者,我们预计2018年这一趋势也不会改变。
今年一些最大的受害者包括Uber——该公司承认试图掩盖一次巨大的泄露事件,还有破纪录的Equifax数据泄漏事件,该事件泄露了美国1.43亿客户的信息。
碎片化
尽管一直在努力围绕数据主权、所有权、网络战规则和开放标准制定统一的国际政策,但也有一些迹象表明,互联网“碎片化”式的威胁越来越接近现实了。
对卡巴斯基实验室杀毒软件被用于间谍活动的指控导致了公共机构卸载该软件,零售商将该软件从货架上撤下,而巴克莱银行取消了此前免费为客户提供该软件的做法。
同样,Box首席执行官Aaron Levie曾警告过会出现碎片化的云——国家政府的利益与使用或者运营公有云的利益是相冲突。例如,AWS最近宣称与美国专业间谍机构AWS Secret Region达成了一笔巨额交易,而英国《计算机世界》则从中国公司那里听到,他们更倾向于建立自己的私有云,这样他们就可以拥有整个堆栈的所有权。
虽然这本身不是一种安全趋势,更像是一种政策趋势,但实际上,随着国际紧张局势的升温,企业将不得不面对这一趋势。
组织
这些年来,在经济利益的驱使下,黑客们变得越来越有组织:就像西方世界很多白领一样,在网络安全法规宽松的国家里,黑客们也去办公室上班。
Akamai自称是仅次于美国国家安全局的全球最大的数据整合公司,该公司安全服务高级总监Jay Coley评论说:“2018年,企业面临的最大危险是有组织的威胁犯罪行为。2017年,我们看到企业面对的是犯罪组织,黑客们得到了竞争对手甚至是民族国家的支持。
我们早就怀疑情况会是这样,但越来越清楚的是,这些攻击者所表现出的老练和顽固,远远超出了很多企业目前准备抵御的机会主义黑客们。
因为追溯起来太难了,而且大多数企业都无法证明攻击者是谁,随着时间的推移,黑客会变得更加肆无忌惮。”
卡巴斯基实验室发现了一种网络劫持行为,黑客能够在长达6个小时的时间内完全控制一家银行,这是一项复杂的操作,攻击者劫持了银行的域名——之前他们进行了为期5个月的准备工作。
经济利益无疑是大部分网络安全事件最大的动机,联邦快递和利洁时等大牌机构的收益都受到了NotPetya加密勒索软件的影响。据估计,2016年网络犯罪对全球经济的影响高达4500亿美元。
遭受WannaCry和NotPetya破坏的企业比比皆是,尽管这给大大小小的公司敲响了警钟,但信息安全问题总是令人防不胜防,企业只能尽力去应对。
越来越多的网络武器被盗
有一家自称为“影子经纪人”的组织——最初出现在2016年,宣称对NSA工具的泄露负责。这些泄露的工具被转而应用于WannaCry和NotPetya勒索软件攻击,该组织放肆的保证将会有更多的泄露事件发生,而《纽约时报》则报道说这已经从根本上动摇了NSA。
糟糕的政府
特别是英国正在极力抵制普通加密,认为这是对国家安全的威胁。问题似乎在于,所有想抵制加密的政客们都不真正明白什么是加密,也不明白为什么这很重要,而2018年还会这样。
合规和认识自我
坦率地说,所有企业所面临的最大挑战是员工缺乏安全方面的培训——白帽测试人员常常探索新目标,并利用人类心理特点来进入服务器机房或者网络物理系统。
让我们看看Verizon在调查“支付卡行业数据安全标准”(世界上最严格的隐私和安全标准之一)时所描述的现实生活中的噩梦场景。
这方面的例子包括,一个联网但却未受保护的鱼缸把数据转移到一个未知的地方,一台打印机泄露了空军(未指明)的信息,还有托管在墨西哥公寓浴室里危险的服务器机房。
当然,著名的通用数据保护条例(GDPR)将于2018年5月生效,这会给各种规模的企业带来合规难题。
此外,企业必须迅速报告任何数据泄露事件,否则就会面临巨额罚款——考虑到很多企业都没有意识到出现了泄露事件,也不知道泄露的严重性,直至安全部门调查人员偶然发现问题,告知他们并进行复杂的内部取证调查,因此,这是很难跨越的障碍。
生物特征识别黑客攻击
新的iPhone X Face ID功能等生物特征识别技术会继续在消费类技术中扩大其应用,在企業中也是如此。
