趋势科技2018年网络安全威胁预测

 

2018年,勒索软件商业模式仍将作为网络犯罪的一大核心支柱,其他形式的数字化扩张则将带来更多收益实现途径

在2017年,我们预计网络犯罪分子会立足勒索软件,扩展出其他更为多元的攻击手段。实际情况也确实如此,这一年中WannaCry与Petya领衔快速传播型网络攻击,Locky与FakeGlobe广播散布垃圾邮件,而“坏兔子(Bad Rabbig)”则针对东欧国家实施漏洞攻击。

我们认为勒索软件不可能很快消失。2018年其他类型的数字化勒索行为将变得更为普遍。网络犯罪分子一直利用勒索软件作为逼迫受害者支付赎金的有力武器。随着勒索软件即服务(简称RaaS)在地下论坛上的快速兴起,外加比特币作为赎金回收的安全手段,网络犯罪分子正被越来越多汇聚在这种商业模式当中。

图:勒索软件的日益成熟已经成为数字化勒索活动的催化剂

着眼于多年以来网络犯罪活动的演变,我们看到网络犯罪分子现在开始直接将金钱作为目标,而不再欺骗用户放弃其重要凭证。早期的在线威胁主要集中在信息窃取与恶意软件上,包括劫持银行交易流程以窃取个人信息。在此之后,新的威胁载体将自身伪装为反恶意软件解决方案(简称FAKEAV),用户被诱导下载此类软件并支付赎金以重新获得受害计算机的访问权限。而勒索软件也同样遵循FAKEAV的起效方式。

目前勒索软件获得的成功——特别是勒索收益,将促使更多网络犯罪分子从目标人群人攫取理想的经济回报。攻击者将继续依靠网络钓鱼活动通过电子邮件实现勒索软件载荷交付,以确保拥有理想的受影响用户比例。他们还将针对单一组织机构(特别是工业物联网环境)进行勒索软件攻击,借此破坏运营并影响生产线的正常功能。我们已经看到WannaCry与Petya大规模爆发所带来的严重后果,未来犯罪分子将把这种后果视为其预期之内的攻击效能。

在GDPR得到切实执行之后,勒索活动仍将继续发挥作用。网络犯罪分子可以锁定该法规所涵盖的个人数据,并要求相关企业支付赎金——否则,企业将面临高达全球年营业额4%的巨额罚款。网络犯罪分子可通过公开获取的财务信息,计算企业可能面临的最大GDPR罚款额度以确定具体赎金数量。这将进一步推动相关攻击活动的升级以及赎金额度的提升。此外,我们预计GDPR还将被作为一种社交工程手段,正如过去FAKEAV以及勒索软件行为当中所采取的侵权警告一样。

用户与企业还可以通过采用有效的网络与电子邮件网关解决方案作为自己的第一道防线,从而保持对此类数字化勒索企业的抵御能力。这些具备高仿真机器学习、行为监控与漏洞防御能力的解决方案将可有效防止威胁因素进入目标环境。考虑到勒索软件变种正朝着无文件方向发展——即其中不包含任何可被传统解决方案所发现的恶意载荷或二进制文件,这类功能在应对接下来的勒索威胁时将扮演尤为重要的角色。

 

网络犯罪分子将探索新的方式利用物联网设备为自身提供收益

数量庞大的数字摄像机(简称DVR)、IP摄像机以及路由器等物联网设备在Mirai与Persirai的劫持之下成为分布式拒绝服务攻击(简称DDoS)的“帮凶”,这一现状也引发业界对于此类联网设备安全缺陷与破坏性能力的关注。近来,以Mirai代码为基础的物联网僵尸网络Reaper已经被视为一种新的安全违规手段,甚至能够影响到不同设备制造商的多种产品。

我们预计除了用于实施DDoS攻击之外,网络犯罪分子还将利用物联网建立代理,用以混淆其真实位置与网络流量——这是因为执法活动通常需要依靠IP地址及日志进行刑事调查以及事故后取证。如果网络犯罪分子能够利用匿名设备建立的大型网络(在默认情况下运行有默认凭证,且几乎不具备任何日志记录功能),他们则可以此为起点实施网络破坏活动,并保证自身行迹不被发现。

我们预计市场上还将出现更多物联网安全漏洞,这是因为相当一部分制造商会持续发售安全保护能力不足的产品。这类风险解决起来不可能像为PC设备打补丁那么简单。这类无法得到确切修复或更新的非安全设备很可能成为中央网络的入口。KRACK攻击证明,即使是无线连接本身也会增加安全风险。这项漏洞会影响到大部分、甚至全部采用WPA2协议的设备,而这亦引发了人们对于5G技术安全性的担忧。

