FireEye 2018年網路安全態勢展望

Grady Summers，FireEye公司CTO

在我的日常工作當中，最值得稱道的就是我有機會接觸到安全行業當中最為亮眼的創新思維。更重要的是，這些思維往往來自第一代與第二代分析師、研究人員以及事件響應者，他們豐富的經驗與專業知識甚至可以追溯自信息安全尚被稱為「計算機安全」的時期。

公司內的同事們——包括FireEye CEO Kevin Mandia——在上世紀九十年代中期一直奮戰在安全第一線。那時候的安全挑戰主要體現為間諜活動，即政府與軍方間的監視活動。但幾年之後，情況很快出現變化，黑客們開始利用Windows NT實施網路犯罪。而自2000年開始，安全工作的重心開始轉向私營部門，信息安全正式由純軍事任務轉化為以民間事務為主體。

數十年不斷演變的網路安全趨勢為他們帶來了極為寶貴的經驗，他們親身經歷了技術進步、威脅演進以及背景變化，而這一切對於解讀當下乃至未來的安全態勢無疑至關重要。在本次FireEye安全預測報告中，記錄了我對CEO Kevin Mandia、雲CTO Martin Hoste以及CSO Steve Booth的採訪內容。接下來是來自FireEye公司iSIGHT Intelligence、Mandiant Consulting以及FireEye實驗室團隊的頂級專家們給出的各類見解。作為收尾部分的，則為對未來EMEA（即歐洲、非洲與中東）以及亞太地區的未來安全趨勢展望。

Kevin Mandia的2018年預測

問題：進入新的一年，首先出現在您腦海中的是什麼？

這是個充滿不確定性的時期。我意識到大多數安全違規事件由國家作為幕後支持力量。正因為如此，現代交戰規則呈現出深深的無力感——俄羅斯、朝鮮、伊朗等國家的行為已經遠遠偏離了正常軌道。也正因為如此，每個國家都在發展相關現代攻擊能力，且不受交戰規則的制約。

問題：您提到網路安全從業者正面臨著一系列挑戰——除了國家支持型網路攻擊，還有哪些其它挑戰存在？

我們的身份信息同樣面臨威脅——出生日期、社保號碼或身份證號碼、稅收信息乃至信貸資料等等，持續升溫的數字化轉型令相關安全違規行為帶來愈發恐怖的後果。很明顯，我們需要以更可靠的方式解決身份保護難題。另外，隱私問題也同樣值得關注。

問題：在國際挑戰方面，您認為民族國家在2018年會有怎樣的行動？

雖然俄羅斯和朝鮮都是國際社會關注的對象，但我個人對伊朗的威脅更為擔憂。就2017年來看，伊朗已經行動起來，但我們不確定對其惡意活動到底擁有怎樣的把握能力——我猜測目前已經發現的惡意活動僅占伊朗實際行動中的5%左右。

問題：讓咱們換個角度，隨著雲平台的逐漸普及，您對雲安全有何看法？

我們需要更理想的雲可見性。目前，已經有部分黑客不斷進行密碼試錯以入侵公開郵件地址——這種看似簡單的攻擊方法實際上最為危險，我們必須建立起檢測此類活動的能力。

問題：各類組織機構是否需要在2018年採取一些其現在還沒有意識到的重要行動？

最重要的就是保護我們自己的員工。FireEye公司就在親自處理這一問題。隨著員工越來越多利用家庭設備、個人郵件及社交媒體處理工作，安全問題也隨之產生。更重要的是，如果企業因員工個人帳戶被盜而遭受安全違規，公眾往往仍將責任歸咎於企業，這將帶來巨大的損失。

雲首席技術官Martin Holste的2018年展望

問題：您認為2018年雲計算將呈現怎樣的發展趨勢？

除了傳統的公有雲服務之外，SaaS也在2017年煥發出巨大生命力，這意味著人們開始真正將關鍵性數據部署在雲端。著眼2018年，我認為將有更多企業意識到雲環境下運行成本的顯著優勢，並進一步加快遷移速度。雖然也會有部分行業繼續對雲保持謹慎態度，不過我預計將有80%到85%的FireEye客戶會遷移至雲端。

