360企業安全研究院發布《新時代下的網絡安全新常態:2018中國網絡安全十大趨勢預測》��,針對2018年中國網絡安全威脅��、技術與應用趨勢做出預測���。這是國內安全廠商首次發布相關預測����。
根據預測�,勒索攻擊��、物聯網安全威脅�、針對關鍵基礎設施的網絡攻擊將是未來一年國內用戶面臨的主要安全威脅���。人工智能�����、身份與訪問管理成為網絡安全領域最受關注的熱門技術�����,未來有望看到更多企業通過人工智能與身份與訪問管理�����,提升政企機構的安全防護���。
此外����,以培養和提升網絡安全實戰能力為目標的攻防演練�、建立重保常態化與應急小時化的安全體系�,以及安全服務也成為未來一年的建設熱點�。
中國網絡安全行業�,不僅面臨著全球網絡空間共同的安全威脅���,還因為不同基礎和發展階段帶來的個性問題挑戰�,以及國家戰略和政策法規下帶來的不同監管與合規需求����。
在當今動態的�����、不對稱的����、復雜的和不確定的網絡安全環境下����,用戶已無法基于傳統的安全防護理念與實踐規劃未來一年的安全工作����,否則如同拿著一張舊地圖在海上航行���,茫然無助����。
為此���,360企業安全研究院邀請了公司內外近50位網絡安全行業專家���,共同對2018年的行業風向進行把握和預測�,在此基礎上形成了《2018年中國網絡安全十大趨勢》��,期望它能夠幫助從事和關心網絡安全行業發展的同仁找準方向����。
1���、 勒索攻擊成為網絡攻擊的一種新常態�����,攻擊方式不斷花樣翻新
勒索軟件是近兩年來影響最大�����、最受關注的網絡安全威脅之一��。攻擊者通過電子郵件��、網絡滲透��、蠕蟲病毒等多種形式�����,向受害者的電腦終端或服務器發起攻擊��,加密系統文件并勒索贖金�����。
從整體態勢來看�,2018年勒索軟件的質量和數量將不斷攀升�����,成為網絡攻擊的一種新常態�。
2017年�����,勒索軟件繼續呈現出全球性蔓延態勢��,攻擊手法和病毒變種進一步多樣化��。特別是2017年5月全球爆發的永恒之藍勒索蠕蟲(WannaCry)和隨后在烏克蘭等地流行的NotPetya病毒��,使人們對于勒索軟件的關注達到了空前的高度����。在全球范圍內���,政府����、教育�、醫院����、能源�、通信����、制造業等眾多關鍵信息基礎設施領域都遭受到了前所未有的重大損失�。
與WannaCry無差別的顯性攻擊相比���,針對中小企業網絡服務器的精準攻擊則是隱性的���,不為多數公眾所知�����,但卻已成為2017年勒索軟件攻擊的另一個重要特點�。統計顯示�����,過去一年國內勒索軟件的攻擊目標中���,至少有15%是明確針對政企機構的�����。
攻擊者的手段也在不斷翻新�����,使用僵尸網絡廣發垃圾郵件傳播只是最初級的方式�,服務器入侵��、掛馬網頁�、漏洞等技術手段現在已經被大量使用�,有組織的攻擊者還會結合已泄漏網絡軍火庫�、內網橫向移動等高級滲透手法�����,對目標機構的IT供應鏈薄弱環節進行針對性攻擊�����,令人防不勝防���。
從攻擊特點來看��,勒索軟件的免殺和自我傳播能力將越來越強���,靜默期會不斷延長�����;從攻擊目標來看�,勒索軟件攻擊的操作系統類型將越來越多����,同時定向攻擊能力也將更加突出��。
此外���,勒索軟件造成的經濟損失會越來越大��。以國內《網絡安全法》��、網絡安全等級保護制度�、歐盟一般數據保護條例為代表的全球各國數據安全保護法規相繼實施后�����,受害者支付贖金的數量也會越來越多�����,但由于各種原因�,通過支付贖金恢復文件的成功率將大幅下降�。
2��、 IPv6�、5G等新技術助推物聯網的發展���,物聯網安全威脅日趨嚴重
