迈克菲实验室:2018五大网络安全威胁

2017-12-18  本文已影响29人  ServiceHot

我们身处在一个网络安全高度动荡的时代,每天都有新的设备,新的危险,新的威胁出现。在这份报告中,迈克菲实验室的思想领导者和CTO给出了他们的看法,包括机器学习,威胁软件,serverless app和隐私问题。

“迈克菲实验室2018安全威胁趋势预测报告”预测了2018的五大网络安全威胁:

1、机器学习加剧攻防两方的对抗

新网络威胁的快速发展和巨大危害需要防守方能以机器速度检测到新的威胁,这就提高了机器学习作为一个有用的安全组件的重要性。但是,机器于任何人都有效,这就加剧了攻防两方在机器支持行为上的竞赛。人机结合有很大的潜力能将这种优势转到防守方,而我们接下来几年工作就是实现这个目标。为达到此目标,我们要保护机器检测模型和矫正模型不崩溃,并持续保持我们的防御能力高于敌手的攻击能力。

2、威胁软件瞄准新目标,新对象

在供应商防御,用户教育和企业策略的攻势下,传统勒索软件的利润应该会下降。攻击者会转向不那么传统,但是更高利润的勒索软件目标,包括高净产值个人(high net-worth individual),连接的设备,和企业。从传统的目标转向新目标,意味着勒索软件不仅会敲诈个人还会造成网络的破坏和机构的瓦解。敌手想要造成更大危害、崩溃和更大财政影响的驱动力不仅会触发“企业模式”网络犯罪的新变体,还会造成网络不安全市场的巨大扩张。

3、Serverless App:于敌于友都是个新机会

Serverless app可以节省时间减少开销,但是它也会增大攻击面,因为引入了权限提升、应用程序间相互依赖、和易受攻击的网络数据传输。Serverless app能提供更大粒度的功能,例如为服务更快计费。但是他们很容易受到来自利用了权限提升和应用程序间依赖的攻击。还有,网络中传输的数据也很容易受到攻击。功能开发和使用过程中必须包含必需的安全处理过程,还有网络通信需要VPN或加密算法正确保护。

4、当家变成工作的地方

当你的家里充满了各种连接网络的设备,公司就有很多理由要去观察你在家里做了什么,那看到的肯定比你想要让它看到的更多。2018年,迈克菲预计会出现更多的案例,公司使用新途径获取职员工作数据的案例。他们会把被抓到时所交的罚金当作是运营成本,并改变你的产品或服务的期限和条件以掩盖他们的过失或责任。你很难从在这些情况下保护自己,而且明年应该会暴露出很多企业的不法行为。

5、在小孩的数字背包里

可能在这个不断改变的世界中最容易受到伤害的就是我们的孩子了。尽管他们面临着一个充满了各种小玩意、服务和体验的美好未来,他们也面临着隐私被侵犯的危险。我们需要告诉他们如何保护好自己的数字背包,以便他们能好好享受这个未来。世界正变得越来越公开,虽然我们中的很多人觉得还ok,但在网上不负责的发声,或者欠妥的行为所带来的后果,会导致我们未来些许年的生活翻天覆地。

机器学习加剧攻防两方的对抗

攻防两方都想在AI创新上超越对方

人机结合正逐渐变成网络安全,提高人类判断和以机器速度和模式识别做决策中不可缺少的一部分。机器学习在安全方面做出了重大贡献,比如帮忙检测和修补漏洞,识别可疑行为和抵御零日攻击。

下一年,我们预测对抗加剧。敌手会更多的利用机器学习发动攻击,结合机器学习和人工只能进行实验,并加大努力去发现并毁坏防守方所使用的机器学习模型。我们预计在明年的某个时候,研究人员在逆向某个攻击会显示它是由某些机器学习模式驱动的。我们已经发现了与之前模式都不同的,用来查找漏洞的黑盒攻击,这种攻击很难被检测到了。攻击者会增大这些工具的使用率,并使用新的途径和他们的攻击方法来融合它们。机器学习能够提高他们进行社会工程学攻击的效率——让钓鱼攻击更难被检测到——因为机器学习能收集和综合的数据比人类收集到的要多得多。或者提高攻击者使用不断增长的电子设备中弱的或易被盗凭据的效率。或者帮助攻击者扫描漏洞,推动攻击的速度并缩短发现漏洞利用的时间。

