Tamlin+Magee著+Charles譯

對于網(wǎng)絡(luò)安全而言，2018年會怎樣，有可能比2017更糟糕嗎？

2018年，網(wǎng)絡(luò)安全領(lǐng)域幾乎確定的事實是：市場會保持活躍，而攻擊將變得更加復(fù)雜。

Gartner預(yù)測，2018年全球安全支出將達到960億美元，比今年增長8%——這對于復(fù)雜的網(wǎng)絡(luò)安全行業(yè)來說是個好消息。

這很容易理解。

如果說有哪一年能稱得上是網(wǎng)絡(luò)安全問題真正為人們所關(guān)注的一年，那么2017年應(yīng)該首當(dāng)其沖。

這一年一開始便延續(xù)了2016年的混亂狀態(tài)——俄羅斯有可能在美國大選前進行了干預(yù)，還有社交媒體和論壇上有組織的造勢活動干擾英國的脫歐投票，等等。

這些事件還在不斷發(fā)酵，而現(xiàn)在“國家發(fā)起的”已經(jīng)成為“俄羅斯”的同義詞——不管是不是這樣，還有，企業(yè)正在根據(jù)對供應(yīng)商的指控撕毀卡巴斯基合同。

現(xiàn)在，英國的銀行將不得不報告數(shù)據(jù)泄露事件，否則就會面臨被罰款的風(fēng)險，隨著GDPR將于明年5月25日生效，企業(yè)不論規(guī)模大小都必須密切關(guān)注越來越復(fù)雜的安全形勢。

在一個日益相互關(guān)聯(lián)的世界里，很多不同的事件和參與方、國家、企業(yè)、消費者和市場混雜在一起——無論是合法的還是非法的，因此，如果不根據(jù)現(xiàn)狀進行預(yù)測，會很難弄清楚今后的發(fā)展方向。2018年網(wǎng)絡(luò)安全將走向何方。

“流氓”人工智能

我們不認為2018年將是殺死全人類這一比喻成為現(xiàn)實的一年。英國網(wǎng)絡(luò)安全供應(yīng)商Darktrace采用機器學(xué)習(xí)技術(shù)去主動捕獲威脅攻擊，該公司深為擔(dān)憂的是，如果好人正在考慮使用人工智能，那么黑客們同樣有很好的機會。

雖然還沒有發(fā)現(xiàn)真正的人工智能增強型惡意軟件，但Darktrace的網(wǎng)絡(luò)分析總監(jiān)Andrew Tsonchev告訴英國《計算機世界》說，使用機器學(xué)習(xí)針對個人或者企業(yè)的復(fù)雜網(wǎng)絡(luò)釣魚工具并非不可想象。

Tsonchev解釋說：“這是我們非常關(guān)注的，也是我們正在做的，我們都非常清楚這樣做的好處，所以我們很擔(dān)心會出現(xiàn)大量可供攻擊者使用的人工智能惡意軟件和工具包?！?/p>

總的來說，這是因為人工智能的應(yīng)用有利于決策，而以前這是人類發(fā)起的攻擊的所作所為。有網(wǎng)絡(luò)攻擊者，也有本機攻擊者，而他們在攻擊前會去“探路”。他們能看出缺點是什么。他們可以根據(jù)自己發(fā)現(xiàn)的特定環(huán)境來調(diào)整攻擊路徑，這就是他們很難被發(fā)現(xiàn)的原因。

“我們非常擔(dān)心能這樣做的惡意軟件：使用機器學(xué)習(xí)分類器的惡意軟件上網(wǎng)并觀察網(wǎng)絡(luò)，看看自己能干些什么?！?/p>

Darktrace的技術(shù)總監(jiān)Dave Palmer補充說，自動化使得勒索軟件、魚叉式網(wǎng)絡(luò)釣魚和基于物聯(lián)網(wǎng)的攻擊更加復(fù)雜。

