2020年網絡安全行業趨勢預測
2019 年網絡安全形勢已然更加復雜,網絡攻擊手段更為多樣,數據泄露、勒索軟件、APT 攻擊等安全事件頻發。此外,網絡安全市場也在急劇膨脹,快速發展,安全產品更新快,種類多,數量激增。在 2020 年,網絡威脅隨著云技術、大數據、物聯網、人工智能等技術的發展,也將進化,變得更加復雜、棘手、難以應對。網絡安全投入持續增加,市場規模將進一步擴大,發展潛力也將繼續被激發出來。
在 2020 年,網絡威脅將仍然是安全行業發展的主要驅動力,而國家政策要求是安全市場增長的重要推動力。此外,技術變革將催生安全行業中新的應用場景與市場空間。在威脅、政策、技術的多重驅動下,信息網絡安全行業需求將更加旺盛,發展將更加成熟。
一、2019 年網絡安全事件回顧
(一)俄羅斯 50 多家大型企業遭到未知攻擊者勒索
3 月 2 日,Rostelecom-Solar 的網絡安全專家記錄到針對俄羅斯企業的大規模網絡攻擊。攻擊使用物聯網設備,尤其是路由器,偽裝成歐尚、馬格尼特、斯拉夫尼奧夫等 50 多家知名公司發送釣魚電子郵件,對公司人員進行勒索攻擊。追蹤被黑的網絡設備要比服務器困難得多,且使用物聯網設備的攻擊更簡單,對入侵者來說更安全。
(二)英特爾 CPU 再現高危漏洞,得到官方證實可泄漏私密數據
3 月,美國伍斯特理工學院研究人員在英特爾處理器中發現另外一個被稱作 Spoiler 的高危漏洞,與之前被發現的 Spectre 相似,Spoiler 會泄露用戶的私密數據。雖然 Spoiler 也依賴于預測執行技術,現有封殺 Spectre 漏洞的解決方案對它卻無能為力。無論是對英特爾還是其客戶來說,Spoiler 的存在都不是個好消息。
(三)華碩軟件更新服務器遭黑客劫持 50 萬華碩用戶受影響
4 月,安全研究人員表示,全球最大的計算機制造商之一華碩近 50 萬臺 Windows 計算機在去年遭到了入侵,攻擊者劫持了華碩的實時軟件更新服務器(Live Update),在無人知曉的情況下在客戶的電腦上安裝了惡意后門。這些惡意文件經過了華碩數字證書的合法簽名,所以看起來與該公司的軟件更新并沒有差別。
(四)網絡安全等級保護制度 2.0 系列標準正式發布
5 月 13 日,《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》、《信息安全技術網絡安全等級保護安全設計技術要求》三項國家標準正式發布,并于 2019 年 12 月 1 日正式實施。
(五)CapitalOne 大規模數據泄露
7 月,Capital One 數據事件披露,事件影響超過 1 億的美國人和 600 萬的加拿大人。一項調查顯示,事件背后的黑客嫌疑人是一名前 Amazon Web Services 員工,被指控非法訪問 Capital One 的 AWS 服務器檢索數據以及其他 30 家公司的數據。
(六)委內瑞拉再度因網絡攻擊上演大停電
7 月,委內瑞拉再度因網絡攻擊上演大停電,委內瑞拉的 23 個州中有一半以上受到了停電影響。這是今年 3 月的大規模停電以來,停電首次波及首都加拉加斯。
(七)《兒童個人信息網絡保護規定》正式出臺
8 月 23 日,國家互聯網信息辦公室正式發布《兒童個人信息網絡保護規定》,并于 2019 年 10 月 1 日起施行。這是我國第一部專門針對兒童網絡保護的立法,該規定填補了互聯網時代兒童個人信息保護的法律空白。
(八)油Tube 非法搜集兒童隱私,美國判罰谷歌 1.7 億美元