金融服务机构已经针对客户试验了生物特征识别验证,包括Lloyds和微软展开合作,通过Windows Hello和Windows 10来探索指纹和人脸识别的应用。
英国身份管理提供商Okta的总经理Jesper Frederiksen预测说:“在企业环境中,生物特征识别技术近期还不会完全取代密码,但作为多重身份验证模型的一部分,将提供支持安全层。”
特别是在金融服务领域,他说,“已经对生物特征识别技术进行了实验,目的是控制对某些服务的访问。各大银行已经把语音和指纹识别等工具作为额外的安全措施,以确保只有正确的一方能够获得访问权,从而保护自己免受恶劣行为的影响。”
技能短缺
对安全专家的需求非常大,招聘和就业联合会的一份报告显示,这将导致薪资的大幅上涨。企业报告称,在过去九个月里,有八家公司的安全职位难以填补,大多数受访企业都认为英国这方面的劳动力可能会供不应求。几乎所有招聘人员都认为网络安全薪酬会相应的飙升。
年初的一项研究表明,技能差距实际上可能会损害英国企业。招聘网站Indeed的Mariano Mamertino说:“这类问题很快就会大爆发,如果英国企业找不到所需的专业技能来抵御威胁,那么将不可避免地面临风险。”
2018年,网络安全领域几乎确定的事实是:市场会保持活跃,而攻击将变得更加复杂。
Gartner预测,2018年全球安全支出将达到960亿美元,比今年增长8%——这对于复杂的网络安全行业来说是个好消息。
这很容易理解。
如果说有哪一年能称得上是网络安全问题真正为人们所关注的一年,那么2017年应该首当其冲。
这一年一开始便延续了2016年的混乱状态——俄罗斯有可能在美国大选前进行了干预,还有社交媒体和论坛上有组织的造势活动干扰英国的脱欧投票,等等。
这些事件还在不断发酵,而现在“国家发起的”已经成为“俄罗斯”的同义词——不管是不是这样,还有,企业正在根据对供应商的指控撕毁卡巴斯基合同。
现在,英国的银行将不得不报告数据泄露事件,否则就会面临被罚款的风险,随着GDPR将于明年5月25日生效,企业不论规模大小都必须密切关注越来越复杂的安全形势。
在一个日益相互关联的世界里,很多不同的事件和参与方、国家、企业、消费者和市场混杂在一起——无论是合法的还是非法的,因此,如果不根据现状进行预测,会很难弄清楚今后的发展方向。2018年网络安全将走向何方。
“流氓”人工智能
我们不认为2018年将是杀死全人类这一比喻成为现实的一年。英国网络安全供应商Darktrace采用机器学习技术去主动捕获威胁攻击,该公司深为担忧的是,如果好人正在考虑使用人工智能,那么黑客们同样有很好的机会。
虽然还没有发现真正的人工智能增强型恶意软件,但Darktrace的网络分析总监Andrew Tsonchev告诉英国《计算机世界》说,使用机器学习针对个人或者企业的复杂网络钓鱼工具并非不可想象。
Tsonchev解释说:“这是我们非常关注的,也是我们正在做的,我们都非常清楚这样做的好处,所以我们很担心会出现大量可供攻击者使用的人工智能恶意软件和工具包。”
总的来说,这是因为人工智能的应用有利于决策,而以前这是人类发起的攻击的所作所为。有网络攻击者,也有本机攻击者,而他们在攻击前会去“探路”。他们能看出缺点是什么。他们可以根据自己发现的特定环境来调整攻击路径,这就是他们很难被发现的原因。
“我们非常担心能这样做的恶意软件:使用机器学习分类器的恶意软件上网并观察网络,看看自己能干些什么。”
Darktrace的技术总监Dave Palmer补充说,自动化使得勒索软件、鱼叉式网络钓鱼和基于物联网的攻击更加复杂。
Palmer说:“这些攻击对谁都一视同仁。只要参与到国家经济体中,就足以使一个企业变得容易受到攻击。没有一家公司能躲开恶意攻击,即使他们认为自己没有什么值得窃取的东西。”
与此同时,McAfee也认为2018年将会出现人工智能增强型的勒索软件攻击,而安全公司和黑客将展开“机器学习竞赛”,攻击者和供应商都试图超越对方。