Palmer說：“這些攻擊對誰都一視同仁。只要參與到國家經(jīng)濟體中，就足以使一個企業(yè)變得容易受到攻擊。沒有一家公司能躲開惡意攻擊，即使他們認為自己沒有什么值得竊取的東西?！?/p>

與此同時，McAfee也認為2018年將會出現(xiàn)人工智能增強型的勒索軟件攻擊，而安全公司和黑客將展開“機器學(xué)習(xí)競賽”，攻擊者和供應(yīng)商都試圖超越對方。

對關(guān)鍵系統(tǒng)的攻擊，網(wǎng)絡(luò)戰(zhàn)

最近出現(xiàn)在東歐的攻擊——特別是針對烏克蘭的攻擊，看起來是為了對關(guān)鍵系統(tǒng)和電網(wǎng)進行更廣泛攻擊而開展的某種試驗。到目前為止，大部分網(wǎng)絡(luò)攻擊似乎都是出于經(jīng)濟動機，但如果有什么好的攻擊手段，那么攻擊者絕不會放棄每一個機會。

今年，Techworld與Martin Libicki進行了一次討論，Libicki教授兼研究員是《Atlanticist》一書的作者，也是蘭德公司智庫成員。Libicki解釋說，盡管《Tallinn手冊》為網(wǎng)絡(luò)戰(zhàn)行為一系列的“規(guī)范”制定了寬松的政策框架，而它可能更適用于審查實際領(lǐng)導(dǎo)網(wǎng)絡(luò)戰(zhàn)的國家的行為——美國。

通過震網(wǎng)病毒對伊朗核離心機進行的有組織的攻擊表明，盡管一個國家在技術(shù)上注意到了戰(zhàn)爭國際法，但這些國際法仍然有很多解釋的余地。

曾參加過海軍的Carbon Black安全顧問Rick McElroy解釋說：“現(xiàn)代戰(zhàn)爭已經(jīng)改變了。我們實際是站在國家民族主義者的角度去看問題，這值得我們商討。什么是網(wǎng)絡(luò)武器？網(wǎng)絡(luò)攻擊什么時候會變成涉及生命、基礎(chǔ)設(shè)施和金融的實體攻擊？具體是怎么定義的呢？”

McElroy補充說：“任何現(xiàn)代戰(zhàn)爭的前兆都是網(wǎng)絡(luò)戰(zhàn)?？纯磩e人的‘劇本：美國寫的，其他人都只是采用它，這其中有多少涉及到為了發(fā)起實體攻擊而收集情報？其中又有多少是為了占得其他國家的先機而收集情報？”

國家關(guān)鍵的基礎(chǔ)設(shè)施往往是過時的，而且經(jīng)常資金不足，或者受到系統(tǒng)性問題的困擾（老舊硬件、缺乏人才、長期的設(shè)計缺陷，等等——看看美國核機構(gòu)，他們不得不為450枚核導(dǎo)彈的扳手而求助于聯(lián)邦快遞）。

英國今年將網(wǎng)絡(luò)安全威脅升級為一級威脅。即將于2018年5月實施的NIS條例補充完善了GDPR——專門針對基礎(chǔ)設(shè)施企業(yè)制定了條款，如果他們沒有采取足夠的措施來防止攻擊將會被罰款。

Huntsman首席執(zhí)行官Peter Woollacott說：“事實上，NIS是促使企業(yè)認識到這些危險很重要，他們的計劃應(yīng)付諸于正確的行動。如果連接完全是物理的，那么防止和停止攻擊相對簡單。而在網(wǎng)絡(luò)世界里，這還遠遠不夠?！?/p>

A10 Networks公司的Ronald Sens估計，工業(yè)SCADA系統(tǒng)或者物聯(lián)網(wǎng)連接的關(guān)鍵系統(tǒng)中的漏洞會在“2018年造成物理損害”。

Sens說：“物聯(lián)網(wǎng)設(shè)備和SCADA系統(tǒng)的漏洞會在2018年導(dǎo)致某類物理損害，而不只是數(shù)字損害。希望損害范圍能被限制在僅對控制器組件造成破壞。與震網(wǎng)病毒和Flame目標不同，物聯(lián)網(wǎng)和SCADA設(shè)備采用了常見的開源框架，這些框架在安裝之后很容易被發(fā)現(xiàn)，但卻難以修補，因此成為主要攻擊目標?！眅ndprint

