360企业安全:2018年中国网络安全十大趋势

两年前,时任RSA总裁Amit Yoran在RSAC的主题演讲中认为,在当今的网络安全威胁形势下,防御者如同拿着一张旧地图在海上航行,茫然无助。显在当今动态的、不对称的、复杂的和不确定的网络安全环境下,画地图已经徒劳无益,所以我们尝试着做一个指南针。

 

中国网络安全行业,不仅面临着全球网络空间共同的安全威胁,还有因为不同基础和不同发展阶段带来的个性问题挑战,以及因为不同的国家战略和政策法规下带来的监管环境的不同,这些都决定了我们需要自己的指南针。

 

为此360企业安全研究院邀请了近50位国内网络安全行业专家共同对2018年的行业风向进行了把握和预测,在此基础上形成了《2018年中国网络安全十大趋势》,期望它成为一个指南针,帮助从事和关心网络安全行业发展的同仁们找准方向。

 

勒索攻击成为网络攻击的一种新常态,攻击方式不断花样翻新

勒索软件是近两年来影响最大、最受关注的网络安全威胁之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向受害者的电脑终端或服务器发起攻击,加密系统文件并勒索赎金。
从整体态势来看,2018年勒索软件的质量和数量将不断攀升,成为网络攻击的一种新常态。

2017年,勒索软件继续呈现出全球性蔓延态势,攻击手法和病毒变种进一步多样化。特别是2017年5月全球爆发的永恒之蓝勒索蠕虫(WannaCry)和随后在乌克兰等地流行的NotPetya病毒,使人们对于勒索软件的关注达到了空前的高度。在全球范围内,政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域都遭受到了前所未有的重大损失。

与WannaCry无差别的显性攻击相比,针对中小企业网络服务器的精准攻击则是隐性的,不为多数公众所知,但却已成为2017年勒索软件攻击的另一个重要特点。统计显示,过去一年国内勒索软件的攻击目标中,至少有15%是明确针对政企机构的。

攻击者的手段也在不断翻新,使用僵尸网络广发垃圾邮件传播只是最初级的方式,服务器入侵、挂马网页、漏洞等技术手段现在已经被大量使用,有组织的攻击者还会结合已泄漏网络军火库、内网横向移动等高级渗透手法,对目标机构的IT供应链薄弱环节进行针对性攻击,令人防不胜防。

从攻击特点来看,勒索软件的免杀和自我传播能力将越来越强,静默期会不断延长;从攻击目标来看,勒索软件攻击的操作系统类型将越来越多,同时定向攻击能力也将更加突出。

此外,勒索软件造成的经济损失会越来越大。以国内《网络安全法》、网络安全等级保护制度、欧盟一般数据保护条例为代表的全球各国数据安全保护法规相继实施后,受害者支付赎金的数量也会越来越多,但由于各种原因,通过支付赎金恢复文件的成功率将大幅下降。

 

 IPv6、5G等新技术助推物联网的发展,物联网安全威胁日趋严重

由于安全防护薄弱,物联网设备长期以来都是黑客肆虐的游乐场。在过去,安防摄像头、家用路由器、网络打印机等联网设备因为暴露在互联网上而被攻击的案例数不胜数,攻击者不需要很高超的技巧,只需凭借网上公开的默认弱口令、黑客工具就可以控制这些设备。

2016年10月,Mirai僵尸网络控制数百万物联网设备对美国DNS服务商Dyn发起DDoS攻击,致使Twitter、Amazon、华尔街日报等数百个著名网站无法访问,大半个美国的网络服务形同瘫痪。大众第一次见识到不受控制的物联网设备的可怕性。当时Mirai的主要感染手段还只是弱口令,它打开的物联网潘多拉魔盒在2017年继续发展,陆续出现HTTP 81、IoT_reaper等使用nday甚至1day漏洞感染物联网设备组建的僵尸网络,攻击者使用类似手段已经炉火纯青。