对关键系统的攻击,网络战
最近出现在东欧的攻击——特别是针对乌克兰的攻击,看起来是为了对关键系统和电网进行更广泛攻击而开展的某种试验。到目前为止,大部分网络攻击似乎都是出于经济动机,但如果有什么好的攻擊手段,那么攻击者绝不会放弃每一个机会。
今年,Techworld与Martin Libicki进行了一次讨论,Libicki教授兼研究员是《Atlanticist》一书的作者,也是兰德公司智库成员。Libicki解释说,尽管《Tallinn手册》为网络战行为一系列的“规范”制定了宽松的政策框架,而它可能更适用于审查实际领导网络战的国家的行为——美国。
通过震网病毒对伊朗核离心机进行的有组织的攻击表明,尽管一个国家在技术上注意到了战争国际法,但这些国际法仍然有很多解释的余地。
曾参加过海军的Carbon Black安全顾问Rick McElroy解释说:“现代战争已经改变了。我们实际是站在国家民族主义者的角度去看问题,这值得我们商讨。什么是网络武器?网络攻击什么时候会变成涉及生命、基础设施和金融的实体攻击?具体是怎么定义的呢?”
McElroy补充说:“任何现代战争的前兆都是网络战。看看别人的‘剧本’:美国写的,其他人都只是采用它,这其中有多少涉及到为了发起实体攻击而收集情报?其中又有多少是为了占得其他国家的先机而收集情报?”
国家关键的基础设施往往是过时的,而且经常资金不足,或者受到系统性问题的困扰(老旧硬件、缺乏人才、长期的设计缺陷,等等——看看美国核机构,他们不得不为450枚核导弹的扳手而求助于联邦快递)。
英国今年将网络安全威胁升级为一级威胁。即将于2018年5月实施的NIS条例补充完善了GDPR——专门针对基础设施企业制定了条款,如果他们没有采取足够的措施来防止攻击将会被罚款。
Huntsman首席执行官Peter Woollacott说:“事实上,NIS是促使企业认识到这些危险很重要,他们的计划应付诸于正确的行动。如果连接完全是物理的,那么防止和停止攻击相对简单。而在网络世界里,这还远远不够。”
A10 Networks公司的Ronald Sens估计,工业SCADA系统或者物联网连接的关键系统中的漏洞会在“2018年造成物理损害”。
Sens说:“物联网设备和SCADA系统的漏洞会在2018年导致某类物理损害,而不只是数字损害。希望损害范围能被限制在仅对控制器组件造成破坏。与震网病毒和Flame目标不同,物联网和SCADA设备采用了常见的开源框架,这些框架在安装之后很容易被发现,但却难以修补,因此成为主要攻击目标。” 数据泄露
几乎每一星期都有数据泄露事件的严重受害者,我们预计2018年这一趋势也不会改变。
今年一些最大的受害者包括Uber——该公司承认试图掩盖一次巨大的泄露事件,还有破纪录的Equifax数据泄漏事件,该事件泄露了美国1.43亿客户的信息。
碎片化
尽管一直在努力围绕数据主权、所有权、网络战规则和开放标准制定统一的国际政策,但也有一些迹象表明,互联网“碎片化”式的威胁越来越接近现实了。
对卡巴斯基实验室杀毒软件被用于间谍活动的指控导致了公共机构卸载该软件,零售商将该软件从货架上撤下,而巴克莱银行取消了此前免费为客户提供该软件的做法。
同样,Box首席执行官Aaron Levie曾警告过会出现碎片化的云——国家政府的利益与使用或者运营公有云的利益是相冲突。例如,AWS最近宣称与美国专业间谍机构AWS Secret Region达成了一笔巨额交易,而英国《计算机世界》则从中国公司那里听到,他们更倾向于建立自己的私有云,这样他们就可以拥有整个堆栈的所有权。
虽然这本身不是一种安全趋势,更像是一种政策趋势,但实际上,随着国际紧张局势的升温,企业将不得不面对这一趋势。
组织
这些年来,在经济利益的驱使下,黑客们变得越来越有组织:就像西方世界很多白领一样,在网络安全法规宽松的国家里,黑客们也去办公室上班。