由于安全防護薄弱����,物聯網設備長期以來都是黑客肆虐的游樂場�。在過去�����,安防攝像頭���、家用路由器���、網絡打印機等聯網設備因為暴露在互聯網上而被攻擊的案例數不勝數����,攻擊者不需要很高超的技巧�����,只需憑借網上公開的默認弱口令�、黑客工具就可以控制這些設備���。
由于制造商安全能力不足和行業監管缺失�,2018年物聯網設備的安全威脅將愈演愈烈���,對用戶的個人隱私����、資金財產乃至人身安全造成巨大損失�。
2016年10月�����,Mirai僵尸網絡控制數百萬物聯網設備對美國DNS服務商Dyn發起DDoS攻擊��,致使Twitter�����、Amazon���、華爾街日報等數百個著名網站無法訪問�����,大半個美國的網絡服務形同癱瘓��。大眾第一次見識到不受控制的物聯網設備的可怕性�。當時Mirai的主要感染手段還只是弱口令����,它打開的物聯網潘多拉魔盒在2017年繼續發展����,陸續出現HTTP 81�����、IoT_reaper等使用nday甚至1day漏洞感染物聯網設備組建的僵尸網絡�����,攻擊者使用類似手段已經爐火純青����。
過去一年還曝光了大量底層威脅�,例如影響所有博通WiFi芯片的命令執行漏洞Broadpwn�、藍牙蠕蟲級漏洞BlueBorne�、任意終端WiFi流量劫持漏洞KCACK�����,因為涉及面太廣而難以修復�,都將成為以后的“安全債務”���。
我國政府在2017年下半年密集出臺了推進IPv6���、5G���、工業互聯網等多項前沿科技發展的政策�����,將助推物聯網更快的普及����。但其安全威脅也日趨嚴重��,物聯網威脅不止是網絡安全問題�����,還將牽涉到人身安全�,我們亟需可實施的防護解決方案�����。
3�����、針對關鍵基礎設施的網絡攻擊升級�,攻防兩端的對抗將加劇
如果說伊朗核設施被攻擊�、烏克蘭電力設施成為黑客的演武場����,我們還只是作為“故事”隔岸觀火����,那么“永恒之藍”勒索蠕蟲攻擊事件則讓網絡攻擊對關鍵基礎設施的影響“全民可視化”���,加油站無法加油��、公共服務系統無法運行�����、工廠生產系統癱瘓���,直接影響經濟社會平穩運行����。
2018年以破壞和竊取情報為目的的����,針對關鍵基礎設施的攻擊將逐漸升級:1)國家力量和恐怖組織��、敵對勢力推動的�����,以“網絡戰”和“恐怖襲擊”為目的針對關鍵基礎設施的網絡攻擊會增加�;2)攻擊目標從電力�����、交通等“命脈”設施�����,延伸到公共服務系統�����、重要工業企業的生產設施��、互聯網關鍵基礎設施��;3)類似永恒之藍的武器化的攻擊工具會愈演愈烈����,攻擊手段呈現多樣化���,針對性的勒索攻擊風險加劇��,間諜事件增多��,新型惡意軟件和攻擊工具增加����。
而與此同時���,針對關鍵設施的安全防護和安全保障也將成為網絡安全領域的重點方向��,以美國為例���,2017年初�,特朗普總統簽署了《增強聯邦政府網絡與關鍵性基礎設施網絡安全》總統行政令�,4月份美國國防部專門投資7700萬美元建立新的網絡安全計劃�����,專門打擊針對電網設施的黑客攻擊����。9月美國政府還與各電力企業合作建立網絡戰演習�,重點保護電力等基礎設施�����,演習的覆蓋范圍還延伸到了大銀行��、華爾街和電信行業�。
我國相關主管機構也已經組織了多次針對電力����、民航等關鍵基礎設施的攻防演習�����,從已經實施的《網絡安全法》到正在征求意見的《關鍵信息基礎設施保護條例》都將關鍵基礎設施保護上升到了國家戰略層面����,集中力量�、加大投入����、創新技術�、提升能力將成為保障關鍵基礎設施安全的趨勢和方向���。
4���、人工智能成為網絡安全領域的熱點�����,保護人工智能安全和用人工智能技術保護安全兩手都要抓��,兩手都要硬
