2018年網絡安全領域有哪些需要注意的？

今年，互聯網安全格外引人注目。不管是“永恒之藍”肆掠全球，還是國內首部《網絡安全法》的出臺，都讓安全變得更加重要。一方面，各種網絡攻擊越來越復雜，危害性更大，另一方面網絡安全也變得有法可依。

日前，全球著名的信息安全廠商卡巴斯基發布了一份安全公告——《2018威脅預測》。在這份長達44頁的報告中，卡巴斯基介紹了領先的持續安全預測、行業和技術預測，包括自動化威脅預測、連接健康的威脅預測、金融服務威脅預測和工業安全預測等等。

在前言中，該報告表示，“2017年，各種復雜的威脅行為層出不窮，涉及到政治動機和盜竊。但是，2018年這樣的事件將以不同的方式出現，并再次成為媒體關注的焦點。在今年5月和6月份的勒索軟件攻擊浪潮中，網絡安全、軟件漏洞以及員工意識上的疏漏被暴露出來。一些企業的最終成本已經達到了數億美元。”

那么，根據卡巴斯基發布的安全報告，2018年有哪些威脅值得注意？

1. 更多的供應鏈攻擊

卡巴斯基全球研究和分析團隊跟蹤了100個APT(高級持續性威脅)組織，發現一些組織不僅擁有廣泛的武器庫，包括零日漏洞、無文本攻擊工具等，并將傳統的黑客攻擊復雜化去實現數據滲透的目的。

在APT攻擊中，常有高級威脅行為者試圖破壞某個目標，卻不斷失敗的案例。這是因為他們的攻擊目標使用了強大的網絡安全防護體系，對員工進行了良好的安全教育，或者遵循了諸如澳大利亞的DSD TOP35之類的防御策略。

一般來說，高級APT攻擊租住的威脅行為者不會輕易放棄，他們會一直尋找入侵的方法。

當一切嘗試都失敗時，他們可能會退一步，重新評估形勢。在重新評估中，威脅行為者會發現“供應鏈攻擊”比直接攻擊更加有效。

即使攻擊目標使用了第三方軟件，構建了全球最好的網絡防御系統，這也無濟于事。因為第三方軟件是一個更好的目標，攻擊者可以利用它們來攻擊受保護的企業。

在2017年，卡巴斯基實驗室發現了幾個事例，包括但不限于：

Shadowpad

CCleaner

ExPetr/NotPetya

這些攻擊極難發現和鑒別。例如，在Shadowpad的案例中，攻擊者成功地利用Netsarang軟件攜帶惡意軟件程序包，在世界各地傳播，尤其是銀行、大型企業和其他垂直行業。

而CCleaner，它造成了超過200萬臺計算機受感染，成為2017年最大的攻擊之一。

2018年，卡巴斯基實驗室預計，將會出現更多的供應鏈攻擊，包括發現的和攻擊到位的。在特定區域和垂直行業上使用木馬化專業軟件，將變成類似于“水坑攻擊”的戰略性選擇。

2. 更多高端的移動惡意軟件

2016年8月，CitizenLab和Lookout公司公布了一份名為“Pegasus”的移動間諜平臺的分析報告。據悉，Pegasus是一款所謂的“合法攔截”軟件套件，被一家名為“NSO Group”的以色列公司出售給政府和其他實體企業。

2017年4月，谷歌發布了其對Android版本Pegasus間諜軟件的分析報告，該軟件名為“Chrysaor”。

除了Pegasus和Chrysaor等“合法監視”間諜軟件之外，許多其他APT組織也開發了專屬的移動惡意軟件。

目前，由于遙測技術的缺陷，使得一些移動惡意軟件難以被發現和根除。所以，目前存在的移動惡意軟件比公布的要高。

卡巴斯基實驗室預計，2018年將會出現更多針對移動設備的高端APT惡意軟件。隨著安全檢測技術的改進，移動惡意軟件也會更高端。

3. 更多類似BeEF的web框架分析工具

隨著越來越多的安全和緩解技術被默認部署在操作系統中，零日漏洞的價格在2016和2017年急劇上升。例如，世界著名漏洞軍火商Zerodium最近表示愿意出價150萬美元購買一套完整的iPhone(iOS)持續性攻擊的遠程越獄漏洞，即在沒有任何用戶交互的情況下，遠程感染目標設備。

類似于Turla、ofacy和Newsbeef這樣的APT組織已把這類分析技術運用得相當熟練，其他的APT組織也以其自定義的分析框架而聞名，比如多產的Scanbox。