油Tube 涉嫌違反兒童隱私法,美國聯邦貿易委員會宣布將對谷歌處以 1.7 億美元罰款。這是《兒童在線隱私保護法》出臺以來開出的最大罰單。
(九)隱私安全遭質疑 ZAO 被工信部約談
9 月 3 日,工信部網站發布,對北京陌陌科技有限公司相關負責人進行了問詢約談。ZAO App 一經推出便迅速火爆,但也因為隱私安全問題遭到用戶質疑。其中爭議最大的就是用戶協議中寫到需要使用者同意把肖像權,永久、不可撤銷、免費地給它使用,還能修改,包括它的關聯公司。
(十)印度核電廠疑似遭 APT 組織攻擊
11 月,印度獨立網絡核電站 Kudankulam 遭遇疑似朝鮮 APT 組織 Lazarus 攻擊,印度官方發布聲明承認遭到外部攻擊者滲透,被滲透的是用于管理內部計算機連接互聯網的服務器。這些服務器主要控制部分內部計算機的網絡訪問權限,并且這些服務器與核電站的關鍵設施是隔離的,影響比較低。
(十一)Adobe 泄漏 7 百萬 Creative Cloud 用戶數據
11 月,Adobe 確認有近 700 萬個 Creative Cloud 用戶的資料外泄。問題最初是由安全機構 Comparitech 和安全研究人員 Bob Diachenko 發現,在一個公開的資料庫當中包含了大量 Creative Cloud 用戶的資料,其中包括電郵地址、帳戶建立日期、使用的 Adobe 產品、訂閱狀態、帳戶 ID 和所在地等等。
二、2020 年網絡安全趨勢預測
(一)勒索軟件熱潮不退,仍是網絡安全攻擊的“寵兒”
對于攻擊者而言,利用勒索軟件犯罪風險很小,只有在少數情況下,發起勒索軟件活動的網絡犯罪分子會被繩之以法。然而,其潛在的回報卻很大。在過去的一年中,勒索軟件攻擊案件頻發,有許多受害者屈服于攻擊者的勒索要求,他們通常支付高額贖金以換取其網絡的安全或換回信息數據。數據顯示,勒索軟件今年的攻擊成本超過 100 億美元。
在 2020 年,作為一種有利可圖且相對無風險的網絡犯罪形式,黑客想必不會放棄。并且目標式勒索軟件攻擊將大幅度增加,確保破壞規模并提高贖金,這樣的手法只會有增無減。
(二)數據隱私問題依然熱門,過去揭露的泄露事件只是冰山一角
2019 年網絡安全對于數據的依賴性極強,數據泄露事件仍是人們的核心關注點。數據安全問題逐漸凸顯的另一面是數據的激增。據預測數據顯示,2020 年我國數據總量全球占比將達 20%,成為數據量最大、數據類型最豐富的國家之一。
黑客販賣個人信息、企業數據遭竊取和泄露、網絡運營商收集用戶數據等一系列事件依然在人們視線中活躍。后續引發的網絡釣魚事件在 2020 年會持續增加。據微軟的一項分析發現,網絡釣魚詐騙今年增長了 250%。未來這些技術會變得越來越復雜,這使它們既難以識別,也更成功地實施。隱私和安全已經成為數字時代的新標志,數據安全和隱私將是 2020 年企業面臨的頭等大事。
數據比黃金更有價值,不管是企業負責人還是網絡攻擊者都已察覺。在新的十年開始之初,企業組織將會更加重視數據存儲位置,劃分數據敏感程度以及如何保護。個人的數據隱私保護意識也將會加強。
(三)人工智能技術作為一把“雙刃劍”,將使黑客攻擊技術、手法更加復雜
2019 年,網絡安全行業開始利用 AI 技術開展安全防御工作,探索安全解決方案。但網絡攻擊者隨即跟上了步伐,利用 AI 技術和機器學習研發攻擊工具、惡意程序,以此來繞開和躲避滲透目標系統。
因此,2020 年基于 AI 的惡意軟件防護將變得愈加重要。網絡安全威脅的發展推動我們進入 AI 對抗 AI 的時代。機器學習、自動化、Deepfakes 等都是人工智能技術發展的成果,但是在享受成果的同時,也要防范其中帶來的安全風險。
