海外觀察

海外觀察

兩大殺毒巨頭發(fā)布2017年安全威脅趨勢預測：

勒索軟件、云安全、物聯(lián)網(wǎng)被劃重點

賽門鐵克和邁克菲（McAfee ），全球兩大終端安全技術(shù)與反病毒廠商，近日幾乎同一時間發(fā)布了對2017年的安全趨勢預測。

1 勒索軟件下一站：智能汽車和云基礎(chǔ)設(shè)施

用于控制汽車的手機應(yīng)用、內(nèi)部復雜的傳感器控制系統(tǒng)、軟件漏洞都有可能成為新的風險點。除了可能的遠程攻擊、未授權(quán)監(jiān)控并獲取汽車定位數(shù)據(jù)等信息外，2016年非?；钴S的勒索軟件也可能通過鎖死汽車控制系統(tǒng)索要贖金。此外，云基礎(chǔ)設(shè)施也正成為網(wǎng)絡(luò)攻擊者獲利的重要攻擊目標。一旦發(fā)動勒索，攻擊者突破云服務(wù)提供商對云基礎(chǔ)設(shè)施的基礎(chǔ)性安全保護，沒有在云上做額外安全加固的企業(yè)數(shù)據(jù)也可能受到影響。為了避免關(guān)鍵數(shù)據(jù)的丟失，企業(yè)將不得不支付贖金。

僅CryptoWall 3.0這一單個勒索軟件系列收入就可能超過3.25億美元。但隨著“停止勒索”等相關(guān)計劃的展開，安全行業(yè)和國際執(zhí)法機構(gòu)的聯(lián)手合作，2017年下半年全球勒索攻擊的規(guī)模和效果會開始下降。

2 物聯(lián)網(wǎng)設(shè)備引發(fā)的DDoS攻擊增多

2016年10月末，美國DNS管理優(yōu)化提供商Dyn遭遇僵尸網(wǎng)絡(luò)Mirai發(fā)起的DDoS攻擊，這一僵尸網(wǎng)絡(luò)是由暴露在互聯(lián)網(wǎng)上的大量存在弱口令漏洞的攝像頭組成的。這直接導致大半個美國互聯(lián)網(wǎng)癱瘓。并且攻擊仍然在全球其他地區(qū)延續(xù)。物聯(lián)網(wǎng)設(shè)備的安全風險以及可能導致的嚴重后果再次引起人們廣泛重視。

除了工業(yè)用物聯(lián)網(wǎng)設(shè)備以外，企業(yè)與家用物聯(lián)網(wǎng)設(shè)備的數(shù)量也在與日俱增。打印機、恒溫箱，甚至是洗衣機或者冰箱，一切聯(lián)網(wǎng)設(shè)備都有可能成為攻擊發(fā)起的跳板。目前，大量已進入市場的物聯(lián)網(wǎng)設(shè)備在設(shè)計之初便缺少有效的安全防護機制，且有很大一部分無法通過軟件/固件更新得到改善。2017年針對物聯(lián)網(wǎng)設(shè)備發(fā)起的攻擊可能會進一步增多。

3 云威脅與日俱增

無論是BYOD還是企業(yè)數(shù)據(jù)向云端的遷移，企業(yè)網(wǎng)絡(luò)邊界擴展到云端，且日趨模糊。在云服務(wù)的“成本、效率”和“更多的控制、可見性和安全性”這一矛盾中，云服務(wù)提供商要為不同客戶提供不同的平衡點。而目前訪問控制和身份驗證在云安全保護中仍是最薄弱的技術(shù)環(huán)節(jié)。邁克菲預測針對管理員賬戶的定向憑據(jù)盜竊和暴力攻擊將會增多，且攻擊流量將在容器與容器，虛擬機與虛擬機之間移動，試圖攻擊使用同一云服務(wù)提供商的不同客戶。

對云端數(shù)據(jù)的訪問控制，賽門鐵克則更看好云安全訪問代理(CASB)的方式，通過類似安全網(wǎng)關(guān)的方式對云端數(shù)據(jù)進行訪問和權(quán)限控制，并輔以訪問終端的安全防護，來保障數(shù)據(jù)的安全性。

4 機器學習雙刃劍：也會被攻擊者利用

人工智能和機器學習，在海量的安全數(shù)據(jù)分析上，給了企業(yè)安全人員更多的能力。企業(yè)需要擁有更強的洞察力，這將增加人與機器的進一步協(xié)作。除了要求企業(yè)能夠收集和分析不同企業(yè)、行業(yè)和地區(qū)中的端點和攻擊傳感器數(shù)據(jù)外，對于云端的龐大實時威脅情報網(wǎng)的利用方面，賽門鐵克也認為機器學習會在安全威脅分析中起到重大作用。