每当防守方想到一些新的方案,攻击方都会尽可能地学习。多年来他们一直这样,例如在恶意软件签名和信誉系统(reputation system)中他们就是如此,而且我们猜测他们会在机器学习上也这样。这个过程包括在外部探测以了解模型的概况,阅读公开的研究报告和公共领域材料(public domain material),或者尝试利用内部人员。他们的目标是逃逸或下毒。一旦攻击者认为他们受某一个模型消遣,他们会想办法绕过它,或者毁坏那个模型以使他们的恶意软件能通过或者没有谁可以通过,那么这个模型就没有用了。

防守方这边,我们也会结合机器学习,AI,博弈论对我们的软件和我们所保护的系统进行漏洞检测,并在犯罪份子能够利用之前堵上这些漏洞。把这个看作是渗透测试的下一步,使用机器的强大功能和独特见解来挖掘漏洞和其他可利用的弱点。

因为敌手会攻击模型,防守方需要在端点、云端、数据中心响应模型的每一层——独立于操作系统。每个模型要处理不同的输入,而且是由不同的数据集所训练,提供部分相同的保护机制。讲到数据,在创建机器学习模型时最大的挑战就是收集相关并且能代表快速改变的恶意软件运行环境的数据。我们期望在接下来的几年看到在这个领域的更大的进步,因为研究人员从数据集或在旧的或坏的数据中吸取到的经验,可以用来提升训练模型和敏感测试。

机器的性能正在提升。它们为给他们投喂数据的人服务。我们所要做的就是,比攻击者更快提高机器的能力,并且保护我们的模型不被发现和损坏。共同合作,人机结合显示了其在将优势转回到防守方这方面上的巨大潜力。

勒索软件转向新目标,新对象

从传统的转向新目标,技术,战略和企业模式

迈克菲看到了勒索软件在性质和应用上的进化,而且可以预见这种趋势在2018年及以后会继续。

关于传统勒索软件的好消息。迈克菲实验室发现勒索软件的总量在过去四个季度增长了56%,但是来自迈克菲 Advanced Thread Research的证据显示,勒索软件的付款金额在过去一年已经下降了。

我们的研究人员断言这个趋势暗示了在过去这12个月中所取得更高层次的成功,这种成功有赖于系统备份能力的提升、免费的解密工具、更高的用户和团队警觉,以及企业联盟诸如NoMoreRansom.org和网络威胁联盟(the Cyber Thread Alliance)的合作。

网络犯罪如何适应这种情况。这些成功迫使攻击者转向高价值的勒索软件目标,例如有能力支付高价的受害者,和缺乏相应的经销商、企业和教育行为的新设备。

把高净产值受害者作为目标将持续维持一种更个人化的攻击趋势。这种攻击更熟练的使用社会工程学技术通过发送钓鱼信息散播勒索软件。这些目标将在他们的高价值终端,例如,他们那越来越贵的个人设备,包括最新一代的智能手机上受到攻击。虽然云备份让他们相对来说不那么容易受到传统勒索软件的攻击。但是,迈克菲预测,攻击者会尝试着让这些手机变“砖”,除非交赎金,不然设备将无法使用。

迈克菲相信,从传统勒索软件到现在的这种转变,可以由整个勒索软件家族数量的下降反映出来。因为犯罪分子转向了更少数的高价值技术和战略,更有技术的经销商,和更专业、更有能力以勒索软件为服务(ransomware-as-a-service)的提供商。