如果要評選2017年安全領域最受追捧的技術��,人工智能毋庸置疑是其中之一��。網絡安全智庫平臺《安全內參》發布的2017年全球網絡安全投融資事件Top100中���,與人工智能相關的投融資事件超過15起�����,融資額度超過9億美元��,分布在威脅檢測��、終端安全����、云安全等不同領域��。預計2018年人工智能在安全領域的利用將會繼續受到追捧�����。
現在黑客已經開始利用人工智能進行網絡攻擊����,不僅擴大黑客的攻擊面���,也讓黑客擁有更多的攻擊手段����。面對利用人工智能進行的黑客攻擊�,我們的最佳防御策略也是利用人工智能����。網絡安全領域使用人工智能技術是有兩大原因: 一是隨著網絡攻擊增多�����,危害程度上升��,網絡安全專業人才嚴重不足����。二是“0day攻擊”等新型攻擊形式增多��,防范更加困難�。
安全投資人認為����,人工智能將是下一代安全解決方案的核心��。人工智能防御系統能從黑客攻擊事件中���,學會各種攻擊和防御策略����。它能設定正常用戶行為的基準��,然后搜索異常行為����,速度比人類要快得多���。這比維持一支專門處理網絡攻擊的安全團隊要省錢得多���。人工智能也可以用來制定防御策略��。
Gartner研究副總裁Tracy Tsai認為�,到2020年�����,將有40 %的安全廠商會聲稱具備人工智能相關能力���。她認為目前人工智能主要應用在如下領域�����,包括應用程序安全測試����,以減少誤報�;惡意軟件檢測�,用于終端保護�����;漏洞測試目標選擇����;SIEM管理�����;用戶和實體行為分析(UEBA)�; 網絡流量分析等方面�����。
安全專家認為�,傳統安全設備如防火墻����、殺毒��、WAF��、漏洞評估等都以防御為導向�,這樣的模式難以適應云和大數據為代表的新安全時代需求�����,只有通過海量數據深度挖掘與學習����,采用安全智能分析���、識別內部安全威脅�����、身份和訪問管理等方式�����,才能幫企業應對千變萬化的安全威脅��。但在整個網絡安全的領域來說��,人工智能相關技術的應用還是處于比較初級的階段����。
喬治亞大學終身教授��、360 IoT研究院院長李康則提醒人工智能應用帶來的安全風險��。他認為公眾對人工智能的關注�����,尤其是深度學習方面��,缺少對安全的考慮�����,造成人工智能的安全盲點���。
實際上����,隨著一批深度學習應用逐漸開始變成現實��,安全問題也漸漸顯現出來��。李康認為��,人工智能應用面臨來自多個方面的威脅:包括深度學習框架中的軟件實現漏洞�����、對抗機器學習的惡意樣本生成�����、訓練數據的污染等等����。這些威脅可能導致人工智能所驅動的識別系統出現混亂���,形成漏判或者誤判�����,甚至導致系統崩潰或被劫持���,并可以使智能設備變成僵尸攻擊工具��。
5��、以培養和提升網絡安全實戰能力為目標的攻防演練��、攻防比賽和網絡安全學院成為行業熱點
如同軍事對抗���,“網絡安全的本質在對抗��,對抗的本質在攻防兩端能力較量”����,較量就要真刀真槍�,實戰演練是檢驗對抗能力的最有效的手段����。無論是檢驗和提高整體防御能力和水平����,還是培養人才��,基于實景對抗的攻防演練����、攻防比賽都將繼續成為2018年的行業熱點和發展方向�����。
美國五角大樓是攻防演練的忠實擁躉��,從“黑掉國防部”�、“黑掉陸軍”到“黑掉空軍”����,演練的層次��、深度和效果越來越深入��,引發了全球網絡安全行業“跟隨效應”���。