物联网设备将成为破坏性与网络犯罪活动的目标

目前美国领空中充斥着数十万架无人机,而对这些飞行器进行监督则是一项难度极高的挑战。我们预计与无人机相关的安全或者碰撞事故将快速增加,而黑客也已经能够访问其控制计算机以获取敏感信息并劫持其流量交付机制。同样的,无处不在的家庭设备(例如无线扬声器与语音助理产品)也使得黑客们能够确定房屋位置并尝试加以入侵。

我们预计到2018年,通过可穿戴式设备以及医疗设备实现的生物入侵将成为现实。生物识别活动追踪系统(例如心率监测器与健身手环)的流量将被截获,意味着攻击者能够收集与用户相关的个人信息。事实上,即使是用于维持生命的心脏起搏器也被发现存在着可能致命的安全缺陷。

因此用户与监管方应当意识到,并非所有物联网设备皆具备内置的安全保障机制,更不用说理想的安全保护能力。除非制造商定期进行风险评估与安全审计,否则其产品必然可被攻击方所入侵。用户还需要负责对设备进行安全设置,包括更改默认密码以及定期安装固件更新。

 

全球商业邮件仿冒造成的损失在2018年将超过90亿美元

根据联邦调查局统计,自2015年1月至2016年12月期间,已经有100多个国家报告了BEC(商业邮件仿冒)诈骗案件,且涉案损失增幅高达2370%。相较于传统的入室盗窃,BEC诈骗的操作速度更快、侦察需求更低,且根据目标的实际情况有可能带来极高的收益——目前记录在案的相关损失已经高达50亿美元。

我们预计BEC类案件在2018年会进一步增加,并导致全球损失超过90亿美元。这主要是因为人们对于BEC的认知水平日益提高,所采取的策略也能够更好地发现并加强对此类诈骗行为的报道。根据BEC所采取的钓鱼诈骗方式来看,其实效性已经毋庸置疑。我们未来将继续观察到以冒充企业高管为手段的BEC电汇诈骗案。我们也一直在观察针对企业CEO的BEC攻击活动。同样值得注意的是,犯罪分子已经不再依赖于键盘记录器,而是转向使用以钓鱼PDF及网站等实施成本更为低廉的手段。通过网络钓鱼,他们能够在继续入侵帐户的同时获得较低的攻击成本。

由于了解目标组织的层级结构及电子邮件(这类信息甚至有可能在社交媒体及企业网站上公开发布)非常简单,因此这类攻击能够帮助犯罪分子高效敛财。除此之外,企业还面临着另一种经济驱动型威胁,即犯罪分子所实施的商业流程仿冒(简称BPC)。通过BPC,网络犯罪分子将能够了解到目标组织的内部运作情况,特别是其财务部门,并通过篡改内部流程(可能借用企业供应链漏洞)实现自身目的。然而,由于需要长期规划并投入更多精力,因此BPC不太可能会在2018年成为主要的攻击手段。

如果员工获得充分培训,则BEC所依赖的社交工程手段可能将无法得逞。企业应立足内部流程执行严格协议,特别是对各类交易活动作出约束。中小型企业及大型企业都应当采取多种核查方式实现管控,并通过电话等其它辅助沟通方式进行操作复核。Web与网关解决方案也能够准确检测社交工程活动与伪造行为,进而阻止BEC威胁。

* 90亿美元的结论源自20166月至12月间的月度平均报告损失额度再乘以12。这里我们假设BEC事件与受害者数量将继续保持同样的平均增长率。

 

网络虚假宣传活动呈现新形态:以往垃圾邮件再度借尸还魂

造就虚假新闻的铁三角包括:宣传动机、作为信息平台的社交网络,以及用于传递信息的工具与服务。2018年,预计网络宣传将通过以往我们所熟知的技术进行传播:即曾经的网络垃圾邮件传播技术。

举例来说,DIY型软件工具包能够自动在社交媒体上发布垃圾邮件。恶意方甚至能够利用搜索引擎优化(简称SEO)影响社交媒体优化(简称SMO),从而为不同平台上成千上万的用户群体提供对应流量与数据。目前,已经有钓鱼邮件被发送至外交部,甚至公然利用文件诋毁政府——可疑内容正自由传播,引发强烈意见,由此推动的抗议活动也此起彼伏。

此外,这些捏造的信息可能会影响到企业的形象,甚至破坏其业务表现与声誉。研究人员们正在研究各类音频与视频处理工具,此类工具往往会进一步模糊真相与假象之间的界限。考虑到人们能够在地下市场中轻松获得此类工具与服务,相信未来会有更多恶意活动者利用这类污点战术故障改变公众的观点——特别是在政治活动当中。