2017年还曝光了大量底层威胁,例如影响所有博通WiFi芯片的命令执行漏洞Broadpwn、蓝牙蠕虫级漏洞BlueBorne、任意终端WiFi流量劫持漏洞KCACK,因为涉及面太广而难以修复,都将成为以后的“安全债务”。

2017年下半年,我国政府密集出台了推进IPv6、5G、工业互联网等多项前沿科技发展的政策,将助推物联网更快的普及。但其安全威胁也日趋严重,物联网威胁不止是网络安全问题,还将牵涉到人身安全,我们亟需可实施的防护解决方案。

 

针对关键基础设施的网络攻击升级,攻防两端的对抗将加剧

如果说伊朗核设施被攻击、乌克兰电力设施成为黑客的演武场,我们还只是作为“故事”隔岸观火,那么“永恒之蓝”勒索蠕虫攻击事件则让网络攻击对关键基础设施的影响“全民可视化”,加油站无法加油、公共服务系统无法运行、工厂生产系统瘫痪,直接影响经济社会平稳运行。

2018年以破坏和窃取情报为目的的,针对关键基础设施的攻击将逐渐升级:1)国家力量和恐怖组织、敌对势力推动的,以“网络战”和“恐怖袭击”为目的针对关键基础设施的网络攻击会增加;2)攻击目标从电力、交通等“命脉”设施,延伸到公共服务系统、重要工业企业的生产设施、互联网关键基础设施;3)类似永恒之蓝的武器化的攻击工具会愈演愈烈,攻击手段呈现多样化,针对性的勒索攻击风险加剧,间谍事件增多,新型恶意软件和攻击工具增加。

而与此同时,针对关键设施的安全防护和安全保障也将成为网络安全领域的重点方向,以美国为例,2017年初,特朗普总统签署了《增强联邦政府网络与关键性基础设施网络安全》总统行政令,4月份美国国防部专门投资7700万美元建立新的网络安全计划,专门打击针对电网设施的黑客攻击。9月美国政府还与各电力企业合作建立网络战演习,重点保护电力等基础设施,演习的覆盖范围还延伸到了大银行、华尔街和电信行业。

我国相关主管机构也已经组织了多次针对电力、民航等关键基础设施的攻防演习,从已经实施的《网络安全法》到正在征求意见的《关键信息基础设施保护条例》都将关键基础设施保护上升到了国家战略层面,集中力量、加大投入、创新技术、提升能力将成为保障关键基础设施安全的趋势和方向。

 

人工智能成为网络安全领域的热点,保护人工智能安全和用人工智能技术保护安全两手都要抓,两手都要硬。

如果要评选2017年安全领域最受追捧的技术,人工智能毋庸置疑是其中之一。《安全内参》发布的2017年全球网络安全投融资事件Top100中,与人工智能相关的投融资事件超过15起,融资额度超过9亿美元,分布在威胁检测、终端安全、云安全等不同领域。 预计2018年人工智能在安全领域的利用将会继续受到追捧。

现在黑客已经开始利用人工智能进行网络攻击,不仅扩大黑客的攻击面,也让黑客拥有更多的攻击手段。面对利用人工智能进行的黑客攻击,我们的最佳防御策略也是利用人工智能。网络安全领域使用人工智能技术是有两大原因: 一是随着网络攻击增多,危害程度上升,网络安全专业人才严重不足。二是“0day攻击”等新型攻击形式增多,防范更加困难。

安全投资人认为,人工智能将是下一代安全解决方案的核心。人工智能防御系统能从黑客攻击事件中,学会各种攻击和防御策略。它能设定正常用户行为的基准,然后搜索异常行为,速度比人类要快得多。这比维持一支专门处理网络攻击的安全团队要省钱得多。人工智能也可以用来制定防御策略。

Gartner研究副总裁Tracy Tsai认为,到2020年,将有40 %的安全厂商会声称具备人工智能相关能力。她认为目前人工智能主要应用在如下领域,包括应用程序安全测试,以减少误报;恶意软件检测,用于终端保护;漏洞测试目标选择;SIEM管理;用户和实体行为分析(UEBA); 网络流量分析等方面。