那些欠成熟,并广为人知,可预测,一对多的技术、战略和提供商很难从投资商那里拿到钱,即使是最慷慨的那一个也不会给他们钱。

如若某个广为人知的勒索软件家族能存活下来并枝繁叶茂的话,迈克菲相信他们会做如下举动:利用可信服务提供商的更稳定、更成熟的后端来使自己继续站稳脚跟,正如目前的Locky家族那样。

数字对现实的影响。每年,我们都可以从运输、水和能源等工业系统的安全分支中读到关于我们的现实安全的威胁预测。这些威胁,来自正在暴增的消费者设备,从汽车到咖啡机。一直以来,我们也对这种威胁置之一笑。

迈克菲拒绝人云亦云,不像那些网络安全经销商那样说危险埋伏在您家里的真空吸尘器里。但是,我们的研究人员发现,电子设备正逐步影响着现实世界。网络犯罪分子有可能将勒索软件部署在给高价值个人或组织提供高价值服务过功能的联网设备上。

相比于控制在盘山公路上行驶的老奶奶的汽车刹车,我们的研究人员相信,犯罪分子更可能,也更有利可图地将勒索软件部署在公司高层的车上,这样可以阻止他们开车上班。我们也相信,比起将勒索软件放在数万家的咖啡机上,网络犯罪分子更可能也更有利可图地将其部署在有钱人家的冬日自动调温器上。

用这些精心部署的攻击,只为利益而不是造成致命伤害,犯罪分子可以收获更大的利润。

除了破坏的威胁。WannaCry和NotPetya预示着勒索软件使用新方法的趋势。为了追击新目标,不像传统勒索软件那样敲诈,而是更直接的毁坏系统。

WannaCry和NotPetya之战很快让很多系统都受到勒索软件感染,但是没有赎金或者解密能力就无法解开受感染的系统。尽管还无法知道确切的目标。迈克菲认为攻击者会直接破坏网络,或者干扰IT安全团队保证自己不会被从其他攻击中识别出来,跟用来干扰其他攻击的ddos攻击很像。他们还可能提供poc,以证明其强大的破坏力,意欲在将来对大公司进行大规模的勒索。

迈克菲预计在2018年会看到WannaCry和NotPetya风格的勒索软件。以勒索软件为服务的提供商的存在使这种攻击在国与国之间、公司与公司之间、非政府组织之间成为可能,它们用勒索软件使对方系统瘫痪,就好像当初NotPetya攻击者全球封锁的IT系统那样。我们还预测,故意破坏的攻击也会增多,不论是出于恶意的竞争者或是犯罪分子想要在网络环境模仿黑手党保护风格。

虽然勒索软件的强化一开始似乎可以使得有关技术和战略思想的定义得到延伸,想想你所在的机构的动机吧,只是为了避免染上WannaCry或者NotPetya病毒(而增强安全防护),还是说和这些快速传播的类蠕虫病毒做较量,这些病毒声称能损坏和彻底破坏文件,但只是一份赎金就可以停止这一切破坏。

当然,这个事情提出了2017年最大的,最不可避免的勒索软件问题:WannaCry和NotPetya等勒索软件真的没有达到他们谋取高额赎金的目标吗?或者,已经在这场战役中完胜?

最后,迈克菲预测,勒索软件攻击本质和目标的改变和他们潜在的对现实财政的影响,会给保险公司带来扩大数字产品的机遇,也就是勒索软件保险。

Serverless App:于敌于友都是个新机会

Serverless app试图与某一容器或虚拟机的安全性争锋

“Serverless(无服务)”app,虚拟计算最新应用,提供了新一等级的计算功能。一些提供商最近将计费单位减至秒,这将对其发展带来巨大影响。针对函数(functiona)以秒计费,而不是像容器或虚拟机需要数分钟或数小时,对一些运算来说可减少10倍的花费。

但是,这些函数调用的安全性如何呢?它们易受到传统方式的攻击,例如权限提升和应用间相互依赖,也可能受到新形式的攻击,例如流量传输和新增的供给面。

从传统漏洞开始。可快速实现和迅速部署的Serverless app,可能会使用不适当的权限等级,这样就使得该环境易受到权限提升攻击。同样的,其部署速度之快,会导致函数的实现需要外部仓库的包,这个包不受组织控制,也不能得到正确的评估。

