让我们面对现实吧:对于网络安全来说,2017年是极其糟糕的一年,因为在这一年出现了更多的网络钓鱼诈骗、恶意软件、国家资助的网络攻击和新的攻击媒介。那么,2018年情况会变得好一点吗?
考虑到2017年发生的事情——Equifax数据泄露事件、国家资助的网络攻击、俄罗斯对社交媒体的操控、Wannacry以及数不清的网络钓鱼诈骗事件——你可能会不太期待2018年。2018年,泄露事件将变得更严重,黑客们将变得更狡诈,然而安全团队和安全预算似乎会跟不上变化的步伐。
尽管这样,我们还是有理由保持乐观态度的。是的,在情况好转前,一些事态将不断恶化,但是我们期待在一些领域会取得重大的进展。以下是我们对2018年网络安全的预测。
1.许多企业(如果不是大多数)在截止日期前将不能遵从GDPR
调查显示,需要遵从欧盟(EU)的通用数据保护规范(GDPR)的企业要想在2018年5月25日这一截止日期到来前满足要求,还有很长的一段路要走。但对一些企业来说,该规范对它们并没有影响。
监管者并不会审查GDPR合规性要求,因此,除非出现了数据泄露事件或欧盟公民提出了控告,企业是很容易受到罚款的。即使一家公司出现了数据泄露事件或遭到了投诉,但是如果该公司能拿出证据,证据它们为了遵从GDPR采取过一些强有力的措施,监管者很有可能也会很宽容地进行处理的。
未认真对待GDPR,从而导致发生数据泄露事件并引起监管机构启动专项调查的企业,都有面临巨额罚款的风险。于是,这就将我们引到了下一个预测。
2.GDPR监管者将快速杀鸡儆猴
谁将成为监管者的首要目标,人们有两种看法。一些人认为他们将首先瞄准一家欧盟公司,因为他们反抗罚款的可能性较小。其他一些人则认为,监管者在初期将不会只针对一家公司,因为他们心中已经有一些特定目标公司了。
猜测这些特定的公司并不困难。谷歌、苹果、亚马逊和脸书在隐私和反信任问题上都曾与欧洲委员存在分歧。如果这四家公司中的任何一家有未遵从GDPR的迹象,欧盟监管者就有很可能会把握机会,发表声明。
其他公司很有可能不会是早期的目标,除非发生了一个极其令人震惊的事件,但是要是遵从了GDPR,这个事件原本是可以预防或将危害程度降低的。因此,最安全的方式是尽最大的努力,在5月25日前遵从GDPR。
3.仅使用密码认证的情况将不断减少
对于许多消费者来说,Equifax和Anthem数据泄露事件给他们敲响了一个警钟,使得他们开始询问有关其线上账户安全性的问题了。大多数人仍旧不知道密码的替代品或密码增强技术,如多因子认证(MFA)或基于风险的认证,但是他们逐渐意识到单独的密码不再足够安全了。事实上,Bitdefender所做的一项研究表明,相比电子邮件窃听(70%)或入室盗窃(63%),美国公民更关注窃取身份(79%)。
这一点十分重要,因为企业常常把缺乏较强身份认证的需求作为不提供它的一个理由。他们不愿意这样做,一部分原因是,他们不想让更复杂的身份认证降低用户体验。
这一担忧将会被越来越普遍的基于风险的身份认证工具减轻。这些工具会在后台运行,来评估客户行为和其他数据,以便确定试图访问系统的人事实上经过身份认证的可能性。与MFA一起,基于风险的身份认证会针对未经授权的访问建立起一道强有力的屏障。
基于风险的身份认证通常都会与身份和访问管理(IAM)工具联合起来使用。Stratistics MRC表示,2018年IAM市场有望达到14.8%的年复合增长率,这一指数也表明,仅使用密码认证的技术将走向灭绝。
因凭证被破坏所承担的法律风险也正在促使企业采取更强的身份认证。在其《数据泄露行业预测报告》中,Experian指出,一家公司中发生了一起重大的数据泄露事件后,其他公司的凭证再次使用会受到影响。因为当黑客使用了其被盗的凭证来故意欺骗性地访问服务时,他们会被迫告知用户这一情况。