問題：這一切對於攻擊者意味著什麼？

這意味著攻擊者將緊跟數據進入雲端，而無論這些數據的具體內容。攻擊者才不糾結於內部抑或雲環境，只要有利可圖，他們就一定會採取行動。好消息是，雲環境往往難以入侵，因為其一般不會受到傳統安全缺陷的影響。但壞消息是，憑證突然之間變得極為重要。因此在雲時代中，追蹤登錄者的真實身份與登錄位置變得愈發重要。

問題：您認為民族國家會將攻擊重點轉向雲環境嗎？

地緣政治引起的攻擊活動當然所在多有，我認為2018年這一狀況還將繼續保持。需要強調的是，這些國家深諳網路釣魚之道，即直接打擊安全體系中最薄弱的環節——人。

問題：您認為2018年內，是否會有某些行業比其他行業更可能成為攻擊目標？

我認為雲不會帶來這種明顯的針對性，威脅應該是普遍存在的。以過去一年中人們普遍關注的娛樂行業為例，我認為並不是說黑客活動在針對娛樂業展開，而是娛樂行業終於同其他行業一樣意識到了安全工作的重要性。

問題：在遷移至公有雲中時，各類組織機構應在新一年中如何確保搶在威脅與漏洞之前保護自身？

首先必須承認這一切的存在，並了解組織內部正在發生什麼——例如建立態勢感知體系，並對全部關鍵性資產擁有可見能力。

其次，企業必須立足自身實施雲環境保護。例如對待上傳文件進行統一管理，並配合高級別檢測與反病毒掃描等等。

問題：在公有雲中，可見性可能相對更易於實現，但機構本身仍然需要主動配合，對吧？

沒錯。雲服務供應商確實提供不少理想的解決方案，但用戶一方也得有所行動，例如將各類管理控制台集中起來並加以保護。當然這還只是開始，用戶還需要建立更為深層的管理機制，但同時亦必須保證工作量維持在合理程度。如果被日常監控任務所吞沒，那麼一切將毫無意義。

問題：您認為2018年公有雲環境將迎來哪些新的創新性保護舉措？

正如在上個問題中所言，我們首先應當有能力將一切數據匯總在同一個地方。這樣一來，用戶方面會更加省心省力，服務供應商也能夠更輕鬆地與之對接。

首席安全官Steve Booth的2018年展望

問題：Steve，您負責保護的是一家網路安全公司——我覺得這活肯定不輕鬆。那在您看來，2018年的威脅前景會是怎樣的？

我相信肯定還會出現新一輪有趣的攻擊，而現有攻擊手段也將以新的面貌再次出現。社交工程與魚叉式釣魚仍將繼續存在，並更多針對個人帳戶。

另外，企業員工將成為更重要的突破口，例如在個人手機上安裝惡意應用。

最後，這個世界非常複雜，一次小小的失誤就可能令任何平台成為攻擊面，因此安全工作任重而道遠。

問題：看起來，各類黑客組織之間都在相互借用以及竊取最佳攻擊技術。

沒錯，有時候他們也會購買技術。當然，他們也有其他的技術獲取途徑，例如通過論壇或者閱讀留言板，但最輕鬆的當然是直接購買商業惡意軟體。

問題：說到威脅組織，您認為2018年民族國家會組織怎樣的威脅活動？

根據現有觀察結論，我們發現這些攻擊者不僅實施傳統間諜活動，也已經開始瞄準供應鏈乃至其他目標。更重要的是，由於還沒有被納入交戰規則，因此如果使用計算機進行資金竊取，人們會認為這與從敵對國銀行處偷錢並不是一回事——但實際這就是一回事。這確實非常矛盾。