數(shù)據(jù)泄露

幾乎每一星期都有數(shù)據(jù)泄露事件的嚴重受害者，我們預(yù)計2018年這一趨勢也不會改變。

今年一些最大的受害者包括Uber——該公司承認試圖掩蓋一次巨大的泄露事件，還有破紀錄的Equifax數(shù)據(jù)泄漏事件，該事件泄露了美國1.43億客戶的信息。

碎片化

盡管一直在努力圍繞數(shù)據(jù)主權(quán)、所有權(quán)、網(wǎng)絡(luò)戰(zhàn)規(guī)則和開放標準制定統(tǒng)一的國際政策，但也有一些跡象表明，互聯(lián)網(wǎng)“碎片化”式的威脅越來越接近現(xiàn)實了。

對卡巴斯基實驗室殺毒軟件被用于間諜活動的指控導(dǎo)致了公共機構(gòu)卸載該軟件，零售商將該軟件從貨架上撤下，而巴克萊銀行取消了此前免費為客戶提供該軟件的做法。

同樣，Box首席執(zhí)行官Aaron Levie曾警告過會出現(xiàn)碎片化的云——國家政府的利益與使用或者運營公有云的利益是相沖突。例如，AWS最近宣稱與美國專業(yè)間諜機構(gòu)AWS Secret Region達成了一筆巨額交易，而英國《計算機世界》則從中國公司那里聽到，他們更傾向于建立自己的私有云，這樣他們就可以擁有整個堆棧的所有權(quán)。

雖然這本身不是一種安全趨勢，更像是一種政策趨勢，但實際上，隨著國際緊張局勢的升溫，企業(yè)將不得不面對這一趨勢。

組織

這些年來，在經(jīng)濟利益的驅(qū)使下，黑客們變得越來越有組織：就像西方世界很多白領(lǐng)一樣，在網(wǎng)絡(luò)安全法規(guī)寬松的國家里，黑客們也去辦公室上班。

Akamai自稱是僅次于美國國家安全局的全球最大的數(shù)據(jù)整合公司，該公司安全服務(wù)高級總監(jiān)Jay Coley評論說：“2018年，企業(yè)面臨的最大危險是有組織的威脅犯罪行為。2017年，我們看到企業(yè)面對的是犯罪組織，黑客們得到了競爭對手甚至是民族國家的支持。

我們早就懷疑情況會是這樣，但越來越清楚的是，這些攻擊者所表現(xiàn)出的老練和頑固，遠遠超出了很多企業(yè)目前準備抵御的機會主義黑客們。

因為追溯起來太難了，而且大多數(shù)企業(yè)都無法證明攻擊者是誰，隨著時間的推移，黑客會變得更加肆無忌憚?！?/p>

卡巴斯基實驗室發(fā)現(xiàn)了一種網(wǎng)絡(luò)劫持行為，黑客能夠在長達6個小時的時間內(nèi)完全控制一家銀行，這是一項復(fù)雜的操作，攻擊者劫持了銀行的域名——之前他們進行了為期5個月的準備工作。

經(jīng)濟利益無疑是大部分網(wǎng)絡(luò)安全事件最大的動機，聯(lián)邦快遞和利潔時等大牌機構(gòu)的收益都受到了NotPetya加密勒索軟件的影響。據(jù)估計，2016年網(wǎng)絡(luò)犯罪對全球經(jīng)濟的影響高達4500億美元。

遭受WannaCry和NotPetya破壞的企業(yè)比比皆是，盡管這給大大小小的公司敲響了警鐘，但信息安全問題總是令人防不勝防，企業(yè)只能盡力去應(yīng)對。