Experian将这称为数据泄露的余震,并且报告呼吁企业部署二次身份认证方法。报告指出:“考虑到发生数据泄露事件后,用户名和密码持续被盗,我们预测,攻击者会采取与其他攻击类型相同的方式来窃取更多的个人信息,如社会保障号或医疗信息。”
4.国家资助的攻击将不断增多
国家资助的攻击通常的嫌疑对象——朝鲜、伊朗和俄罗斯——如果继续试图通过入侵信息系统来进行敲诈、窃取、监视和破坏活动,它们已经没有太多可以失去的了。他们都已经得到了严厉的惩罚,因此国家资助的攻击所造成的危害——至少这些我们已经知道的——已经降到最低。
这便使得升级这些攻击的风险似乎很低。国家资助的攻击者有望在其攻击规模和影响方面挑战极限。有一些领域因极其关键而受到了特别的关注,如电力和通信网络。Experian的《2017数据泄露行业预测报告》表示:“受国家资助的网络攻击的不断进步无疑将使得关键的基础设施成为众矢之的,从而便有可能导致造成大范围的停电或个人信息遭到泄露,而这些都会影响到数百万无辜的消费者。”
受影响的国家和国际社会将因为不法分子面临更大的压力,应当承担责任的外籍人士也会受到更多的制裁和遭到更多的控告。Experian的报告表示:“不幸的是,直到有明确的有关网络空间规章制度的国际协议,这些攻击很有可能只会增加和升级,而不会减少或缓和。”
国家资助的攻击可能也会促使各国组成联盟来反击这些不法分子。PAS Global的CEO Eddie Habibi表示:“在关键基础设施上攻击的增多将促使各国开始讨论网络安全联盟。组建这些联盟将使得牵涉到的国家共同防御网络攻击,并且它也会允许在面对来自国家的网络攻击的过程中,各国共享情报信息,更不用说协议中还明确表明联盟国家不得相互攻击。”
直到出现有效的阻止办法,违规的国家将不断升级他们的攻击,直到攻击成本过高。这些成本可能以实物反击或者甚至以物理打击的形式出现。让我们期望我们最终不会采取边缘政策,因为正是这一政策使得冷战时期中的世界氛围极为紧张。
5.针对物联网设备的攻击将变得越来越糟糕
数以百万的连接设备面对想要控制它们的黑客来说,仅有一点或完全没有防御能力。事实上,黑客控制数大量物联网(loT)设备变得更容易了。现在,他们只需从暗网上购买一个僵尸网络包,便可以进行攻击活动了。据估算,三大僵尸网络包——Andromeda、Gamarue和Wauchos——在一个月内攻击了超过一百万台设备,同时Reaper僵尸网络也影响了超过一百台设备。
问题在于,我们并不知道控制僵尸网络的黑客们到底打算做什么。是发起分布式拒绝服务攻击(DDoS)?发送大量的垃圾邮件?还是他们做一些我们不知道的?2018年,一切都将揭晓。
像Reaper那样大规模地构建、保护一个僵尸网络,并为它设置命令基础结构是需要花费时间的。一个黑客未抱有巨大的期望,期待获得丰厚的回报,是不太可能进行此类投资的。2018年,僵尸网络攻击可能会变得十分有趣,尽管人们对此深恶痛绝。
这是关于僵尸网络不好的消息。但好的消息是,人们在不断加大努力抵御僵尸网络。12月,有三个人对制造并使用Mirai僵尸网络从而向DNS服务公司Dyn发动DDoS攻击的事实供认不讳。也是在12月,ESET和微软宣布他们已经联合摧毁了464个僵尸网络和超过1200个命令和控制域名。同样令人倍感欣慰的是,在Belarus,一个人因为被认为与僵尸网络有关而被逮捕了。
国际合作对阻止僵尸网络是很有必要的。在Belarus的逮捕行动,以及去年春天在西班牙警方对Waledac和Kelihos垃圾邮件僵尸网络攻击者Peter Levashov的逮捕行动都带给了我们希望:明年黑客们的安全天国将越来越少。
在保护其设备方面,物联网设备产商也正在进行缓慢的进展,然而,这并不会帮助那些已经被部署并且很难或不能再修改的大量设备。Varonis安装工程副主席Ken Spinner表示:“产商们将开始解决这些安全缺陷,否则就将失去那些从一开始就十分关注安全的公司。从长远看来,GDPR可能会挽救局面,强迫企业重新考虑通过物联网设备采集的个人数据,但是至少到2019年前,我们都不会看到这一效果。”
6.一些威胁检测任务的自动化将不断增多
安全团队每天都要审查大量的报警和数据,以便确定可能存在的威胁。受更多攻击和攻击媒介的影响,这一审查的数据量将不断增多。然而,过滤报警数据是一项重复、乏味的工作,这便使得这项工作非常适合使用软件来自动完成。
企业已经在利用基于工具的机器学习来帮助过滤报警信息,以及减轻超负荷安全人员的工作负担了。随着威胁指示器的数量不断增加,安全人才不断增多,我们期望这一趋势在2018年将不断加快。为什么会出现这种情况?研究表明,正确部署的自动化工具在识别需要人为查看的报警信息方面是十分高效的。
企业现在正在进行的自动化试验将让他们对科技产生信心,并帮助他们了解他们可以在哪里进行帮助,在哪里不能进行帮助,因此,这将鼓舞安全团队扩大自动化的合理使用。然而,自动化并不会是一个灵丹妙药,或取代人员,但是它将提高威胁检测的有效性,并让当前的人员腾出手来处理其他重要的任务。
随着使用基于机器学习的情况的不断增多,自动化将充分意识到它所不能完成工作。举例来说,机器学习只会与它的模型和可以用来分析的数据达到同等程度的检测水平,因此,它很有可能会漏掉新型的攻击。更好的理解机器学习和自动化的这一点将允许安全团队能更有效地部署技术。
7.盲目信任将成为网络犯罪战场上的一大致命错误
当谈及网络安全时,谁又能指责一个人,怪他不信任所有事情呢?没有一个人的个人身份信息(PII)是安全的。企业不能指望其供应商和合作伙伴的安全功能是十分完善的。美国政府甚至在公开场合对一个顶级的安全软件供应商表示了蔑视,就因为它的总部位于俄罗斯。
缺乏信任将开始在企业中产生实际效果,并且这一效果将会持续到2018年。据透露,在Uber隐藏一起严重的数据泄露事件达一年的过程中,它对问题的改善毫无助益。当消费者不愿意信任他们的个人身份信息存储在其中的各个公司时,让他们参与其中将变得更困难。正如上面所阐述到的,这将促使企业提供更强的身份认证。
更多的企业有望加大对其合作伙伴、供应商和服务提供商的安全审查力度。第三方数据泄露事件正在变得越来越常见,并且数据显示,任何一家企业的安全性只会与其扩展网络达到同等的安全程度。如果他们不知道其他他们与之进行合作的企业所拥有的风险,他们就不能向其客户和员工保证他们的数据是安全的。
美国政府已经禁止政府机构再使用卡巴斯基软件了,因为它认为这一软件对美国的国家安全造成了潜在的威胁。2018年,其他国家也很有可能采取类似的举措。PAS Global的Habibi表示:“其他一些国家也已经表现出了类似的国家倾向,比如中国,它近来就通过了影响深远的《网络安全法》,这一法规要求政府能够对供应商的源代码进行访问。我们预测美国的行政部门也将表现出类似的倾向,指导政府机构优先采购研发和制造位于美国或盟友国家的供应商。”
对那些能对保护数据表现出真切关注和拥有恰当的安全基础设施的企业来说,不轻易相信他人的这一大环境将为他们提供机会。换句话说,当消费者和其他企业因为感到与你做生意会十分安全时,辛苦得来的信任就会成为一项资产。