由于分析框架的普遍性和零日漏洞的高昂代價，我們可以估計在2018年使用“BeEF”之類的分析工具包將會增加，更多的黑客團隊可能采用公共框架，或者自己開發工具包。

4. 先進的UEFI和BIOS攻擊

UEFI (統一可擴展固件接口)是一種軟件接口，是現代pc機與操作系統之間的媒介。由英特爾在2005年開發，正在迅速取代傳統的BIOS標準。這是因為BIOS缺乏一些高級特性：例如，安裝并運行可執行文件、網絡功能、加密、CPU獨立架構和驅動程序等能力。

而UEFI可以彌補BIOS缺乏的這些能力，這使得UEFI成為一個有吸引力的平臺，攻擊者也在其中找到許多在BIOS平臺上并不存在的新漏洞。例如，運行自定義可執行模塊的能力使得它能夠創建惡意軟件，而由UEFI直接執行就能繞過任何反惡意軟件解決方案。

從2015年開始，商業級的UEFI惡意軟件就已經存在了。但是， 到目前為止仍然缺少針對這類惡意軟件的成熟的、可靠的檢測方法。

我們預計，在2018年，將會看到更多基于UEFI的惡意軟件。

5. 破壞性攻擊將持續

在2016年11月，卡巴斯基實驗室觀察到一波針對中東地區多個目標的“雨刷攻擊”。在新的攻擊中所使用的惡意軟件是臭名昭著的Shamoon蠕蟲病毒的變種，該蠕蟲病毒在2012年襲擊了Saudi Aramco和Rasgas公司。

在2016年11月，又發生了Shamoon 2.0攻擊事件，此次目標是沙特阿拉伯多個關鍵部門和經濟部門。就像之前的變種一樣，Shamoon 2.0“雨刮器”的目標是對組織內部系統和設備進行大規模破壞。

在2018年，我們預計破壞性攻擊活動將持續上升，或許還會在網絡戰中占據極大地位。

6. 更多的加密系統被顛覆

在2017年3月，美國國家安全局開發的IOT加密方案提議遭到了Simon和Speck異體ISO認證的質疑，這兩項提案被撤回并推遲了。

2016年8月，瞻博網絡宣布在他們的NetScreen防火墻中發現了兩個神秘的后門。可能是Dual_EC隨機數生成器所使用的常量發生了細微的變化，使得攻擊者能夠從NetScreen設備解密VPN流量。

但是這組不同的常量并不能改變什么，一些APT攻擊者仍會攻擊Juniper，他們會將這些常量更改為一個可以控制和利用的內容來解密VPN流量。

2017年10月，新聞報道了英飛凌技術股份公司(Infineon Technologies)在他們使用的硬件芯片加密庫中的一個缺陷。雖然這一漏洞似乎是無意的，但它確實讓我們對“智能卡、無線網絡或加密Web流量等日常生活中使用的基礎加密技術的安全性”產生了質疑。

在2018年，我們預測將會發現更加嚴重的加密漏洞，并希望無論是加密算法標準本身還是在具體的實踐中出現的漏洞都能被修補。

7. 電子商務領域的身份認證危機

過去幾年，越來越多的個人可識別信息(PII)泄露事件層出不窮。

最近的個人信息泄露事件要數Equifax公司。根據消息，該公司有1.45億的美國人的信息被泄露。雖然許多人對這些數據已麻木，但是規模化的PII信息泄露可能會危及電子商務的基礎，以及使用互聯網辦公的政府機構的安全。

目前，欺詐和身份盜用已經成為一個長期存在的問題，但是當基本的識別信息泄露如此泛濫時，以至于根本根本不可靠呢？商業和政府機構將面臨一個選擇，即縮減采用互聯網運營的舒適度，或是采用其他多因素安全解決方案。

到目前為止，像ApplePay這樣有彈性的替代方案將成為一種很好的方式，但同時，我們看到，為了讓繁瑣的官僚程序現代化和降低運營成本，互聯網的關鍵作用正在放緩。

8. 更多的路由器和調制解調器攻擊

另一個很有價值卻經常被忽視的是路由器和調制解調器。不管是在家里，還是企業，這些硬件幾乎無處不在，但是硬件上運行的專有硬件卻又處于無補丁或無人看管的狀態。

一些攻擊者正是利用這一點，獲取到網絡持久和隱蔽性訪問權。而最新的研究結果顯示，某些情況下，攻擊者甚至可以模擬不同的互聯網用戶，將蹤跡轉移到不同的網絡連接地址中。

2018年，可以預計，攻擊者對誤導和虛假標志的興趣正不斷增加，對這些設備進行更嚴格的審查將會有更多的發現。