但是，機器學習對大數(shù)據(jù)分析處理的能力，也可以被攻擊者利用。邁克菲認為，試圖進行企業(yè)電子郵件攻擊(BEC)的詐騙分子，也正試圖利用機器學習技術(shù)，從海量的公開曝光數(shù)據(jù)、社交媒體以及泄露數(shù)據(jù)等社工庫中挑選更高價值的攻擊目標。

2017年，可能會出現(xiàn)提供基于機器學習算法和海量公開企業(yè)數(shù)據(jù)的“目標獲取即服務(wù)”數(shù)據(jù)盜竊服務(wù)提供商，并加速社會工程學攻擊的進步。

5 無人機劫持風險顯露

通過攔截無人機控制信號而篡改無人機定位或航線信息，甚至被攻擊者遠程控制后，遭劫持的無人機可被用于各種違法行為，如盜竊其上的設(shè)備和數(shù)據(jù)（特別在物流領(lǐng)域），對其它機構(gòu)網(wǎng)絡(luò)進行滲透等。相對的，也會出現(xiàn)“反無人機”攻擊技術(shù)，例如利用漏洞設(shè)置禁飛區(qū)。

消費類無人機因為其開放端口和弱身份驗證，使其可被輕易進行中間人攻擊。所幸，目前商用無人機大多數(shù)漏洞可通過安全補丁進行修復。它們更多是因為沒有采取安全措施，如不使用加密通信和大量開放端口而容易被成功入侵。

6 無文件惡意軟件蔓延

傳統(tǒng)終端安全防護需要檢測執(zhí)行文件，并依據(jù)特征庫對可疑文件進行鑒別。而無文件感染不需要使用任何類型文件作為載體，可以在不寫入硬盤的前提下將可執(zhí)行文件解密并直接加載入內(nèi)存，使得終端防護產(chǎn)品無法進行偵測，也無法獲取惡意軟件的執(zhí)行記錄。這種非硬盤駐留型惡意軟件因為其沒有文件實體，所以可以輕易逃避入侵防御和防病毒程序的阻攔。賽門鐵克預測其會在2017年繼續(xù)蔓延，目前其主要攻擊方式是通過Windows的PowerShell，一種任務(wù)自動化及配置管理框架進行傳播。

7 越來越多攻擊將目標鎖定硬件和固件

因為硬件漏洞可以侵蝕整個軟件堆棧運行和安全的特性，對硬件的攻擊成功，即意味著所有系統(tǒng)基于軟件的安全機制和保護措施全部失效。雖然硬件相較于軟件更不容易被攻擊，但是利用硬件邏輯漏洞的攻擊也并不是天方夜譚。邁克菲認為，有理由相信黑客高手有能力攻擊基于傳統(tǒng)BIOS、(U)EFI、固態(tài)盤、網(wǎng)卡和WIFI設(shè)備及其上的固件系統(tǒng)。同時，固件也是惡意軟件理想的藏身地，如BIOS會被大多數(shù)殺毒軟件無視，即使系統(tǒng)重啟也不會對惡意軟件造成任何影響。在防御的一方，基于硬件層面的安全防護技術(shù)，如使用UAF和U2F協(xié)議的FIDO、可信執(zhí)行環(huán)境(TEE)以及可信平臺模塊(TPM)也在被廣泛實踐。

8 威脅情報共享將取得實質(zhì)性進展

雖然之前威脅情報的共享受到“可能無意共享客戶隱私信息”、“失去企業(yè)競爭優(yōu)勢”以及“公眾會知曉哪些組織受到黑客攻擊”這三點阻礙，但這些擔心目前正煙消云散。Cybersecurity Information Sharing Act已經(jīng)將美國政府與私營企業(yè)間的責任保護，延伸到共享實體的私有企業(yè)間，為下一步威脅情報共享提供了法律基礎(chǔ)。美國企業(yè)正在評估相關(guān)的威脅情報共享政策。

同時，由美國國土安全部成立的信息共享和分析組織(ISAO)，將在2017年建立ISAO平臺，根據(jù)細分市場、區(qū)域并圍繞利益相關(guān)性建立ISAO社區(qū)，以及允許企業(yè)將威脅情報添加到自己的安全系統(tǒng)中?？梢灶A測，隨著ISAO和其它威脅情報共享計劃的發(fā)展（目前國內(nèi)也有相關(guān)行業(yè)聯(lián)盟），其管理和業(yè)務(wù)將得到改善，2017年將會有更多的威脅情報共享。

（來源：安全牛）