2017年開始���,國內攻防演練和攻防比賽的熱度開始明顯升溫�,據不完全統計����,全年國內各類不同規模的攻防演練超過了100場����,各類網絡安全攻防比賽的總數近200場����,參與比賽人次近60000人�。與前幾年相比�,攻防演練迭代升級趨勢明顯����,1)演練的針對性�����、演練規模和演練的實戰性都有明顯提升�����,尤其是針對特定目標的深度攻防��,以驗證防御系統的效果���,發現潛在的威脅和漏洞��。2)演練組織者有國家���、行業��、地區�、銀行����、電力等關鍵信息基礎設施機構和企業����,甚至一些電商����、互聯網企業�、家電企業也開始組織“藍軍”����,實施攻防演練���。
2018年�����,攻防演練和攻防會繼續成為熱點�,一位專家在貴陽市攻防演練中的一段話可以成為2018年攻防演練的共同趨勢和方向:攻防演練將進一步調整演練方法和演練方式�,擴大范圍�,增強實效�����;在實戰中選好盾�、用好矛����,分層分類分級解決安全問題���,推進演練模式多樣化����;時間上從年度演練或不定期演練向全年常態化延伸����;模式上從比賽式向研究式解決問題延伸��;方法上從背靠背向面對面延伸��,剛柔相濟�、重點幫扶��,在解決軍民融合問題上尋求更大的突破和亮點�。
注重實戰型網絡安全人才培養����,采用校企合作模式的網絡空間學院也將在2018年繼續成為熱點��,永恒之藍事件后�����,整個行業對于實戰型人才的極度缺乏引發了這種校企聯合培養模式的投資熱潮��,360等網絡安全企業都推出了包括課程體系���、實訓環境���、考試和認證在內的完整的體系系統����,可以跟高校�、職校無縫對接��,快速完成實戰型人才培養����。
6����、云����、物聯網與數字化推動身份認證技術變革�,身份與訪問管理(IAM)是一個比較成熟安全領域�����,但這不意味著沒有變化
2017年的Verizon數據泄露報告顯示�����,81%的數據泄露都與身份被竊取有關系�?����?梢哉f��,隨著越來越多用戶訪問遠程或者云端資源���,身份已經成為當前最有重要性的攻擊對象�����。
此外�����,云服務���、設備��、傳統軟件的結合呈現了越來越多樣化的趨勢���,如何安全地管理身份驗證已經成為了一大難題�,即便是大公司也需要幫助�。這些趨勢推動業界對身份管理領域的投資和重視����。
在2017年��,身份管理(身份與訪問管理)領域受到追捧�����,發生11筆以上的投融資�,包括數筆規模數億美元的并購與上市融資�,以及幾筆數千萬美元的投資事件����。
根據《安全內參》統計�����,該領域的重大投融資事件包括SAP 3.5億美元收購Gigya����、金雅拓完成收購3M身份管理業務���、Okta公司與SailPoint上市融資2.4億美元�����。此外���,ForgeRock融資 8800萬美元����,國內芯盾時代獲得近億元人民幣投資�����。
預計全球的IAM市場預計將出現13.37%的年復合增長率��,預計市場規模將從2016年81.58億美元增至2022年的173.17億美元��。
IDC認為�����,兩大因素推動身份與訪問管理投資�����,一是提升身份與訪問安全����,以及改善內部威脅的能力����;此外�����,簡化身份與訪問管理也是很多機構的訴求��。
隨著企業往自身內部網絡和基于云的網絡中添加成千上萬的新設備�,IAM技術將面臨不得不支持數百萬臺設備(及用戶)的需求��。
目前��,IAM領域的發展���,走向云端成為首選�,IAM作為服務(IDaaS)成為潮流�。選擇云端IAM的原因是可靠性��、靈活性和運營成本的大幅降低�����。專家認為�����,目前云端與本地的IAM已經差別不大����,甚至具有更高的可靠性和可擴展性�。IDaaS市場預計可以出現25%的增長���。
