任何公司企業都免不了數據洩露事件。但這些事件會以哪種形式出現?攻擊者是怎麼獲得訪問權的?他們會竊取或破壞什麼?到底是什麼驅使著他們嘗試這些攻擊?數據洩露的本質和後果在來年會有怎樣的改變?在此,業界專家們就網絡罪犯明年入侵網絡盜取數據的目標、途徑和原因作出了他們的預測。
五大攻擊形式
1. 汽車網絡攻擊將可能致命
黑掉聯網汽車並奪取其控制權已被證明是可行的。此類黑客行為不僅僅能關閉汽車的引擎,還可以禁用汽車的安全功能,比如防抱死系統或安全氣囊。隨著汽車聯網程度的增加和無人駕駛汽車的發展,黑客也有了更多的機會造成真正的傷害。
2. 攻擊者會劫持互聯網
2019年,激進黑客團體或民族國家黑客組織會將分佈式拒絕服務(DDoS)攻擊推上全新的高度,嘗試大面積搞癱互聯網進行敲詐勒索。2016年時襲擊DNS託管提供商Dyn的一場DDoS攻擊,就讓包括推特、Reddit和Amazon.com在內的多家流行網站掉線了。安全專家 Bruce Schneier 指出,攻擊者正在探索其他關鍵互聯網服務的潛在弱點。
Verisign這樣的主要域名註冊機構如果遭到這種級別的DDoS攻擊,可能整個頂級域名(TLD)網站都會掉線。甚至驅動互聯網本身的協議——邊界網關協議(BGP),也很大程度上依賴信譽系統。互聯網地址僅10%具備有效資源公鑰基礎設施(RPKI)記錄以抵禦路由劫持。更糟的是,僅0.1%的互聯網自治系統啟用了路有源驗證,也就是說另外99.9%都對路由劫持敞開大門。總之,互聯網本身就是有資源DDoS攻擊多個關鍵節點或濫用底層協議的黑客囊中之物——只要他們想要。
3. 打印機也可發起大型攻擊
一個無聊的黑客最近接管了5萬臺打印機,指揮它們打印出無數文檔聲援YouTube網紅PewDiePie。控制企業打印機和複印機網絡有多容易由此可見一斑。雖然該黑客事件相對無害,但打印機和複印機確實可以發起更具破壞性的攻擊。手握概念驗證代碼,黑客便可在2019年成功利用打印機網絡發起重大網絡攻擊。
聯網打印機上的IoT類安全漏洞將成為更為常見的攻擊途徑。新舊設備、型號和品牌混雜的複雜性令打印環境很難防護,但安全人員可以施為的空間很大。建立良好的打印安全過程就是個不錯的起點,但總體上看這是一個需要更多關注的領域。像對其他IT基礎設施一樣重視打印安全的責任不僅僅在終端用戶企業一側,也在打印機制造商、託管服務提供商和安全解決方案供應商身上。
4. 對主流無線運營商的攻擊
此類攻擊會盜取數百萬消費者的個人信息,甚至搞癱一個國家的無線通信。與關鍵基礎設施攻擊類似,無線網絡的中斷可能令國家陷入停滯。有時候攻擊者僅僅只是想要造成大範圍的混亂,而攻擊無線環境就能暫停國家運轉。無線通信斷絕可以有效切斷全國通信,影響業務運營,甚至令緊急救援服務停擺。
5. 恐怖分子將用現成犯罪軟件開展網絡攻擊
大多數網絡罪犯通過互聯網從犯罪軟件販子手中獲得所需工具。2019年,恐怖分子也會這麼做,只不過,他們的所圖比普通黑客要大得多,不僅僅是用勒索軟件綁架系統,而是利用新工具對目標和組織機構進行傷害性攻擊。從對數據完整性的攻擊令計算機不得不強制更換硬件,到利用新技術執行物理襲擊(如近期的委內瑞拉無人機攻擊事件),攻擊界面在不斷擴張,而敵人不會放過這個加以利用的大好機會。
類似的,明年裡民族國家可能會開展“fire sale”式網絡攻擊。Fire Sale 本意指火災後的大甩賣,但此處的 fire sale 概念是從電影《虎膽龍威》系列中借用的,指的是對一座城市或一個國家的交通運營、金融系統、民生設施和通信基礎設施展開三管齊下的網絡攻擊。在電影中,恐怖分子利用該攻擊導致的恐懼和混亂偷偷抽取大量資金。最近幾年的網絡安全事件表明民族國家和恐怖分子已經掌握了此類能力,2019年可能是此類多管齊下的攻擊被用於掩蓋隱秘行動的元年。
八大數據洩露趨勢
1. 生物特徵識別黑客活動將增加