还有其他的危险。通过查看URL,我们可以知道请求(request)是不是要去到某个serverless环境。那这就会导致,攻击者有可能从外部毁坏或者终止该设施,影响大多数组织。

另一个危险是,函数调用中的数据。因为数据并不是在运行该函数的服务器上,需要通过网络传输,那么就存在受到拦截或者操控的风险。

我们预测,serverless app的大幅度增长,会导致攻击面也同样增多。更多函数,有一个或多个提供商传输,意味着攻击者有更多的领域可以利用或破坏。要确保你的函数的开发和部署过程包含必需的安全步骤,以及传输由VPN和加密算法正确保护。

当家变成工作的地方

缺少控制,你可能需要向企业营销人员交出你的隐私

企业营销人员有很大的动力去观察并了解到家庭联网设备拥有者的购买需求和偏好。联网设备已经在用户不知情的情况下传输了大量的信息。用户很少阅读隐私条例,或者说知道隐私条例的存在。企业很喜欢在设备和服务部署好后频繁地去改变这些条例,以获取更多信息并变现。

2018年,家庭联网设备的厂商和服务提供商会通过收集我们更多的个人信息——不管我们同意或不同意——以打破窄小的操作边界,因为我们把家变成了工作的地方。

有这样的动机,设备厂商又已具备这样的技术能力,公司可以给这些设备打个折,以换取监视消费者在个人层面上的行动的权利。

住宿、设备和app很容易加个监控器,并且其控制能力足以通知公司合作伙伴家庭设备的状态,最后用升级和置换信息轰炸消费者。

小孩的玩具已经有可能在监视他们的行为,并且向他们推荐新玩具和新游戏,包括对品牌内容订阅和在线教育项目的升级。

汽车厂商和他们的服务中心也能够知道某一辆车的位置,与车主行程表和个人助手(personal assistant)一道管理和帮助定制其上下班路程。根据车主的偏好以及所提供的最喜欢的食物和饮料牌子的信息,咖啡、食物和商场停车场的信息将自动整合进他们的行程表中。

不管在你看来这是消费者和商家的乌托邦,或是隐私拥护者的反乌托邦噩梦,这些场景将逐步变成现实。

收集广大用户的数据,这一情况比很多人知道的要严重。

肯定有关于其合理性的争论,就是消费者已经同意了收集的收集,但是很多时候我们根本不会去读那些条约,而且有些企业会在之后更改这些条约或者做出超出他们承诺的范围。

近些年我们已经看到过太多公司有不法行为的例子了。一个手电筒app开发者的同意条例不会说这个app会收集地理位置数据。三年前,一个视频游戏硬件公司推送了一个没有拒绝选项的更新:用户要么更新要么停止使用他们已经购买的产品。在很多条例中,用户“同意”该公司在将来对该项条例的所有改变:“继续使用服务,意味着你也同意将来条款可以更改。”

六月的时候,美国联邦调查局(FBI)提醒家长要警惕小孩的联网玩具能够收集小孩的个人信息。

企业依然想要知道消费者是在事关家庭隐私方面是如何消费的,所以必然需要收集更多的用户资料,这部分的资料将超出用户愿意展示出来的。迈克菲断言,会很很多公司会破坏隐私条例,交罚金,然后接着继续收集用户资料,并认为这样做是有利的。但是近期FBI对于小孩玩具的警告也暗示着,这种操作是受监管的,并且可能会引起法律犯罪的后果。

明年会有新的案例证明企业有机会接触家庭联网设备有多好,有多不好。

感谢电子前线基金会(Electronic Frontier Foundation)对本文的帮助。

在小孩的数字书包里

保护您的孩子不被企业滥用他们电子设备里的内容

似乎今日我们所使用的每个产品、服务或者体验都会产生一些数字记录,不管我们喜欢或者不喜欢。所以,我们逐渐容忍了这种行为并学会了如何管理我们的数字生活,但是,我们的孩子呢?雇主所做的雇佣决定受搜索结果影响。那么,这是否会延伸到学校,医疗卫生和政府?孩子会不会因为看电视的时间过长而被拒入学,或者发现因为七岁那年的电视事件而无法参与竞选?