越來越多的網(wǎng)絡(luò)武器被盜

有一家自稱為“影子經(jīng)紀人”的組織——最初出現(xiàn)在2016年，宣稱對NSA工具的泄露負責(zé)。這些泄露的工具被轉(zhuǎn)而應(yīng)用于WannaCry和NotPetya勒索軟件攻擊，該組織放肆的保證將會有更多的泄露事件發(fā)生，而《紐約時報》則報道說這已經(jīng)從根本上動搖了NSA。

糟糕的政府

特別是英國正在極力抵制普通加密，認為這是對國家安全的威脅。問題似乎在于，所有想抵制加密的政客們都不真正明白什么是加密，也不明白為什么這很重要，而2018年還會這樣。

合規(guī)和認識自我

坦率地說，所有企業(yè)所面臨的最大挑戰(zhàn)是員工缺乏安全方面的培訓(xùn)——白帽測試人員常常探索新目標，并利用人類心理特點來進入服務(wù)器機房或者網(wǎng)絡(luò)物理系統(tǒng)。

讓我們看看Verizon在調(diào)查“支付卡行業(yè)數(shù)據(jù)安全標準”（世界上最嚴格的隱私和安全標準之一）時所描述的現(xiàn)實生活中的噩夢場景。

這方面的例子包括，一個聯(lián)網(wǎng)但卻未受保護的魚缸把數(shù)據(jù)轉(zhuǎn)移到一個未知的地方，一臺打印機泄露了空軍（未指明）的信息，還有托管在墨西哥公寓浴室里危險的服務(wù)器機房。

當(dāng)然，著名的通用數(shù)據(jù)保護條例（GDPR）將于2018年5月生效，這會給各種規(guī)模的企業(yè)帶來合規(guī)難題。

此外，企業(yè)必須迅速報告任何數(shù)據(jù)泄露事件，否則就會面臨巨額罰款——考慮到很多企業(yè)都沒有意識到出現(xiàn)了泄露事件，也不知道泄露的嚴重性，直至安全部門調(diào)查人員偶然發(fā)現(xiàn)問題，告知他們并進行復(fù)雜的內(nèi)部取證調(diào)查，因此，這是很難跨越的障礙。

生物特征識別黑客攻擊

新的iPhone X Face ID功能等生物特征識別技術(shù)會繼續(xù)在消費類技術(shù)中擴大其應(yīng)用，在企業(yè)中也是如此。

金融服務(wù)機構(gòu)已經(jīng)針對客戶試驗了生物特征識別驗證，包括Lloyds和微軟展開合作，通過Windows Hello和Windows 10來探索指紋和人臉識別的應(yīng)用。

英國身份管理提供商Okta的總經(jīng)理Jesper Frederiksen預(yù)測說：“在企業(yè)環(huán)境中，生物特征識別技術(shù)近期還不會完全取代密碼，但作為多重身份驗證模型的一部分，將提供支持安全層?！?/p>

特別是在金融服務(wù)領(lǐng)域，他說，“已經(jīng)對生物特征識別技術(shù)進行了實驗，目的是控制對某些服務(wù)的訪問。各大銀行已經(jīng)把語音和指紋識別等工具作為額外的安全措施，以確保只有正確的一方能夠獲得訪問權(quán)，從而保護自己免受惡劣行為的影響?！?/p>

技能短缺

對安全專家的需求非常大，招聘和就業(yè)聯(lián)合會的一份報告顯示，這將導(dǎo)致薪資的大幅上漲。企業(yè)報告稱，在過去九個月里，有八家公司的安全職位難以填補，大多數(shù)受訪企業(yè)都認為英國這方面的勞動力可能會供不應(yīng)求。幾乎所有招聘人員都認為網(wǎng)絡(luò)安全薪酬會相應(yīng)的飆升。

年初的一項研究表明，技能差距實際上可能會損害英國企業(yè)。招聘網(wǎng)站Indeed的Mariano Mamertino說：“這類問題很快就會大爆發(fā)，如果英國企業(yè)找不到所需的專業(yè)技能來抵御威脅，那么將不可避免地面臨風(fēng)險。”endprint