生物特徵識別身份驗證因普及程度的提高而受到黑客的青睞。Experian《2019數據洩露行業預測》報告顯示:我們將看到暴露出 touch ID 傳感器、人臉識別和密碼中漏洞的數據洩露。黑客不僅僅利用生物特徵識別身份驗證硬件和設備中的缺陷,還利用數據存儲上的漏洞。涉生物特徵識別的大型攻擊出現只是時間問題,黑客要麼黑進生物特徵識別系統攫取訪問權,要麼偽造生物特徵數據。醫療保健、政府和金融行業是生物特徵識別黑客攻擊風險最大的領域。
2. DevOps末日將臨
DevOps方法論的流行催生了滿是安全隱患的環境。由於公司企業目標設置不現實、員工培訓不恰當、監視或控制工具欠考慮,曾經運行良好的Kubernetes/DevOps機器將開始磕磕絆絆,給外部威脅留下輕鬆訪問企業核心IT系統的機會。2019年,惡意黑客會利用安全漏洞滲漏敏感數據,製造出前所未有的超大型數據洩露事件。
3. API攻擊可致巨大損失
API的廣泛運用會暴露出更多企業敏感信息,攻擊者將利用API漏洞盜取數據和個人可識別信息(PII),造成巨大的損失和信譽傷害。因為對過時IT安全系統及脆弱API管理框架和工具包的過度依賴,大多數客戶直到攻擊已經執行了才會意識到這些入侵。
4. 頂級雲供應商將遭遇數據洩露
截至目前,涉及AWS之類雲服務提供商的重大數據洩露都是客戶誤操作導致的。但這些雲服務提供商直接遭遇數據洩露也不過是時間問題。之前的數據洩露對供應商一側的整體安全性提出了質疑。黑客還有多久就能省去“中間人”直接攻擊雲的源頭呢?世界大型企業和海量數據受到影響的日子哪天到來?
5. 金融機構繼續是攻擊目標,情況小有變化
隱秘信用卡信息刮取設備常被用於盜取卡片信息和密碼,但罪犯將把目光放到銀行網絡上以攫取更大的利益。他們會通過往計算機系統中加載惡意軟件對單個ATM機實施旁路攻擊,就像Magecart團伙對Newegg和Ticketmaster等網站乾的一樣。此類信息刮取惡意軟件的好處是可以悄悄混入公司基礎設施,讓黑客在出現任何問題指徵之前就做了很多破壞。利用惡意軟件刮取金融和個人信息的做法還處在早期階段,網絡罪犯才剛剛開始看到此類攻擊的價值。目前從事此類犯罪的人還很少,但基於惡意軟件的信息刮取攻擊還在進化發展中。
中型銀行是2019年裡罪犯熱衷的目標,因為他們持有大量金錢卻未必會對安全相當重視。但攻擊者可能會更注重將小型銀行用作攻擊鏈中的一環。黑客可以從小型銀行員工的計算機向大型銀行發送網絡釣魚電子郵件。網絡罪犯仍將繼續使用網絡釣魚來滲透銀行基礎設施。所用工具和惡意軟件會更加錯綜複雜。黑客可能會砸下大筆金錢購買暗網上售賣的未公開零日漏洞利用程序。
6. 網絡罪犯將以玩家身份入侵在線遊戲系統
在線遊戲社區是黑客關注的新興領域,網絡罪犯註冊玩家並獲取可信玩家電腦的訪問權併入手其個人數據。遊戲世界中不僅僅是個人PII或信用卡信息值錢,令牌、武器和其他遊戲裝備在遊戲社區也是價值萬金。只要拿到一個口令——玩家的口令防護習慣都不太好,黑客就能悄無聲息地接管他人在遊戲中的頭像和身份,帶著大量遊戲裝備揚長而去。
7. 第三方入侵可關停關鍵基礎設施
今天的互聯商業環境中,一家公司的安全取決於其供應鏈和合作夥伴網絡的最弱一環。這就是攻擊者總是針對這些較弱網絡來獲得通往更大利益的入口的原因。所以,2019年,供應商或供應鏈合作伙伴身上發生的網絡入侵可能會導致關鍵基礎設施公司服務交付的延遲或停滯。主要國防承包商也會經歷敏感國家安全信息的重大洩露。作為回應,國防部將會增加強制性動作,要求國防承包商實現額外的網絡安全控制。
8. 更多民族國家技術和使用手冊流向網絡罪犯
師從業內最佳操作人士的網絡罪犯才會獲得成功。而這些業內最佳顯然就是政府僱傭的或國家支持的黑客。成功的網絡罪犯不僅複製他們的技巧,還會將某些工具流入黑市,供普通罪犯使用。政府囤積的零日漏洞利用若被洩露,也是網絡罪犯爭相利用的對象,而這在2019年可能造成很大的問題。
這些越來越先進的攻擊給大型雲提供商造成的一大難題是,他們現在也可能被黑客利用尚無補丁可用的新漏洞加以攻擊。雖然目前還沒出現如此之新的漏洞被成功利用的案例,但流氓民族國家和某些國家之間的網絡冷戰預示著這種情況終有一天會發生。
閱讀更多 安全牛 的文章