安全专家认为,传统安全设备如防火墙、杀毒、WAF、漏洞评估等都以防御为导向,这样的模式难以适应云和大数据为代表的新安全时代需求,只有通过海量数据深度挖掘与学习,采用安全智能分析、识别内部安全威胁、身份和访问管理等方式,才能帮企业应对千变万化的安全威胁。但在整个网络安全的领域来说,人工智能相关技术的应用还是处于比较初级的阶段

乔治亚大学终身教授360IoT研究院院长李康则提醒人工智能应用带来的安全风险。他认为公众对人工智能的关注,尤其是深度学习方面, 缺少对安全的考虑,造成人工智能的安全盲点。

实际上, 随着一批深度学习应用逐渐开始变成现实,安全问题也渐渐显现出来。李康认为,人工智能应用面临来自多个方面的威胁:包括深度学习框架中的软件实现漏洞、对抗机器学习的恶意样本生成、训练数据的污染等等。 这些威胁可能导致人工智能所驱动的识别系统出现混乱,形成漏判或者误判,甚至导致系统崩溃或被劫持,并可以使智能设备变成僵尸攻击工具。

 

以培养和提升网络安全实战能力为目标的攻防演练、攻防比赛和网络安全学院成为行业热点

如同军事对抗,“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”,较量就要真刀真枪,实战演练是检验对抗能力的最有效的手段。无论是检验和提高整体防御能力和水平,还是培养人才,基于实景对抗的攻防演练、攻防比赛都将继续成为2018年的行业热点和发展方向。

美国五角大楼是攻防演练的忠实拥趸,从“黑掉国防部”、“黑掉陆军”到“黑掉空军”,演练的层次、深度和效果越来越深入,引发了全球网络安全行业“跟随效应”。

2017年开始,国内攻防演练和攻防比赛的热度开始明显升温,据不完全统计,全年国内各类不同规模的攻防演练超过了100场,各类网络安全攻防比赛的总数近200场,参与比赛人次近60000人。与前几年相比,攻防演练迭代升级趋势明显,1)演练的针对性、演练规模和演练的实战性都有明显提升,尤其是针对特定目标的深度攻防,以验证防御系统的效果,发现潜在的威胁和漏洞。2)演练组织者有国家、行业、地区、银行、电力等关键信息基础设施机构和企业,甚至一些电商、互联网企业、家电企业也开始组织“蓝军”,实施攻防演练。

2018年,攻防演练和攻防会继续成为热点,一位专家在贵阳市攻防演练中的一段话可以成为2018年攻防演练的共同趋势和方向:攻防演练将进一步调整演练方法和演练方式,扩大范围,增强实效;在实战中选好盾、用好矛,分层分类分级解决安全问题,推进演练模式多样化;时间上从年度演练或不定期演练向全年常态化延伸;模式上从比赛式向研究式解决问题延伸;方法上从背靠背向面对面延伸,刚柔相济、重点帮扶,在解决军民融合问题上寻求更大的突破和亮点。

注重实战型网络安全人才培养,采用校企合作模式的网络空间学院也将在2018年继续成为热点,永恒之蓝事件后,整个行业对于实战型人才的极度缺乏引发了这种校企联合培养模式的投资热潮,360等网络安全企业都推出了包括课程体系、实训环境、考试和认证在内的完整的体系系统,可以跟高校、职校无缝对接,快速完成实战型人才培养。

 

云、物联网与数字化推动身份认证技术变革,身份与访问管理(IAM)是一个比较成熟安全领域。但这不意味着没有变化。

2017年的Verizon数据泄露报告显示,81%的数据泄露都与身份被窃取有关系。可以说,随着越来越多用户访问远程或者云端资源,身份已经成为当前最有重要性的攻击对象。

此外,云服务、设备、传统软件的结合呈现了越来越多样化的趋势,如何安全地管理身份验证已经成为了一大难题,即便是大公司也需要帮助。这些趋势推动业界对身份管理领域的投资和重视。