對于IAM產品來說�����,未來需要在業務部門的便捷和安全部門的安全控制之間取得平衡���。目前傳統的IAM方案依然根據用戶ID來授予訪問權限�,但隨著社交媒體���、大數據���、BYOD以及物聯網的普及��,用戶在保留ID的同時�,會根據其與周圍的交互情況��,賦予信息訪問權限��。此外����,由于攻擊容易復雜�,現在正在普及的雙因素驗證仍略顯不足�����,增加生物識別等新的驗證機制�。
7��、網絡安全新常態推動政企機構建立重保常態化�����,應急小時化的安全體系
2017年5月的永恒之藍勒索蠕蟲事件和《網絡安全法》6月1日的正式實施����,對于網絡安全行業是一個分水嶺��,廣大的政企機構的攻防態勢和網絡安全監管形勢發生了根本變化����,我們稱之為網絡安全的新常態��。2018年���,網絡安全將全面進入這種新常態���,政企機構既面臨攻擊復雜化���、漏洞產業化���、軍火民用化等日益升級的外部安全威脅�,又要面對來自安全法制化���、重保常態化����、應急小時化等監管壓力�����。
“永恒之藍”事件的爆發是對重大安全事件應急響應的一次考驗�����,它留給響應處置的時間只有24小時�,事件處置中的時間頻度均是以“小時”為單位的�。類似永恒之藍等大型安全事件一旦發生���,要求政企機構迅速做出響應和應急��,國家監管力度也將會越來越強�����。
面對這樣的新常態�����,在過去二三十年中建立的網絡安全體系已經不能更好的應對攻防形式的變化���,傳統完全依賴安全設備和技術的嚴防死守無法應對國家背景的高級威脅��,防護重點需要過渡到加強檢測和響應�,除了頂層設計����,在技戰術上也要進行及時的轉變����,堅不可摧��、嚴防死守的‘馬奇諾防線’是不存在的��,未來敵方利用的不少漏洞可能是未知的�,攻擊方式也可能僅出現一次����,在這種情況下���,不能期望在對方攻進來之前就可以發現和攔截阻斷��。因此�,建立起重保常態化���、應急小時化的新一代安全體系是政企機構應對網絡安全新常態的有力補充���。
8��、安全實施演變成安全能力交付���,政企機構從購買產品到購買服務�,安全服務化將快速成長
安全服務化是一個近幾年來早已經出現的概念����,不少安全機構和企業也致力于推動這一趨勢的發展�。然而�,就近幾年來的網絡安全市場來說�,更多的政企用戶更傾向于購買安全設備��,把硬件盒子放在企業�,能夠讓人更放心�����。
而隨著網絡安全威脅形勢的不斷變化�����,以及越來越嚴苛的網絡安全監管環境����,政企用戶對于安全的需求在不斷增強��,他們的安全需求從基本合規逐步轉向真正的安全防護需求��。從2017年已經出現的幾起政企服務案例來看�,已經有政企客戶在網絡安全采購中從購買產品轉到了購買服務���,在與安全廠商簽定的網絡安全合同中安全服務成為了最主要內容����,而安全的軟硬件產品則成為了配合選項��。
一方面是安全防御技術不斷創新�,大數據安全���、威脅情報�����、機器學習����、云安全被越來越多的應用于政企用戶的安全防護體系中��,新的技術�、新的知識對于企業現有的安全管理人員來說是一種挑戰�����;另一方面�,在面對越來越多的高級威脅�、重大安全事件中����,政企用戶自身缺少專業的安全人才來更及時��、有效的應對�。
2018年��,政企用戶在網絡安全方面的支出將進一步增加�����,以服務的形式購買安全能力����、以云的方式交付安全能力將成為趨勢�。Gartner認為��,“安全服務特別是IT外包�����、咨詢與實施部署服務將成為增長速度最快的細分領域��。不過在另一方面���,硬件支持服務增長速度緩慢��,這主要是由于虛擬設備��、公有云以及安全解決方案的各類軟件即服務(簡稱SaaS)版本持續普及給其帶來巨大沖擊�����。這意味著客戶對于附加硬件支持的整體需求將不斷下降�����。”