即将到来的瑞典大选很可能成为因虚假消息而影响投票结果的下一个目标。就在去年的美国总统大选之后,全世界都已经意识到其中存在的巨大利益——社交媒体完全可被用于传播特定信息,甚至依托Twitter水军左右最终当选的总统人选。

每一次虚假新闻的发布与转载,都会加深读者们对内容的印象,并误导其将信息视为真相。鉴于宣传人员所使用的传统技术已经相当有效且可靠,对虚假新闻的鉴别工作将变得愈发困难。

虚假新闻与网络虚假宣传还将持续存在,而可靠的内容检测或恶意操纵识别手段仍然处于缺失状态。社交媒体网站,特别是谷歌与Facebook,已经承诺对利用馈送及转载方式传播的虚假内容加以打击,然而就目前来看成效尚不明显。基于这样的背景,最终的筛选在很大程度上仍然依赖于用户自身。然而,只要用户还没有接受对虚假新闻进行举报的引导,这些内容就会继续不断在网络上渗透,并被更多不知情、不了解背景的读者们所使用。

 

恶意攻击者将利用机器学习与区块链技术扩展逃避检测的技术

了解未知正是机器学习技术作出的关键性承诺之一,其本质在于计算机接受训练但其处理与分析过程并非基于刻意编程而来。作为一种相对较新的技术手段,机器学习显示出巨大的潜力。但可以肯定的是,机器学习可能并不代表着最终或者说全面的数据分析与结论识别途径。机器学习只能帮助计算机从已载入数据中学习知识,换言之,机器学习的一切判断能力皆源自情境信息源。

着眼未来,机器学习将成为安全解决方案当中的一大关键性组成部分。尽管其确实具备提示更多更准确且更具针对性的决策结论的潜力,但另一个更重要的问题也随之而来:机器学习是否也会受到恶意软件的欺骗?

我们发现CERBER勒索软件中使用的一款加载程序能够骗过某些机器学习解决方案的检测,这意味着恶意软件能够利用特定打包方式让自己看起来属于合法软件。这一点对于采用预执行机器学习技术的软件(其文件分析机制不涉及实际执行或者模拟)尤其危险——以UIWIX勒索软件为例(WannaCry的模仿品),其无文件特性使得预执行机器学习方案无法进行正确检测与屏蔽。

机器学习确实是一种强大的工具,但其绝对称不上万无一失。尽管研究人员已经在探索利用机器学习手段监控流量并识别潜在零日漏洞的可能性,但在另一方面,网络犯罪分子很可能也会利用同样的能力来提前发现零日漏洞。此外,攻击者亦有可能骗过机器学习引擎,例如引导自动驾驶车辆错误识别经过轻微篡改的指示路标。研究人员们已经发现,机器学习模型当中确实存在可被恶意人士所利用的盲点。

虽然机器学习确实有助于提高保护能力,但我们认为其不应成为安全机制的全面接管方案。相反,机器学习应被视为纵深防御体系当中的附加安全层,而非所有安全问题的惟一解决方案。从网关到端点的端到端多层防御体系才是抵御各类已知与未知安全威胁的最佳选项。

另一个将重塑企业面貌、并已经在一定程度上遭到滥用的新兴技术则是区块链。区块链技术在数字加密货币的直接推动下受到广泛关注,并成为一种尚未被攻破的安全防御手段。分布式分类帐的采用预计将在未来五到十年内得到普及。然而,目前已经存在诸多以区块链技术为基础的新兴项目,从技术到金融再到初创企业乃至巨头级厂商甚至政府机构,各行各业都在尝试借此革新自身业务模式。

区块链通过在各参与者之间达成必要共识的方式运作,这极大提高了对区块链者未授权更改或故意篡改的难度。传输活动越多,其序列就越是复杂且模糊。同样的,这种混淆亦可能被网络犯罪分子作为攻击强化载体而加以利用。在Ethereum DAO攻击中,他们已经开始将矛头指向区块链本身,而此次事故直接造成价值超过5000万美元的数字货币被丢失。

与大多数被广泛视为安全且前景光明的技术成果一样,机器学习与区块链值得我们加以密切关注。

 

只有在出现首例高影响度诉讼案件之后,大多数企业才会针对通用数据保护条例采取明确行动

欧盟最终决定在2018年5月正式推行GDPR(即通用数据保护条例),预计这一举措将对参与欧盟公民数据管理的各相关方产生广泛影响——即使部分企业身处欧洲之外。在我们的研究当中,我们发现大多数高层管理人员(占受访企业的57%)对GDPR责任遵守工作采取消极回避的态度,有些人还不清楚什么是个人身份信息(简称PII),甚至对潜在的罚款条款漠不关心。