网上信息,或者数字背包,可以是好的,坏的,或者不好不坏。当我们的孩子开始他们人生中的数字之旅的时候,他们要打包些什么?可能,大部分是无害且琐碎的,一些是正面的,可以在旅程中帮到他们,一些是是负面的,会加重背包重量的。不幸的是,我们预测到,当我们的孩子长大之后会受这些负面的数字背包所累,即使有些是他们不经意间产生的。

作为家长,我们的任务就是做孩子在这个世界的指南针,在这个世界里,他们的每一步都会被记录。还记得2012年那个女孩的故事吗?她收到商店的一张怀孕相关用品的优惠卷,在此之前她并不知道她已经怀孕了。

为了帮助我们的孩子,我们要知道哪一种数字记录会被捕获并保存。一般是三种:显式的,隐式的,和不经意间产生的。

显式内容就是所有在你点击“我同意”按钮之后之后产生的那些内容。因为近期的破坏事件,似乎网上存储的任何信息在某一时刻都有可能被黑,那为什么不可以假设从一开始就被黑了呢?如果他们愿意,某个潜在的雇主就能够找到你所产生的内容,你的社交习惯,以及其他的数据资料。这是家长(至少在开始)有比较多控制权和影响力的领域,可以教导孩子们并以身作则给他们做个好榜样。你十岁的时候有没有买过M级游戏,或者你年少时发的视频会不会被泄漏?悲伤的是,在网上的一切行为都不是隐私,都会留下痕迹。

隐式内容就是你在公共场所的所言所行,这些行为言论都会被拍下来,录下来,或者以别的形式记录在册。这些言行举止,从傻傻的行为到吸食或引用毒品,也包括人们在公共场合或网上所说的,所发的,等等。我们不会认为(小孩做的)孩子气的举动在将来会被别人用来恶意中伤,所以我们可以让我们的孩子继续做个小孩。

不经意间产生的内容属危险区域。这些内容一般是隐私的,或者我们不愿意被捕捉到的。不幸的,不经意间产生的内容变得越来越普遍了,因为各类企业(有意或无意的)歪曲和破坏他们的隐私条例,以获取更多关于我们的信息。不论是玩具,平板,电视,家用音箱,或一些其它设备,它们都可以捕获您的孩子的言行并将这些信息送往云端。这是数字之旅最大的挑战,也是我们需警惕的。留心你所买并安装的设备,关闭不必要的选项,修改默认密码,以使其更不那么容易被黑。

我们的孩子面临着一个令人着迷的未来,充满了各种奇妙的小玩意儿,支持性服务和诱人的体验。我们在家里教会他们打包自己的数字背包以便他们可以享受这个世界。

就企业而言,迈克菲预测2018五月完成的欧盟通用数据保护条例(General Data Protection Regulation,GDPR)将会在接下来几年中在处理消费者数据和用户生成数据方面起重要作用。这个新的监管制度将会影响要么是在欧盟国家有生意的公司,要么是处理欧盟居民数据的公司,这就意味着,世界各国的公司将被迫调整他们处理、存储和保护用户个人数据的方式。有远见的公司可以利用这个去给用户提供服务以使他们在使用消费者设备,内容生成app平台和基于云的服务时能从中受益。

在这一点上,2018年会成为值得记住的一年,在这一年决定了用户是否有权不被记录。

更多关于数据保护信息,请移步迈克菲GDPR网。

更多关于如何在用户生成内容方面和其他数字威胁方面保护我们的孩子,请查看迈克菲关于家长指南的博客。

此报告由迈克菲实验室成员及其CTO编写;

上一篇下一篇

猜你喜欢

热点阅读