Sophos CTO Joe Levy 預測,網絡安全行業嘗試并采用機器學習新技術的速度將繼續提高,使系統在保護信息系統及其用戶方面能夠做出半自主甚至全自主的決策。這些新的防御技術至關重要,因為網絡犯罪分子很可能會結合自動生成內容和人工操作來開展有目標的攻擊,從而逃避當前的防御,執行“人腦(濕件)”攻擊。
(四)Deepfakes 技術進一步成熟,相關欺詐案件數量或持續走高
2019 年,AI 換臉是頻頻出現的熱詞。所謂 deepfake,是指使用人工智能技術來制作視頻內容,它可以實現以假亂真的效果,使得人們無法通過肉眼分辨真偽。
從國外的惡搞奧巴馬,到國內的朱茵換臉楊冪、以及 ZAO App 的曇花一現。這項腦洞大開的技術在 2017 年由 Reddit 網站用戶「deepfakes」提出并開源,便在論壇炸了鍋。隨即衍生出 FakeApp 等視頻合成工具和一系列偽造影片。
Deepfake 對女性群體的威脅更大,相關偽造視頻中,有超過 90% 以上涉及到了色情。同時,AI 支持的 Deepfakes 技術能帶來的巨大經濟收益,預計在 2020 年會有更多的人模仿攻擊,更多的基于 Deepfakes 的攻擊可能以很低的成本制造出以假亂真的音頻和視頻,與此相關的欺詐損失將超過 205 億美元。
據 Mitek CTO Stephen Ritter 預測,Deepfakes 對 2020 年選舉也將產生重大影響,因為人們的真實身份變得越來越難以驗證。這項技術將用于生成虛假視頻,污蔑政治候選人說過什么或者做過什么,并且這些視頻近乎可以實時制作。
(五)智能互聯設備數量大幅增加,物聯網安全問題意識加強
2019 年可謂是物聯網發展關鍵的一年,智能聯網設備相較之前大幅增加,技術更加先進,對于人們的生活更加便捷。但是針對物聯網安全的問題也開始困擾著人們。
物聯網的普及使得安全問題迫在眉睫。IoT Analytics 預測,到 2020 年,全球活躍的物聯網設備數量將達到 100 億臺。智能家居、智慧城市、車聯網等,其建設都有賴于物聯網技術的進步。
然而,物聯網安全頻頻見諸報端,比如黑客入侵家用路由器、智能門鈴、汽車或者其他智能設備來監視用戶生活,竊取用戶信息,將用戶的信息數據隱私出售換取實質利益,或者成為進一步犯罪的手段,這些都讓人們對物聯網“又愛又怕”。
在 2020 年,智能聯網設備的供應商會加強安全因素的考量。研發沒有安全問題的聯網產品,增加人們對設備的信任程度,擴大市場推動行業發展。因此,物聯網設備制造商和連接設備的部署者需要制定計劃,升級其提供的功能以確保安全的物聯網系統。
(六)供應鏈攻擊、開源軟件惡意感染繼續增加
據賽門鐵克數據顯示,2019 年,供應鏈攻擊增加了 78%。企業資源集中于特定市場從而將大多數輔助業務流程外包給了熟練的供應商和經驗豐富的第三方,降低了成本,加快了交付速度。大多數人從已知開發人員的官方網站安裝軟件或更新的時候,不會過多思考。因此,在過去幾年,黑客越來越多地利用這種信任,通過源代碼來傳播惡意軟件。
利用用戶對廠商產品的信任,在廠商產品下載安裝或者更新時進行惡意軟件植入進行攻擊。這種攻擊手法不易發現,且潛藏時間長久。IBM 表示,2019 年發現漏洞的平均時間高達 206 天。一般情況下,用戶都不會懷疑受信任的開發人員或供應商,而供應商又可以提供大量的用戶,攻擊者可以以較低的投入,獲得非常高的回報。