問題：2018年特定行業中是否會出現一些比較具體的、以往尚未出現的威脅？

幾乎各個行業都需要保持高度警惕。由於各個行業所掌握的數據越來越多，一部分攻擊者可能希望竊取、破壞甚至操縱這些數據。

問題：各類組織機構應採取哪些行動以在2018年實現自我保護？

首先要有不怕麻煩的心態。現在的麻煩，才能成就未來的輕鬆——消極的態度只會引發更可怕的威脅與風險。

問題：下面來聊聊法規遵循問題。對於GDPR（即通用數據保護條例），您有什麼看示？未來是否還會有其他將安全與監管聯繫起來的新舉措？

最明顯的變化就是，各方似乎都建立起自己的規定。我認為GDPR是真的在為人們制定行之有效的合規性政策。當然，其中一些內容還沒有在法庭上得到驗證，因此我們將密切關注其未來進展。

FireEye公司擁有全球最大的私有網路情報收集體系。以下預測來自我們FireEye iSight、Mandiant以及FireEye實驗室團隊中的各位頂級專家。

情報摘要：

主要網路威脅贊助方將訓練及裝備盟友，同時傳播威脅

網路大國可能故意分享其工具、技術與操作經驗，這將使得歸因工作變得更為複雜。美國網路司令部開始以積極方法為盟國提供訓練支持，這類作法未來可能變得愈發普及。

必須強調的是，這種網路攻擊能力的擴散可能引發致命後果，特別是在中東與亞洲地區。網路工具與技術的泛濫將快速提升風險等級，並最終造成嚴重影響。

針對軟體供應鏈中的固有信任對象

惡意軟體作者正越來越多地利用這種用戶與軟體供應商間的固有信任。利用新功能或用於修復安全漏洞的更新組件，攻擊者反而將其轉化為惡意載體，並令官方軟體分發渠道淪為感染源。

以俄羅斯與朝鮮為代表的經濟制裁打擊目標很可能利用網路攻擊，給全球經濟體系構成更多系統性威脅。

Madniant Consulting意見：

來自民族國家與APT組織的攻擊活動持續增加

鑒於目前的政治格局，我們預計朝鮮方面的網路攻擊行動將進一步升級。同樣值得關注的還有俄羅斯以及伊朗，特別是伊朗。伊朗的打擊範圍主要集中在中東地區，但也可能針對西方世界組織勒索及/或公開侮辱等活動。俄羅斯則繼續利用網路攻擊針對烏克蘭等爭議性目標。

高水平技術人員短缺催生出自動化攻擊應對方式

2018年，技術人員短缺狀況仍將繼續存在，因此安全行業將越來越多利用自動化、機器學習與人工智慧等技術成果。

新的監管條款將幫助組織機構提升數據保護能力

GDPR以及DFS（紐約州財政服務部）法規正是其中的典型代表。此外，新加坡、中國與加拿大也在積極出台自己的法律條款，用以保護公民與關鍵信息基礎設施。但條款的實際執行仍然前路漫漫，2018年各組織機構需要與監管要求進行充分磨合，根據要求定期進行安全評估。

更多組織機構將通過測試驗證自身控制潛在損害的能力

2018年，各類組織機構將進一步推動測試工作，旨在更為主動地應對可能出現的安全事故，從而發現自身弱點並保持理想的安全水平。

2018年，與GDPR（或其它監管規定）相關的勒索與敲詐事故可能有所增長，這主要是利用組織機構對於巨額罰款的潛在恐懼。

惡意攻擊者還將繼續瞄準能源行業懷工業 控制系統、零售業與酒店業。此外，技術行業（特別是雲服務供應商）、IT服務供應商與專業服務公司（包括律師事務所、會計/審計公司）也將面臨新的風險。