在2017年,身份管理(身份与访问管理)领域受到追捧,发生11笔以上的投融资,包括数笔规模数亿美元的并购与上市融资,以及几笔数千万美元的投资事件。

根据《安全内参》的统计,该领域的重大投融资事件包括SAP 3.5亿美元收购Gigya、金雅拓完成收购3M身份管理业务、Okta公司与SailPoint上市融资2.4亿美元。此外,ForgeRock融资 8800万美元,国内芯盾时代获得近亿元人民币投资。

预计全球的IAM市场预计将出现13.37%的年复合增长率, 预计市场规模将从2016年81.58亿美元增至2022年的173.17亿美元。

IDC认为,两大因素推动身份与访问管理投资,一是提升身份与访问安全,以及改善内部威胁的能力;此外,简化身份与访问管理也是很多机构的诉求。

随着企业往自身内部网络和基于云的网络中添加成千上万的新设备,IAM技术将面临不得不支持数百万台设备(及用户)的需求。

目前,IAM领域的发展,走向云端成为首选,IAM作为服务(IDaaS)成为潮流。选择云端IAM的原因是可靠性、灵活性和运营成本的大幅降低。专家认为,目前云端与本地的IAM已经差别不大,甚至具有更高的可靠性和可扩展性。IDaaS市场预计可以出现25%的增长。

对于IAM产品来说,未来需要在业务部门的便捷和安全部门的安全控制之间取得平衡。目前传统的IAM方案依然根据用户ID来授予访问权限,但随着社交媒体、大数据、BYOD以及物联网的普及,用户在保留ID的同时,会根据其与周围的交互情况,赋予信息访问权限。此外,由于攻击容易复杂,现在正在普及的双因素验证仍略显不足,增加生物识别等新的验证机制。

 

网络安全新常态推动政企机构建立重保常态化,应急小时化的安全体系

2017年5月的永恒之蓝勒索蠕虫事件和《网络安全法》6月1日的正式实施,对于网络安全行业是一个分水岭,广大的政企机构的攻防态势和网络安全监管形势发生了根本变化,我们称之为网络安全的新常态。2018年,网络安全将全面进入这种新常态,政企机构既面临攻击复杂化、漏洞产业化、军火民用化等日益升级的外部安全威胁,又要面对来自安全法制化、重保常态化、应急小时化等监管压力。

“永恒之蓝”事件的爆发是对重大安全事件应急响应的一次考验,它留给响应处置的时间只有24小时,事件处置中的时间频度均是以“小时”为单位的。类似永恒之蓝等大型安全事件一旦发生,要求政企机构迅速做出响应和应急,国家监管力度也将会越来越强。

面对这样的新常态,在过去二三十年中建立的网络安全体系已经不能更好的应对攻防形式的变化,传统完全依赖安全设备和技术的严防死守无法应对国家背景的高级威胁,防护重点需要过渡到加强检测和响应,除了顶层设计,在技战术上也要进行及时的转变,坚不可摧、严防死守的‘马奇诺防线’是不存在的,未来敌方利用的不少漏洞可能是未知的,攻击方式也可能仅出现一次,在这种情况下,不能期望在对方攻进来之前就可以发现和拦截阻断。因此,建立起重保常态化、应急小时化的新一代安全体系是政企机构应对网络安全新常态的有力补充。

 

安全实施演变成安全能力交付,政企机构从购买产品到购买服务,安全服务化将快速成长

安全服务化是一个近几年来早已经出现的概念,不少安全机构和企业也致力于推动这一趋势的发展。然而,就近几年来的网络安全市场来说,更多的政企用户更倾向于购买安全设备,把硬件盒子放在企业,能够让人更放心。

而随着网络安全威胁形势的不断变化,以及越来越严苛的网络安全监管环境,政企用户对于安全的需求在不断增强,他们的安全需求从基本合规逐步转向真正的安全防护需求。从2017年已经出现的几起政企服务案例来看,已经有政企客户在网络安全采购中从购买产品转到了购买服务,在与安全厂商签定的网络安全合同中安全服务成为了最主要内容,而安全的软硬件产品则成为了配合选项。

