2017主要威脅活動:基於物聯網、智能化惡意軟件和勒索軟件的攻擊

2016-12-13

前不久，犯罪分子劫持了物聯網設備，並用來對某DNS解析服務基礎設施發起大規模DDoS攻擊，使得大部分互聯網服務停止運行；犯罪分子試圖運用竊取的文檔影響美國總統大選；勒索軟件活動開始變得猖狂，包括針對高價值目標的勒索案例。這些勒索活動和類似攻擊對受害者產生了極大影響。

通過研究過去一年中網絡威脅的變化，一些趨勢變得明朗：

企業和個人數字化足跡的急劇擴大，增加了潛在受攻擊面。一切皆可成為目標，任何信息均可能被用於攻擊的突破口。威脅正變得日益智能化，可獨立運行，增加了檢測難度。我們看到兩種威脅趨勢：針對成羣小型目標進行自動攻擊，以及瞄準大型目標進行的針對性攻擊。這兩種趨勢的混合程度越來越高，第一階段使用自動攻擊，第二階段採用針對性攻擊。

1.物聯網設備製造商將需要為安全漏洞負責

我們正處於圍繞物聯網的“完美風暴”中：預計聯網設備將在2020年增長到200億以上的數量級，這是一個巨大的M2M（機器對機器）攻擊面；這些設備使用高度脆弱的代碼，由不同的供應商提供，幾乎沒有任何安全戰略。當然，這些設備大部分是無腦設備，意味着我們不能添加安全客户端或有效更新其軟件或固件。

現在，攻擊者可以運用很多手段成功利用已知證書，比如默認用户名和密碼，或者硬編碼後門。此外，物聯網設備中還有一些幾乎“唾手可得”的漏洞，包括編碼錯誤、後門和其他垃圾代碼（通常用於啓用物聯網連接和通信）引起的缺陷。考慮到破壞和收益的潛在可能，我們預測瞄準物聯網設備的攻擊將變得更復雜，更多經過設計的可利用物聯網通信和數據收集鏈中的漏洞將湧現出來。

一種可能的發展是影子網絡或物聯網殭屍網絡的崛起，這些網絡不能用傳統工具進行探測或測量。影子網絡攻擊開始時採用針對性分佈式拒絕服務（DDoS）攻擊與勒索需求相結合的方式。隨後可能採取收集數據、針對性攻擊、混淆其他攻擊等方式。

圍繞物聯網設備的安全話題越來越沉重，已經到了政府部門無法忽視的程度。我們預測：除非物聯網設備製造商採取緊急行動，否則他們將不僅遭受經濟損失，還會因為其產品中的安全漏洞而成為法律訴訟的對象。

2.從智能到更加智能*：*需要針對擬人攻擊實施更智能的防護措施

大部分惡意軟件是不會説話的——僅僅針對特定目標進行編程。黑客僅僅將其指向一個目標，該惡意軟件或者完成任務，或者不能完成任務。網絡罪犯採取兩種方式補償此類惡意軟件的二元本質：通過對多種工具進行時間密集型管理將攻擊引向特定目標，或者通過規模進行補償。傳播足夠的惡意軟件，或者讓惡意軟件自我複製足夠的次數，最終找到途徑進入可以利用的設備內部。

這種情況即將改變，威脅正變得更加智能，逐漸能夠獨立自主地運行。我們有望在來年看到具有自適應功能的惡意軟件，通過學習成功經驗以提高攻擊的成功率和有效性。這種新一代惡意軟件將具有環境感知能力，能夠理解其所處環境並準確決定下一步的動作。自主惡意軟件在很多方面表現得像人類攻擊者：目標偵察、識別目標、選擇攻擊方式、智能規避檢測。

3.200**億物聯網和終端設備是雲端攻擊時最薄弱的環節

向雲計算、雲存儲、雲處理、甚至雲端基礎設施的遷移正在加速。訪問雲資源的遠程設備多達數百萬，使這種IT服務提供模式易於受到黑客攻擊。

雲安全在於控制網絡訪問者並瞭解其中有多少是可以信任的。我們有望在下一年看到精心設計的攻擊利用終端設備並破壞這種信任模型，從而在客户端側發起針對雲服務供應商的有效攻擊。

4.攻擊者將集中攻擊智慧城市

越來越多的國家正在構建智慧城市。關鍵基礎設施的互聯性、應急服務、交通控制、物聯網設備（比如自動駕駛汽車）、以及投票、付賬、商品和服務配送等將形成巨大的攻擊面。這些集成系統受到大規模破壞的可能性很高，是黑客眼中極具價值的攻擊目標。

我們預測黑客會將目標轉向樓宇自動化和樓宇管理系統。就像物聯網分佈式拒絕服務（DDoS）攻擊那樣，這些攻擊可能首先採取粗糙魯莽的攻擊方式，比如僅僅關閉樓宇的系統。但是很有可能會通過鎖死房門、關掉電梯、改變交通路線或打開報警系統等方式劫持樓宇進行勒索。一旦發生這種情況，黑客很可能會控制部署在智慧城市各處的集中式系統。

5.勒索軟件只是入門級惡意軟件

由於有利可圖，勒索軟件即服務（RaaS）在2016年的增長勢頭很可能會延續到2017年。我們同樣會看到以下基於勒索軟件的攻擊活動即將來臨：

針對性攻擊的成本更高

我們有望看到對備受矚目的目標發起的極具針對性的攻擊，比如社會名流、政治人物和大型組織。除鎖定系統外，這些攻擊者可能還會收集敏感或個人數據以用於勒索或訛詐。

自動化攻擊和物聯網勒索活動

以普通公民和消費者為目標存在一個成本閾值，使攻擊者通常難以控制成本收益。個人會支付多少贖金以解鎖其硬盤、汽車或關閉防火警報？我們預測這種限制將在2017年得到解決，因為自動化攻擊將規模效益引入勒索軟件，使黑客能夠以較低代價從大量的受害者那裏同時榨取小額金錢，特別是瞄準在線物聯網設備。

繼續瞄準醫療衞生行業

被竊取的患者記錄的勒索價值在於其替代能力患者記錄和其他人員數據比信用卡更難以替代。這些記錄也具有很高的價值，因其可用於欺詐。

除非醫療衞生機構實施嚴格的安全措施，我們預測該行業中的很多單位將成為勒索攻擊的目標。其他需要收集並管理人員數據的行業，比如律師行、金融機構和政府部門，將會遭受更多攻擊。

6.必須研發能夠解決關鍵網絡技能人才短缺問題的技術

目前技術精湛的網絡安全人才短缺狀況意味着很多公司在參與數字經濟時將承擔很大的風險。它們不具備必要的經驗以研發安全策略、保護在網絡環境中移動的關鍵資產、或者識別如今複雜的網絡攻擊並作出響應。

很多公司的第一反應是購買傳統安全工具，比如防火牆或IPS（入侵防護系統）設備。但是管理這些設備需要專門的資源，而且這些工具越來越難以為如今使用的高度動態的、廣泛分佈的網絡提供有效的安全防護。

我們預測那些聰明的公司將會轉而求助於可以帶領它們走出安全迷宮的安全諮詢服務機構，或者是可以提供一攬子解決方案的管理安全服務供應商。這些公司還會將大部分基礎設施遷移到雲端，從而只需點擊鼠標就可以添加安全服務。