2017年內，勒索軟體快速興起並掀起一場腥風血雨。預計其還將新的一年中繼續肆虐，並為作者帶來豐厚的利潤回報。

FireEye實驗室眼中的2018年

基於雲類攻擊與逃避技術正持續增加

近年來，攻擊者開始越來越多利用雲服務實施各類惡意攻擊——包括託管URL以進行網路釣魚乃至分發惡意軟體等等。這令保護者一方很難作出有效應對。

物聯網攻擊數量增長，多數針對安全漏洞

2017年以來，物聯網攻擊活動大量出現，其中最值得關注的在於將此類受感染設備納入超大規模殭屍網路，進而執行DDoS（分散式拒絕服務）攻擊。隨著物聯網設備的持續普及，新的一年內可能會有更多攻擊形式出現，包括對某些智能家居裝置進行鎖定以進行勒索。

多向量網路釣魚攻擊及其逃避技巧

利用PDF嵌入URL進行攻擊的作法愈發常見，而攻擊者也開始利用其它手段進行URL隱藏。這一切都將在2018年繼續存在，並以新的面貌出現。當然，為大家所熟知的網路釣魚、HTTPS攻擊以及合法網站入侵等攻擊手段也不會缺席。

EMEA地區，是否已經為GDPR作好準備？

2018年，歐洲地區將全面普及GDPR，用以取代原有數據保護命令95/46/EC。但由於整體歐洲地區的安全發展狀況非常複雜，很多組織機構可能面臨著難以滿足GDPR要求的困境。

網路活動遇上政治動機

網路攻擊在新的一年中也可能成為政治活動的延伸。2017年，世界各地的選舉活動已經開始受到網路攻擊的影響，而相對顯著的結果意味著這樣的趨勢在2018年必然繼續存在。

網路成熟度提升，導致攻擊手段更為複雜

民族國家開始從各大國手中購買網路攻擊技術，預計這一趨勢將在2018年年內繼續存在。而除了民族國家之外，普通黑客組織群體也將很快採取這種技術獲取方法。

聯繫已然無處不在

EternalPetya（NotPetya）、WannCry以及BADRABBIT等近期泛濫的攻擊已經開始經由聯網基礎設施產生一系列間接性影響。而隨著GDPR等法規的出台，這些被不慎涉及的受害方很可能還面臨著進一步損失——包括罰款、保費增加與品牌價值蒸發等。

2018年，數字化版本的《日內瓦公約》恐怕還不會出台

各國不太可能這麼快就在網路空間層面達成一致性協議。

網路犯罪複雜度達到新的水平

以經濟利益為動機的安全事故預計將在新的一年中繼續增加。與國家支持型攻擊活動不同，此類網路犯罪群體僅關注經濟收益。這意味著任何負責處理資金或交易、且安全水平低下的組織機構，都有可能遭受攻擊影響。

此外，個人身份信息將在2018年繼續成為犯罪分子的關注目標，特別是考慮到地下經濟活動對個人信任及憑證的迫切需求。

加密貨幣的價值與知名度持續提升，與之相關的惡意活動也將進一步升級。到2018年，預計將有更多惡意軟體積極入侵加密貨幣錢包，或盜取用戶憑證信息。

亦將有更多惡意軟體傳播途徑出現。2017年，我們已經觀察到勒索軟體分發手段的大幅增加，2018年或將出現更為嚴重的規模提升。

未來挑戰

無論是創新型攻擊活動還是惡意軟體，再到即將出台的法律法規，2018年顯然將成為網路安全的新紀元。無論新一年中出現多少新的保障性舉措，可以肯定的是我們絕對不能對接下來的安全態勢掉以輕心。

與以往一樣，企業面臨著愈發艱難的安全保障道路。我們建議客戶時刻為攻擊活動作好準備，包括加以應對並進行事件緩解。我們應當保持樂觀的態度，但同時客觀審視行業中的所有不確定性，並真正將安全保障思維融入血液當中——這是解決問題，或者說至少是實現互聯網技術所能夠帶來的種種收益的根本性前提。

登錄安全客了解更多安全資訊

安全客 - 有思想的安全新媒體