9����、隱私保護從爭議話題開始邁向通過法律和技術方案的務實推進
隨著我國信息化建設的不斷推進和互聯網應用的日趨普及��,在推動社會發展和技術變革的同時�,也為企業和個人信息保護帶來了新的挑戰����。個人信息在被各類主體挖掘和利用的同時���,因個人信息泄露所引發的侵權�����、欺詐等信息犯罪行為日益嚴重�,已為全社會造成了巨大損失�,隱私保護�����、個人信息保護已經成為爭議的熱點話題����。
為應對云計算����、大數據��、移動互聯網及跨境數據處理等應用場景所帶來的新挑戰���,2016 年歐盟通過了新的數據保護法案《一般數據保護條例》(General DataProtection Regulation��,GDPR)并將于2018 年5月生效��。GDPR對公司總部位于歐盟國家的企業��,以及與歐盟公民相關并擁有公民個人數據的全球企業同樣有效����。Gartner預測到2018年�,超過50%的公司將受到GDPR影響��,且將會制造了新一輪熱點驅動2018年數據安全的市場投入增加65%��。
目前我國沒有統一的個人信息保護法��,雖然《網絡安全法》作為我國網絡領域的基礎性法律將個人信息保護列入其中�,既是出于國家網絡空間主權和網絡安全考慮�,也是對當前個人網絡信息安全嚴峻現實的直接回應��,但遠不能全方位地保護個人信息安全��,也存在個人信息保護的法律漏洞�����。但是通過“徐玉玉案”等一系列案件給社會帶來的不良影響���,使人們充分意識到了個人信息泄露和濫用所帶來的嚴重社會危害�����,同時也催生個人信息保護立法落地���。
10�、數據成為數字化轉型時代的“石油”��,數據安全保衛戰將全面打響
市場研究公司IDC預測全球數字化轉型技術2018年的支出將在2017年1.1萬億美元的基礎上增加16.8%����,達到近1.3萬億美元�。數字化轉型加速了互聯網����、云計算�����、大數據�、物聯網����、人工智能等技術在整個國家和社會的應用����,也由此帶來了國家經濟社會運行和發展對于數據的依賴��,數據由此成為數字化轉型時代石油一樣的戰略型資源�����。
對于數據的覬覦成為網絡攻擊的重要目標之一���,這也是2016年以來勒索病毒爆發式增長的原因�。對2017年全球發生的近300起重大安全事件分析發現�,其中75%的事件與數據泄露�����、數據竊取和數據勒索有關��,而且有趣的是����,數據泄露越來越豐富�,我們能想象到或者接觸到的數據都泄露了����。
根據Verizon數據泄露調查報告,75%的數據泄露是外部人所為�����,也就是各種網絡攻擊造成的�,而其他25%是由內部威脅造成的��,所以數據安全面臨內憂外患��。我們近期對近50位國內部委和重要行業網信負責人的調研發現��,數據安全是他們最頭痛的事�����,也是2018年要重點做好的事情��,尤其是一些關系國家安全����、經濟發展和社會穩定的關鍵機構和命脈企業����,把數據管好�、保護好成為網絡安全工作的第一要務�����。
《網絡安全法》2017年6月1日正式實施依賴���,已經發生了多起企業�����、機構和平臺由于數據保護不利或者因數據保護相關法規執行不到位被處罰的案例�。12月8日在中共中央政治局實施國家大數據戰略進行第二次集體學習中��,習近平總書記強調���,要切實保障國家數據安全��。要加強關鍵信息基礎設施安全保護�����,強化國家關鍵數據資源保護能力�����,增強數據安全預警和溯源能力���?���?梢灶A見��,在業務需求和監管雙重壓力下�,2018年����,數據安全保衛戰將在網絡安全領域全面打響����。(來源:安徽省立威網安科技有限公司 作者:360企業安全)
