安全領域2018年發展趨勢：生物特征識別黑客攻擊，國家發起的攻擊，明目張膽的網絡劫持

Tamlin+Magee著+Charles譯

對于網絡安全而言，2018年會怎樣，有可能比2017更糟糕嗎？

2018年，網絡安全領域幾乎確定的事實是：市場會保持活躍，而攻擊將變得更加復雜。

Gartner預測，2018年全球安全支出將達到960億美元，比今年增長8%——這對于復雜的網絡安全行業來說是個好消息。

這很容易理解。

如果說有哪一年能稱得上是網絡安全問題真正為人們所關注的一年，那么2017年應該首當其沖。

這一年一開始便延續了2016年的混亂狀態——俄羅斯有可能在美國大選前進行了干預，還有社交媒體和論壇上有組織的造勢活動干擾英國的脫歐投票，等等。

這些事件還在不斷發酵，而現在“國家發起的”已經成為“俄羅斯”的同義詞——不管是不是這樣，還有，企業正在根據對供應商的指控撕毀卡巴斯基合同。

現在，英國的銀行將不得不報告數據泄露事件，否則就會面臨被罰款的風險，隨著GDPR將于明年5月25日生效，企業不論規模大小都必須密切關注越來越復雜的安全形勢。

在一個日益相互關聯的世界里，很多不同的事件和參與方、國家、企業、消費者和市場混雜在一起——無論是合法的還是非法的，因此，如果不根據現狀進行預測，會很難弄清楚今后的發展方向。2018年網絡安全將走向何方。

“流氓”人工智能

我們不認為2018年將是殺死全人類這一比喻成為現實的一年。英國網絡安全供應商Darktrace采用機器學習技術去主動捕獲威脅攻擊，該公司深為擔憂的是，如果好人正在考慮使用人工智能，那么黑客們同樣有很好的機會。

雖然還沒有發現真正的人工智能增強型惡意軟件，但Darktrace的網絡分析總監Andrew Tsonchev告訴英國《計算機世界》說，使用機器學習針對個人或者企業的復雜網絡釣魚工具并非不可想象。

Tsonchev解釋說：“這是我們非常關注的，也是我們正在做的，我們都非常清楚這樣做的好處，所以我們很擔心會出現大量可供攻擊者使用的人工智能惡意軟件和工具包。”

總的來說，這是因為人工智能的應用有利于決策，而以前這是人類發起的攻擊的所作所為。有網絡攻擊者，也有本機攻擊者，而他們在攻擊前會去“探路”。他們能看出缺點是什么。他們可以根據自己發現的特定環境來調整攻擊路徑，這就是他們很難被發現的原因。

“我們非常擔心能這樣做的惡意軟件：使用機器學習分類器的惡意軟件上網并觀察網絡，看看自己能干些什么?！?/p>

Darktrace的技術總監Dave Palmer補充說，自動化使得勒索軟件、魚叉式網絡釣魚和基于物聯網的攻擊更加復雜。

Palmer說：“這些攻擊對誰都一視同仁。只要參與到國家經濟體中，就足以使一個企業變得容易受到攻擊。沒有一家公司能躲開惡意攻擊，即使他們認為自己沒有什么值得竊取的東西?！?/p>

與此同時，McAfee也認為2018年將會出現人工智能增強型的勒索軟件攻擊，而安全公司和黑客將展開“機器學習競賽”，攻擊者和供應商都試圖超越對方。

對關鍵系統的攻擊，網絡戰

最近出現在東歐的攻擊——特別是針對烏克蘭的攻擊，看起來是為了對關鍵系統和電網進行更廣泛攻擊而開展的某種試驗。到目前為止，大部分網絡攻擊似乎都是出于經濟動機，但如果有什么好的攻擊手段，那么攻擊者絕不會放棄每一個機會。

今年，Techworld與Martin Libicki進行了一次討論，Libicki教授兼研究員是《Atlanticist》一書的作者，也是蘭德公司智庫成員。Libicki解釋說，盡管《Tallinn手冊》為網絡戰行為一系列的“規范”制定了寬松的政策框架，而它可能更適用于審查實際領導網絡戰的國家的行為——美國。

通過震網病毒對伊朗核離心機進行的有組織的攻擊表明，盡管一個國家在技術上注意到了戰爭國際法，但這些國際法仍然有很多解釋的余地。

曾參加過海軍的Carbon Black安全顧問Rick McElroy解釋說：“現代戰爭已經改變了。我們實際是站在國家民族主義者的角度去看問題，這值得我們商討。什么是網絡武器？網絡攻擊什么時候會變成涉及生命、基礎設施和金融的實體攻擊？具體是怎么定義的呢？”

McElroy補充說：“任何現代戰爭的前兆都是網絡戰?？纯磩e人的‘劇本：美國寫的，其他人都只是采用它，這其中有多少涉及到為了發起實體攻擊而收集情報？其中又有多少是為了占得其他國家的先機而收集情報？”

國家關鍵的基礎設施往往是過時的，而且經常資金不足，或者受到系統性問題的困擾（老舊硬件、缺乏人才、長期的設計缺陷，等等——看看美國核機構，他們不得不為450枚核導彈的扳手而求助于聯邦快遞）。

英國今年將網絡安全威脅升級為一級威脅。即將于2018年5月實施的NIS條例補充完善了GDPR——專門針對基礎設施企業制定了條款，如果他們沒有采取足夠的措施來防止攻擊將會被罰款。

Huntsman首席執行官Peter Woollacott說：“事實上，NIS是促使企業認識到這些危險很重要，他們的計劃應付諸于正確的行動。如果連接完全是物理的，那么防止和停止攻擊相對簡單。而在網絡世界里，這還遠遠不夠?！?/p>

A10 Networks公司的Ronald Sens估計，工業SCADA系統或者物聯網連接的關鍵系統中的漏洞會在“2018年造成物理損害”。

Sens說：“物聯網設備和SCADA系統的漏洞會在2018年導致某類物理損害，而不只是數字損害。希望損害范圍能被限制在僅對控制器組件造成破壞。與震網病毒和Flame目標不同，物聯網和SCADA設備采用了常見的開源框架，這些框架在安裝之后很容易被發現，但卻難以修補，因此成為主要攻擊目標。”endprint

數據泄露

幾乎每一星期都有數據泄露事件的嚴重受害者，我們預計2018年這一趨勢也不會改變。

今年一些最大的受害者包括Uber——該公司承認試圖掩蓋一次巨大的泄露事件，還有破紀錄的Equifax數據泄漏事件，該事件泄露了美國1.43億客戶的信息。

碎片化

盡管一直在努力圍繞數據主權、所有權、網絡戰規則和開放標準制定統一的國際政策，但也有一些跡象表明，互聯網“碎片化”式的威脅越來越接近現實了。

對卡巴斯基實驗室殺毒軟件被用于間諜活動的指控導致了公共機構卸載該軟件，零售商將該軟件從貨架上撤下，而巴克萊銀行取消了此前免費為客戶提供該軟件的做法。

同樣，Box首席執行官Aaron Levie曾警告過會出現碎片化的云——國家政府的利益與使用或者運營公有云的利益是相沖突。例如，AWS最近宣稱與美國專業間諜機構AWS Secret Region達成了一筆巨額交易，而英國《計算機世界》則從中國公司那里聽到，他們更傾向于建立自己的私有云，這樣他們就可以擁有整個堆棧的所有權。

雖然這本身不是一種安全趨勢，更像是一種政策趨勢，但實際上，隨著國際緊張局勢的升溫，企業將不得不面對這一趨勢。

組織

這些年來，在經濟利益的驅使下，黑客們變得越來越有組織：就像西方世界很多白領一樣，在網絡安全法規寬松的國家里，黑客們也去辦公室上班。

Akamai自稱是僅次于美國國家安全局的全球最大的數據整合公司，該公司安全服務高級總監Jay Coley評論說：“2018年，企業面臨的最大危險是有組織的威脅犯罪行為。2017年，我們看到企業面對的是犯罪組織，黑客們得到了競爭對手甚至是民族國家的支持。