一方面是安全防御技术不断创新,大数据安全、威胁情报、机器学习、云安全被越来越多的应用于政企用户的安全防护体系中,新的技术、新的知识对于企业现有的安全管理人员来说是一种挑战;另一方面,在面对越来越多的高级威胁、重大安全事件中,政企用户自身缺少专业的安全人才来更及时、有效的应对。

2018年,政企用户在网络安全方面的支出将进一步增加,以服务的形式购买安全能力、以云的方式交付安全能力将成为趋势。Gartner认为,“安全服务特别是IT外包、咨询与实施部署服务将成为增长速度最快的细分领域。不过在另一方面,硬件支持服务增长速度缓慢,这主要是由于虚拟设备、公有云以及安全解决方案的各类软件即服务(简称SaaS)版本持续普及给其带来巨大冲击。这意味着客户对于附加硬件支持的整体需求将不断下降。”

 

隐私保护从争议话题开始迈向通过法律和技术方案的务实推进

随着我国信息化建设的不断推进和互联网应用的日趋普及,在推动社会发展和技术变革的同时,也为企业和个人信息保护带来了新的挑战。个人信息在被各类主体挖掘和利用的同时,因个人信息泄露所引发的侵权、欺诈等信息犯罪行为日益严重,已为全社会造成了巨大损失,隐私保护、个人信息保护已经成为争议的热点话题。

为应对云计算、大数据、移动互联网及跨境数据处理等应用场景所带来的新挑战,2016 年欧盟通过了新的数据保护法案《一般数据保护条例》(General Data Protection Regulation,GDPR)并将于 2018 年5月生效。GDPR对公司总部位于欧盟国家的企业,以及与欧盟公民相关并拥有公民个人数据的全球企业同样有效。Gartner预测到2018年,超过50%的公司将受到GDPR影响,且将会制造了新一轮热点驱动2018年数据安全的市场投入增加65%。

目前我国没有统一的个人信息保护法,虽然《网络安全法》作为我国网络领域的基础性法律将个人信息保护列入其中,既是出于国家网络空间主权和网络安全考虑,也是对当前个人网络信息安全严峻现实的直接回应,但远不能全方位地保护个人信息安全,也存在个人信息保护的法律漏洞。但是通过“徐玉玉案”等一系列案件给社会带来的不良影响,使人们充分意识到了个人信息泄露和滥用所带来的严重社会危害,同时也催生个人信息保护立法落地。

 

数据成为数字化转型时代的“石油”,数据安全保卫战将全面打响

市场研究公司IDC预测全球数字化转型技术2018年的支出将在2017年1.1万亿美元的基础上增加16.8%,达到近1.3万亿美元。数字化转型加速了互联网、云计算、大数据、物联网、人工智能等技术在整个国家和社会的应用,也由此带来了国家经济社会运行和发展对于数据的依赖,数据由此成为数字化转型时代石油一样的战略型资源。

对于数据的觊觎成为网络攻击的重要目标之一,这也是2016年以来勒索病毒爆发式增长的原因。对2017年全球发生的近300起重大安全事件分析发现,其中75%的事件与数据泄露、数据窃取和数据勒索有关,而且有趣的是,数据泄露越来越丰富,我们能想象到或者接触到的数据都泄露了。

根据Verizon数据泄露调查报告,75%的数据泄露是外部人所为,也就是各种网络攻击造成的,而其他25%是由内部威胁造成的,所以数据安全面临内忧外患。我们近期对近50位国内部委和重要行业网信负责人的调研发现,数据安全是他们最头痛的事,也是2018年要重点做好的事情,尤其是一些关系国家安全、经济发展和社会稳定的关键机构和命脉企业,把数据管好、保护好成为网络安全工作的第一要务。

《网络安全法》2017年6月1日正式实施依赖,已经发生了多起企业、机构和平台由于数据保护不利或者因数据保护相关法规执行不到位被处罚的案例。12月8日在中共中央政治局实施国家大数据战略进行第二次集体学习中,习近平总书记强调,要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。可以预见,在业务需求和监管双重压力下,2018年,数据安全保卫战将在网络安全领域全面打响。

(完)