只有当监管机构执行惩罚举措时,这些落后者才会真正以严肃的态度对待GDPR的冲击。数据隐私监督员可以通过完全禁止企业处理某些数据来干扰其业务运营。此外,亦可能出现来自官方及公民自身的诉讼申请。

举例来说,在GDPR实际生效之后,美国信用报告机构Equifax公司将因此面临惊人的罚款,这是因为一部分英国消费者也受到安全违规事件的影响。国际出行分享公司优步也将由于延后一年才公布数据泄露事件而遭受数额巨大的处罚。根据违规要求,监管机构将要求相关企业承担高达2000万欧元或者等同于上一财年全球营业额4%的罚款——以数额较高者为准。

因此,GDPR执法范围涵盖下的企业将意识到设立负责数据处理与监控的专职数据保护官(简称DPO)职位的重要性。负责处理敏感数据的企业与行业对于DPO的需求尤为迫切。这类企业需要审查自身数据安全战略,包括根据数据性质进行分类,并将来自欧盟的数据与来自世界其它地区的数据进行区分。

其他地区也需要在数据管理法规层面迎头赶上,包括制定约束范围极广的类似框架并出台严格的违规惩罚政策。美国食品与药物管理局(简称FDA)已经要求多个欧洲药物管理机构改进其检查制度。澳大利亚方面正着手根据《2017年隐私修正案(通报数据泄露)法案》制定自己的数据泄露通报法令; 而英国的《数据保护法案》则在英国脱欧后继续根据欧盟法律进行更新。与此同时,《欧盟-美国隐私之盾》条例也需要进一步证明自身约束能力,从而打消欧盟方面的担忧。

 

企业应用与平台将面临操纵与漏洞风险

在当今环境当中,工业4.0的出现使得网络物理系统与生产流程间的关联日益密切; 再加上软件定义浪潮的影响,对应风险也将随之而来。真实生产或流程的虚拟版本或仿真版本的出现确实能够帮助企业解决实际有形资产中可能出现的成效问题,但在我们看来,尽管其对于企业运营拥有积极意义,但恶意行为者亦可能借此渗透至生产网络当中,进而操纵系统并导致运营中断甚至破坏。通过操纵这种双生关联体系,这些攻击者甚至能够继续令生产流程看起来合法可信。

再有,通过制造执行管理系统(简称MES)指向SAP或者其他企业资源规划(简称ERP)系统的直接(或间接)生产数据处理机制也可能面临严重风险。一旦被操纵的数据或错误指令被发送至ERP系统当中,设备将会执行错误决策进而破坏生产流程——例如以错误数量进行材料供应、引发意外资金转移,甚至导致系统过载。

当然,企业系统绝不会是惟一的攻击威胁目标; 在2018年,我们预计Adobe与微软平台的安全漏洞还将继续被广泛利用。不过尤其值得强调的是,我们需要重新关注基于浏览器与服务器端的安全漏洞。

多年以来,Adobe Flash Player、甲骨文Java以及微软Silverlight等广为人知的浏览器插件当中包含大量安全漏洞,而这一切都将继续成为攻击目标。不过我们预测到2018年,JavaScript引擎中的漏洞将令各类现代浏览器自身陷入安全困境。从谷歌Chrome v8崩溃问题到微软Edge Chakra开源化,基于JavaScript的浏览器中的安全漏洞将因该脚本语言的广泛使用而引发更多安全隐患。

攻击者还将重新关注利用服务器端漏洞传递恶意载荷的可能性。我们预计到2018年,利用服务器消息块(简称SMB)以及Samba漏洞传播勒索软件的行为将更加普遍。更具体地讲,SMB漏洞可以在无需与用户直接交互的情况下遭到利用。实际上,今年早些时候在全球掀起轩然大波的“永恒之蓝”漏洞中就涉及SMB安全缺陷(即WannaCry与Petya勒索软件),而“坏兔子(Bad Rabbit)”攻击所利用的“永恒浪漫(EternalRomance)”同样与之相关。同样的,运行在Linux之上的开源Samba亦有能力利用SMB协议中的安全漏洞。

通过SAP与ERP实现的生产流程攻击活动意味着,企业必须将与应用程序相关的安全工作视为优先事项。对应用程序的访问活动需要进行管理与监控,从而避免一切未经授权的访问操作。

这里建议用户与企业定期检查软件更新,并在有新补丁可用时及时加以安装。然而,考虑到管理员可能因种种情况而无法立即部署更新,我们建议您将漏洞屏蔽机制整合至系统当中,以便保护平台免受未修复漏洞及零日漏洞的影响。此外,网络解决方案还应脖虚拟补丁与主动网络流量监控机制保护联网设备免受潜在入侵行为的干扰。

(完)