我們早就懷疑情況會是這樣，但越來越清楚的是，這些攻擊者所表現出的老練和頑固，遠遠超出了很多企業目前準備抵御的機會主義黑客們。

因為追溯起來太難了，而且大多數企業都無法證明攻擊者是誰，隨著時間的推移，黑客會變得更加肆無忌憚?！?/p>

卡巴斯基實驗室發現了一種網絡劫持行為，黑客能夠在長達6個小時的時間內完全控制一家銀行，這是一項復雜的操作，攻擊者劫持了銀行的域名——之前他們進行了為期5個月的準備工作。

經濟利益無疑是大部分網絡安全事件最大的動機，聯邦快遞和利潔時等大牌機構的收益都受到了NotPetya加密勒索軟件的影響。據估計，2016年網絡犯罪對全球經濟的影響高達4500億美元。

遭受WannaCry和NotPetya破壞的企業比比皆是，盡管這給大大小小的公司敲響了警鐘，但信息安全問題總是令人防不勝防，企業只能盡力去應對。

越來越多的網絡武器被盜

有一家自稱為“影子經紀人”的組織——最初出現在2016年，宣稱對NSA工具的泄露負責。這些泄露的工具被轉而應用于WannaCry和NotPetya勒索軟件攻擊，該組織放肆的保證將會有更多的泄露事件發生，而《紐約時報》則報道說這已經從根本上動搖了NSA。

糟糕的政府

特別是英國正在極力抵制普通加密，認為這是對國家安全的威脅。問題似乎在于，所有想抵制加密的政客們都不真正明白什么是加密，也不明白為什么這很重要，而2018年還會這樣。

合規和認識自我

坦率地說，所有企業所面臨的最大挑戰是員工缺乏安全方面的培訓——白帽測試人員常常探索新目標，并利用人類心理特點來進入服務器機房或者網絡物理系統。

讓我們看看Verizon在調查“支付卡行業數據安全標準”（世界上最嚴格的隱私和安全標準之一）時所描述的現實生活中的噩夢場景。

這方面的例子包括，一個聯網但卻未受保護的魚缸把數據轉移到一個未知的地方，一臺打印機泄露了空軍（未指明）的信息，還有托管在墨西哥公寓浴室里危險的服務器機房。

當然，著名的通用數據保護條例（GDPR）將于2018年5月生效，這會給各種規模的企業帶來合規難題。

此外，企業必須迅速報告任何數據泄露事件，否則就會面臨巨額罰款——考慮到很多企業都沒有意識到出現了泄露事件，也不知道泄露的嚴重性，直至安全部門調查人員偶然發現問題，告知他們并進行復雜的內部取證調查，因此，這是很難跨越的障礙。

生物特征識別黑客攻擊

新的iPhone X Face ID功能等生物特征識別技術會繼續在消費類技術中擴大其應用，在企業中也是如此。

金融服務機構已經針對客戶試驗了生物特征識別驗證，包括Lloyds和微軟展開合作，通過Windows Hello和Windows 10來探索指紋和人臉識別的應用。

英國身份管理提供商Okta的總經理Jesper Frederiksen預測說：“在企業環境中，生物特征識別技術近期還不會完全取代密碼，但作為多重身份驗證模型的一部分，將提供支持安全層。”

特別是在金融服務領域，他說，“已經對生物特征識別技術進行了實驗，目的是控制對某些服務的訪問。各大銀行已經把語音和指紋識別等工具作為額外的安全措施，以確保只有正確的一方能夠獲得訪問權，從而保護自己免受惡劣行為的影響?！?/p>

技能短缺

對安全專家的需求非常大，招聘和就業聯合會的一份報告顯示，這將導致薪資的大幅上漲。企業報告稱，在過去九個月里，有八家公司的安全職位難以填補，大多數受訪企業都認為英國這方面的勞動力可能會供不應求。幾乎所有招聘人員都認為網絡安全薪酬會相應的飆升。

年初的一項研究表明，技能差距實際上可能會損害英國企業。招聘網站Indeed的Mariano Mamertino說：“這類問題很快就會大爆發，如果英國企業找不到所需的專業技能來抵御威脅，那么將不可避免地面臨風險?！眅ndprint