(七)云安全事件隨企業上云的普及而增加,云數據存儲與處理面臨考驗
在 2019 年的重大數據泄露中,有很大一部分源于配置不當的云存儲,造成大型科技公司和金融機構的數據泄露。比如 Capital One 數據泄露事件,利用一個配置錯誤的 AWS S3 存儲桶來下載敏感數據,影響了大約 1 億美國人和 600 萬加拿大人。
《福布斯》稱,到 2020 年,企業會將 83% 的工作量轉移到云上。云計算的進步將引發新的網絡信息安全問題,驅動云安全市場的高速增長。網絡技術協同融合意味著安全風險的交織與演變。
DivvyCloud 聯合創始人兼 CTO Chris DeRamus 預測,在 2020 年,企業持續上云,我們將看到大量由于配置錯誤而導致的數據泄露。由于科技更新換代的壓力,開發人員經常以創新的名義繞過安全性,這就容易導致大規模的數據泄露。
(八)5G 普及,移動端將遭遇更大的攻擊風險,為 APT 組織所青睞
抓住 2019 的尾巴,我國正式進入 5G 商用元年。在今年 10 月正式商用 5G。到 11 月,中國 5G 手機銷量超 500 萬部。中國 5G 基站到年底將建成超 13 萬個。據預測,2020 年中國將建設超過 60-80 萬個 5G 宏基站。
來年 5G 的普及也意味著攻擊者將加大了移動惡意軟件攻擊的力度。Mimecast 威脅情報副總裁 Joshua Douglas 預測,在 2020 年,企業專注于簡化終端用戶體驗,創建即時通訊并自動執行日常任務。在 2020 年,我們將看到針對移動平臺的攻擊會有所增加,攻擊者利用新工具的安全隱患進行賬戶訪問并隱藏身份。同時,未來移動設備的數據丟失,將用時更短,數量更大。企業對于移動威脅的檢測和響應投入也將增加,以此完善整體安全策略。
移動端植入已成為很多 APT 團伙的基本操作,移動端的零日漏洞價格也是水漲船高,行情一路看漲。今年 9 月份,零日漏洞交易服務商 Zerodium 發布的數據顯示,Android 零日漏洞的價格首次超過了 iOS。
(九)安全法律法規進一步落地,企業或將面臨合規資源和機制不堪重負
2019 年,等保 2.0、《國家關鍵信息基礎設施安全保護條例》、《兒童個人信息網絡保護規定》等網絡安全相關法規、政策逐漸出臺、落地,推動了整體行業的發展。
在 2020 年,行業相關法律法規將陸續出臺,比如即將生效的《加利福尼亞消費者隱私法》,不斷填補安全行業空白區域。同時,現有的和新出臺的安全法規將進一步落地,加大對不合規企業、過度收集數據企業的懲處力度。企業或將面臨合規資源和機制不堪重負的問題。
(十)威脅情報信息共享重要性提升,或將面臨新挑戰
在 2020 年網絡安全攻防全面升級,而威脅情報共享和有效利用將成為提升整體網絡安全防護效率的重要措施。
2019 年 11 月,國家互聯網信息辦公室會同公安部等有關部門起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》,向社會公開征求意見。威脅情報對于網絡安全防護具有現實價值,且越來越多的企業和機構對此需求迫切。
威脅情報發布標準的落地,由此建立更好的威脅信息共享體系。集體網絡防御和公私協作將進一步加強未來網絡安全防御的信心和能力。如果與行業內的其他公司共享網絡安全方面的信息,他們就可以同歸對比各自的安全策略和實踐方式來找出自身在安全保護方面的短處,并提升安全機制的成熟度。但是對于企業應該共享哪些類型的威脅信息以及分享給誰,這些信任問題將阻礙威脅情報信息共享的發展。
參考來源: