2018是网络安全动荡不安的一年,黑客通过钓鱼邮件袭击平昌冬奥会,打响了网络攻击的第一枪,Facebook紧随其后,也翻开了数据安全新的篇章。攻击者变得愈发的聪明与胆大,区块链和虚拟货币成为了他们最为得意的战利品,《GDPR》的生效,让监管对隐私泄露的容忍度降低为零,也将全社会对隐私窃取和泄露的怒火放至无穷大。IoT设备的普及,让安全边界进一步扩大,也为网络安全提出了新的难题,随着万豪等又一批数据泄露事件的发生,数据安全彻底被推向了高潮。最终在年底,一波席卷全球的DDoS攻击,为2018画上了“圆满”的句号。
这些网络安全事件的发生和迹象,不仅令网安人在过去一年疲于奔命,更为2019敲响了警钟,也为未来网络安全的发展和侧重,锚定了方向。
2019网络安全行业将行至何方,会有怎样的趋势和新思考,又会暗含怎样的威胁,且随安在一起,粗浅一观。
数据安全持续升温
数据安全其实是一个很大的概念,因为各种网络攻击的最终导向,都是数据泄露。不论是去年3月Facebook因合作伙伴剑桥分析的“坑兄弟”行为导致5000万用户信息泄露,还是万豪集团因黑客攻击导致数据被窃取,亦或是数据堂疑似主动贩卖数据,都让我们醒悟了一件事情——数据的价值越来越高。
单以网络攻击为例,我们不难发现,那些保存海量数据的大型企业的系统和网站,成为了这一类攻击者的主要目标,随着数据存储的扩大和数据价值的持续提高,这一类型的的系统和网站,将仍然是首要的攻击对象。
从过去一年酒店行业屡次发生数据窃取以及航空公司乘客隐私泄露来看,这些在网络安防略有欠缺又直接面向消费人群的传统行业,在未来可能会成为攻击者的主要目标。
而去年5月生效的《GDPR》更像是悬挂在头顶的达摩克利斯之剑一样,稍有不慎,强有力的天价罚单,就会成为刺死平日里不重视数据安全的那些企业的致命一击。
因此,我们可以认为,数据安全将在2019年继续升温,成为全社会和网安行业更为重视的问题。同时,以数据安全作为表象,企业和用户要在根本上对网络安全的防御能力和意识都得到补足,不主动流出,也避免被动挨打。
立法监管大势难挡
谈到了数据安全,我们就不得不提隐私立法。在去年5月份之前,隐私立法,还不过只是个大多数时候被提上议程却迟迟不见落地的东西,而数据隐私合规,往往也只是企业迎合监管检查的表面工程。
但《GDPR》的实施,如同巨石砸入了平静的湖面一般,突如其来地将隐私和数据的合规监管,提到了前所未有的高度。所以过去一年网络安全有一个有趣的现象——到处都在积极学习和研究《GDPR》到底是什么、怎么罚、怎么躲,安全咨询也忙得不可开交,一时间好不热闹。
今年1月21日,法国数据保护监管机构——国家信息与自由委员会(CNIL),正式向谷歌开出5000万欧元罚单(约合5680万美元)。虽然还远没达到《GDPR》罚款的上限,但这已经是GDPR正式实施后,欧洲监管机构因违反《GDPR》开出的最大金额罚单。处罚的力度给数据相关的企业敲响了警钟,《GDPR》中的部分条例,也不断提供各国隐私立法以启发。
特别值得注意的是,过去一年,我国在《网络安全法》的基础上,逐渐对网络安全各个环节可能发生的问题通过立法的手段予以补全,随着数据隐私安全的持续升温,用户对安全和隐私的要求不断提升,势必会不断升级配套的法律和监管。
2019将会是对监管部门和企业都极具挑战的一年。监管部门如何把握监管力度,不放之过松,也不能掐得太死。企业如何在保证业务不被影响的前提下迎合监管要求,这可能需要一些艺术。
勒索病毒死而不僵
早在去年年初,国内就发生了医疗机构被勒索病毒入侵,并被要求支付电子货币作为赎金的事情。虽然根据瑞星发布的《勒索病毒全面分析报告》来看,勒索病毒的感染数量整体呈现下降的趋势,但我们依然无法忽视以WannaCry为首的这群曾经肆虐全球的可怕物种,还会在未来进化到何种程度。
整体上来讲,勒索病毒可能会产生几种趋势,来持续甚至增强它们在网络安全领域的分量和威胁:1、利用漏洞和弱口令植入勒索增多2、攻击者入侵后人工投毒增多3、勒索病毒持续更新迭代对抗查杀4、针对有价值目标发起定向攻击逐渐增多5、勒索病毒开发门槛进一步降低6、勒索病毒在世界范围内造成的损失逐渐增大。
因此,2019年,无论是安全厂商,还是企业和个人,都要继续和勒索病毒做对抗。
IoT设备引发更多安全问题
根据Gartner预测,2019年联网物件数量将达到142亿,随之而来的将会是更多的安全问题和未知因素。
其实早在去年,国内外就已经多次发生IoT设备安全事件,最轰动的莫过于某品牌智能音箱监听并收集用户的录音,并导致隐私泄露。与此同时,随着物联网规模的不断扩大,消费者可能会在便捷性和安全性两者之间选择前者,弱化了安全性的IoT设备,不知道还蕴含多大的破坏能量。
Gartner预测还指出,到2020年,针对企业涉及物联网的攻击,将会超过25%,但物联网却仅占网络安全预算的10%。因此,企业应该加强IoT设备的安全防护,即时调整安全预算,针对性地保证物联网安全。
网络安全的边界进一步扩大
其实,物联网的加速发展 ,最大的问题其实是导致网络安全边界的扩大。
随着各国第五代移动通信网络(5G)基础设施的加速部署,对5G协议支持的设备也会广泛部署应用。在2019年,可能会有越来越多的设备支持直连5G网络,而这种不经由传统无线路由的连接方式,会使设备更容易遭受攻击。
攻击者可以利用硬件与软件(这包括固件、协议等)漏洞,感染并控制大量物联网设备,有计划地针对特定目标发动以海量流量为特征的网络攻击,并造成严重后果。安全性较差的物联网设备也将成为最薄弱的环节,其中最令人担忧的是针对连接数字世界与现实世界的物联网设备,例如车联网。
除了设备自身的安全问题外,移动和物联网设备在云端存储或传输的数据,也将面临更多的威胁。更多传输中的数据,将成为攻击者的重要攻击目标。这些终端设备采集并回传的数据,往往含有大量用户的个人隐私信息,如果在厂商接收存储前就已经遭到劫持,就会造成用户的隐私泄漏。
APP安全不容忽视
根据粗略统计,2018年,我国移动互联网APP数量已经超过400万款,累计下载量更是达到了万亿次之多。APP在渗透到我们生活的同时,也带给我了我们许多新的安全隐患。
从过去一整年网信办对于APP的整改和处罚来看,APP安全问题主要集中在越权收集用户隐私,并造成之后一系列各种各样的信息泄露。而在12月29日网信办一口气关停的3469款APP当中,像“澳门金沙”这类网络黑产,也是APP主要的安全隐患。
前不久,京东金融APP被曝出疑似非法复制并上传用户手机系统相册中的照。,虽然京东金融已正面回应,但显然网友并不买账,事件的真相还有待探明。而从这些与信息隐私相关的窃取和泄露来看,消费者应该已经接近了对于隐私安全容忍的临界点,所以,这些与大量数据、隐私紧密相关的APP,它们的安全,不容忽视。
钓鱼邮件屡试不爽
作为窃取重要隐私信息的攻击途径之一,最新报告显示,虚假电子邮件的日发送量已经超过64亿封,过去几年中,企业电子邮件诈骗(BEC诈骗)损失成本已达到120亿美元。更有数据表示,所有网络攻击中有91%都将电子邮件作为攻击入口。
可以灵活变化的攻击形式和各大邮箱自身存在的严重漏洞,成为了邮件安全事件层出不穷的罪魁祸首。钓鱼邮件、改名邮件、APT攻击,越来越多的黑客将网络攻击的切入口转向邮件。
然而,当前有很多企业和用户,对邮件安全的防范意识并不高。在日常的工作中,对涉密、敏感信息的邮件,没有做加密处理,通常会采用公共互联网邮箱传送,这样不仅容易遭到窃取和泄露,也会让用户逐渐形成看见地址名称一致的邮件,就毫无戒心打开的习惯。
其次,企业也没有在邮件防伪上做到足够的防护,不具备对伪造地址的钓鱼邮件做到身份验证和检测的能力,也使得钓鱼邮件在溜入用户手里的第一道关卡就畅通无阻。
随着诈骗手段的日益多样,以及黑产规模的日益壮大,如果企业不能有效防范当前的钓鱼邮件,用户不能养成时刻提防的安全意识,在面对日后更加多样的诈骗手段面前,我们将变得更加无力抵抗。
围绕AI的竞争和对抗
赛门铁克认为,技术逐年成熟甚至已经到达商用标准的人工智能(AI),无论是从“攻击者”还是“防御着”视角,其强大的自动化、增强决策能力,是攻防双方对人工智能及相关技术的竞争和对抗,2019年会演变的更加激。
先从攻击者角度来看。
人工智能系统尤其自我的脆弱性,已有安全研究人员发现,通过恶意训练数据可以影响系统逻辑,并导致运行失常。随着人工智能应用的不断广泛与深入,无疑,关键性的人工智能系统有大概率成为攻击者在2019年的重点关注目标。
除了将其作为攻击目标外,攻击者还可以利用人工智能实施犯罪活动。可以预见的是,由人工智能驱动的攻击工具,可以以更低的成本,发动更为复杂的针对性攻击。
从防御者角度看,人工智能技术在网络安全的应用也在过去的一年展现了其积极的一面。从2016年开始,以DARPA举办的CGC大赛为首,人工智能在安全攻防赛的应用越来越深入(包括自动化的漏洞挖掘、利用、与修补防护三个角度)。近两年,中国一些大型安全赛事也引入了AI选手或题目。人工智能的加入,以及与其他现有安全技术的结合,无论是企业还是个人用户,都可以帮助他们更快速做出明智、安全的决定。
除了上述这些过去已经发生,并值得我们在未来持续关注的网络安全趋势以外,也有一些全新的安全事件,足以引起我们的重视。
区块链成为主流支付可能带来的安全问题
2018年,Akamai与三菱日联金融集团宣布建立一个基于区块链的新型在线支付网络,可以每秒处理超过100万次交易,且每次交易的延迟时间不超过2秒。未来,我们还将看到越来越多的基于区块链的支付网络。他们能够具有极高的可扩展性和速度,从而支撑下一代支付服务。
以区块链为基础的支付网络发展如此迅速,企业机构需要确保支付网络所需的安全水平不受影响,而金融业尤其需要如此。区块链在2019年仍是一项新兴技术,并随着时间的推移而不断发展。因此,企业机构需要不断开发和改进区块链生态系统,使其尽可能安全。
COO(首席网络犯罪官)
在英国TalkTalk数据泄露事件发生后,有议员建议增设一名日常负责保护计算机系统免受攻击的官员,也就是COO。
COO的工作内容是负责确保组织做好网络安全相关的准备,防止网络安全事件的发生,如果发生入侵行为,则首当其冲站出来负责。此外,COO还要在董事会与公司其他部门之间建立稳固的联系。
如果COO在国外率先增设并取得成功的话,不失为国内企业一个很好的借鉴方向,这件事情的促成少不了诸位CSO的努力,怎么说这可是一个把锅甩走的好机会呢。
结尾
时下有句话,叫“2019也许是过去十年里最差的一年,但可能又是未来十年内最好的一年”,这句话放在网络安全领域也许同样适用。
不过十年间,“安全”这个概念就已经发生了翻天覆地的变化,变得越来越大、越来越深、越来越多、越来越复杂。然而随着技术的发展,甚至于新技术、新概念的诞生,网络安全的边界只会越来越大,我们要做的事情只会越来越多,安全从业者的头发可能也会越来越少。
但,前有国家政策驱动,后有技术力量支撑,网络安全一定可以在全新和未知的挑战面前,傲然直前。
