2018年国际上各类网站频繁曝出泄露用户个人隐私,层出不穷的用户隐私遭曝光的消息,以及频频发生的网络勒索问题已让人们无法忽视网络时代的信息安全问题。有关专家预测,2019年网络安全领域将会出现更多的漏洞及更为复杂的物联网攻击。
更多漏洞
在研究人员在2018年发现了两个关键的Apache Struts漏洞之后,他们认为很快就会出现另一个重大漏洞,这个漏洞源于该软件的缺陷,它一直是Equifax漏洞的核心。“Apache Struts提出了一个独特的挑战,因为它被许多其他面向互联网的程序所包含,这意味着传统的漏洞扫描程序可能无法检测到Apache Struts,但僵尸网络扫描漏洞将会发现它,“Recorded Future的Liska说。
2018年伊始,两款基于硬件的侧通道漏洞——Spectre和Meltdown被曝光,引发了轩然大波。这两家公司影响了过去10年在电脑和移动设备上广泛使用的微处理器,包括那些运行Android、Chrome、iOS、Linux、macOS和Windows的微处理器。安全专家预测,Spectre变种将在2019年继续被发现。Enveil首席执行官Ellison Anne Williams在一封电子邮件中表示:“2018年宣布的芯片缺陷,可能是迄今为止我们所见过的最普遍的内存攻击表面漏洞,但肯定不会是最后一个。”
复杂的物联网攻击
物联网(IoT)市场即将爆发——但许多此类设备的制造很少甚至没有考虑到安全问题。自2016年Mirai僵尸网络出现以来,研究人员已经看到物联网设备被恶意利用来发动一系列威胁性攻击,包括加密、勒索软件和移动恶意软件攻击。未来形势可能会更加糟糕:“到2019年,物联网威胁将变得越来越复杂,从僵尸网络和游离的勒索软件感染,发展到到APT监控、从而进行数据过滤,直接操纵现实世界,以扰乱运营,”Armis产品副总裁乔•利(Joe Lea)表示。
勒索软件又回来了
当涉及到网络威胁时,infosec社区预计加密(攻击)会从网络上消失,勒索软件也会回到一线。对许多网络罪犯来说,加密攻击并不像他们最初希望的那样有利可图,事实证明,只有当攻击者能够感染数万或数十万台设备时,他们才能赚钱。然而,勒索软件仍然有利可图:“例如,SamSam已经从使用开放RDP服务器作为入口的赎金软件攻击中赚取了近600万美元,”record Future的高级技术架构师Allan Liska说。我们已经开始看到新的勒索软件变种复制这种模式,我们希望看到新的一批勒索软件家族家族继续扩展这种攻击方法。
运营技术与IT融合
随着远程监控在工业环境中的应用越来越广泛,操作技术(OT)和IT正在融合,所以关键系统越来越容易受到网络攻击。智能连接设备将成为制造工厂,公用事业和其他具有关键基础设施的领域的标准,其中数字化与物理操作相结合,将增加远程攻击的可能性。这些攻击破坏或破坏机器人,传感器和其他设备,而这些设备驱动我们日常生活中的大部分机械和基础设施。
更加快速的漏洞修补
随着漏洞补丁在2018年成为人们关注的焦点,围绕漏洞披露过程的叙事也从披露时的90天准则演变为更及时地发布补丁。“由于供应商越来越重视漏洞——无论是通过错误赏金计划,变异分析或测试,发现——修补——公开所需的时间从90天缩短到30天甚至更少。”Semmle平台工程的联合创始人兼副总裁Pavel Avgustinov表示。
不安全的生物识别技术
生物识别技术已经成为2018年银行和其他机构进行人员身份验证的首选方法。然而,2019年可能会发生更多与生物识别系统相关的安全事件。卡巴斯基实验室的研究人员尤里•纳梅斯尼科夫和德米特里•贝斯图日耶夫表示:“已经发生了几起重大的生物识别数据泄露事件。”
供应链攻击
Zscaler的Depth Desai在一篇文章中表示,到2019年,“我们将看到网络犯罪分子继续专注于攻击关键的软件供应链基础设施,以实施更大规模的攻击。”攻击者已经开始认识到供应链攻击的优势——从2017年6月的NotPetya活动开始,随后迅速蔓延,从全球数千台电脑上清除数据。2018年发生了大量针对供应链的攻击,涉及达美航空(Delta Airlines)和百思买(Best Buy)等公司。
隐私立法
2018年几起大型数据隐私丑闻在浮出水面,最引人注目的是Facebook的剑桥分析事件安全研究人员认为,2019年在数据隐私方面将会有更多的立法和监管措施。Claroty负责威胁研究的Dave Weinstein表示:“安全与隐私在国会形成了特别的关系,极左激进派与自由主义保守派结成了搭档。”议员们可能会效仿欧盟的做法,从GDPR的许多方面入手学习。也就是说,他们的律师和游说者早就预料到这一天的到来,因此,应该由硅谷(而不是华盛顿)来制定隐私规则。
GDPR影响
虽然欧盟在2018年实施了《通用数据保护条例》(GDPR),但安全专家认为,2019年将真正开始显示,该条例的实施将对数据隐私和透明度产生哪些始料未及的影响。“到2019年,我们将看到企业引入更多的员工、工具和培训,以解决数据混乱的问题,这样它们就可以在遵守GDPR的同时利用有价值的数据,”Looker首席数据专员Daniel Mintz表示。
(原标题:2019年网络安全发展趋势预测)