Akamai自称是仅次于美国国家安全局的全球最大的数据整合公司,该公司安全服务高级总监Jay Coley评论说:“2018年,企业面临的最大危险是有组织的威胁犯罪行为。2017年,我们看到企业面对的是犯罪组织,黑客们得到了竞争对手甚至是民族国家的支持。
我们早就怀疑情况会是这样,但越来越清楚的是,这些攻击者所表现出的老练和顽固,远远超出了很多企业目前准备抵御的机会主义黑客们。
因为追溯起来太难了,而且大多数企业都无法证明攻击者是谁,随着时间的推移,黑客会变得更加肆无忌惮。”
卡巴斯基实验室发现了一种网络劫持行为,黑客能够在长达6个小时的时间内完全控制一家银行,这是一项复杂的操作,攻击者劫持了银行的域名——之前他们进行了为期5个月的准备工作。
经济利益无疑是大部分网络安全事件最大的动机,联邦快递和利洁时等大牌机构的收益都受到了NotPetya加密勒索软件的影响。据估计,2016年网络犯罪对全球经济的影响高达4500亿美元。
遭受WannaCry和NotPetya破坏的企业比比皆是,尽管这给大大小小的公司敲响了警钟,但信息安全问题总是令人防不胜防,企业只能尽力去应对。
越来越多的网络武器被盗
有一家自称为“影子经纪人”的组织——最初出现在2016年,宣称对NSA工具的泄露负责。这些泄露的工具被转而应用于WannaCry和NotPetya勒索软件攻击,该组织放肆的保证将会有更多的泄露事件发生,而《纽约时报》则报道说这已经从根本上动摇了NSA。
糟糕的政府
特别是英国正在极力抵制普通加密,认为这是对国家安全的威胁。问题似乎在于,所有想抵制加密的政客们都不真正明白什么是加密,也不明白为什么这很重要,而2018年还会这样。
合规和认识自我
坦率地说,所有企业所面临的最大挑战是员工缺乏安全方面的培训——白帽测试人员常常探索新目标,并利用人类心理特点来进入服务器机房或者网络物理系统。
让我们看看Verizon在调查“支付卡行业数据安全标准”(世界上最严格的隐私和安全标准之一)时所描述的现实生活中的噩梦场景。
这方面的例子包括,一个联网但却未受保护的鱼缸把数据转移到一个未知的地方,一台打印机泄露了空军(未指明)的信息,还有托管在墨西哥公寓浴室里危险的服务器机房。
当然,著名的通用数据保护条例(GDPR)将于2018年5月生效,这会给各种规模的企业带来合规难题。
此外,企业必须迅速报告任何数据泄露事件,否则就会面临巨额罚款——考虑到很多企业都没有意识到出现了泄露事件,也不知道泄露的严重性,直至安全部门调查人员偶然发现问题,告知他们并进行复杂的内部取证调查,因此,这是很难跨越的障碍。
生物特征识别黑客攻击
新的iPhone X Face ID功能等生物特征识别技术会继续在消费类技术中扩大其应用,在企業中也是如此。
金融服务机构已经针对客户试验了生物特征识别验证,包括Lloyds和微软展开合作,通过Windows Hello和Windows 10来探索指纹和人脸识别的应用。
英国身份管理提供商Okta的总经理Jesper Frederiksen预测说:“在企业环境中,生物特征识别技术近期还不会完全取代密码,但作为多重身份验证模型的一部分,将提供支持安全层。”
特别是在金融服务领域,他说,“已经对生物特征识别技术进行了实验,目的是控制对某些服务的访问。各大银行已经把语音和指纹识别等工具作为额外的安全措施,以确保只有正确的一方能够获得访问权,从而保护自己免受恶劣行为的影响。”
技能短缺
对安全专家的需求非常大,招聘和就业联合会的一份报告显示,这将导致薪资的大幅上涨。企业报告称,在过去九个月里,有八家公司的安全职位难以填补,大多数受访企业都认为英国这方面的劳动力可能会供不应求。几乎所有招聘人员都认为网络安全薪酬会相应的飙升。
年初的一项研究表明,技能差距实际上可能会损害英国企业。招聘网站Indeed的Mariano Mamertino说:“这类问题很快就会大爆发,如果英国企业找不到所需的专业技能来抵御威胁,那么将不可避免地面临风险。”