预测 | 新时代的网络安全新常态:2018中国网络安全十大趋势


中国网络安全行业,不仅面临着全球网络空间共同的安全威胁,还有因为不同基础和不同发展阶段带来的个性问题挑战,以及因为不同的国家战略和政策法规下带来的监管环境的不同,这些都决定了我们需要自己的指南针。



因此,近50位国内网络安全行业专家共同对2018年的行业风向进行把握和预测,在此基础上形成了《2018年中国网络安全十大趋势》,期望它成为一个指南针,帮助从事和关心网络安全行业发展的同仁们找准方向。


1、 勒索攻击成为网络攻击的一种新常态,攻击方式不断花样翻新


勒索软件是近两年来影响最大、最受关注的网络安全威胁之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向受害者的电脑终端或服务器发起攻击,加密系统文件并勒索赎金。

从整体态势来看,2018年勒索软件的质量和数量将不断攀升,成为网络攻击的一种新常态。

2017年,勒索软件继续呈现出全球性蔓延态势,攻击手法和病毒变种进一步多样化。特别是2017年5月全球爆发的永恒之蓝勒索蠕虫和随后在乌克兰等地流行的NotPetya病毒,使人们对于勒索软件的关注达到了空前的高度。在全球范围内,政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域都遭受到了前所未有的重大损失。

与WannaCry无差别的显性攻击相比,针对中小企业网络服务器的精准攻击则是隐性的,不为多数公众所知,但却已成为2017年勒索软件攻击的另一个重要特点。统计显示,过去一年国内勒索软件的攻击目标中,至少有15%是明确针对政企机构的。

攻击者的手段也在不断翻新,使用僵尸网络广发垃圾邮件传播只是最初级的方式,服务器入侵、挂马网页、漏洞等技术手段现在已经被大量使用,有组织的攻击者还会结合已泄漏网络军火库、内网横向移动等高级渗透手法,对目标机构的IT供应链薄弱环节进行针对性攻击,令人防不胜防。

从攻击特点来看,勒索软件的免杀和自我传播能力将越来越强,静默期会不断延长;从攻击目标来看,勒索软件攻击的操作系统类型将越来越多,同时定向攻击能力也将更加突出。

此外,勒索软件造成的经济损失会越来越大。以国内《网络安全法》、网络安全等级保护制度、欧盟一般数据保护条例为代表的全球各国数据安全保护法规相继实施后,受害者支付赎金的数量也会越来越多,但由于各种原因,通过支付赎金恢复文件的成功率将大幅下降。

 

2、 IPv6、5G等新技术助推物联网的发展,物联网安全威胁日趋严重


由于安全防护薄弱,物联网设备长期以来都是黑客肆虐的游乐场。在过去,安防摄像头、家用路由器、网络打印机等联网设备因为暴露在互联网上而被攻击的案例数不胜数,攻击者不需要很高超的技巧,只需凭借网上公开的默认弱口令、黑客工具就可以控制这些设备。

制造商安全能力不足和行业监管缺失,使得2018年物联网设备的安全威胁将愈演愈烈,对用户的个人隐私、资金财产乃至人身安全造成巨大损失。

过去一年还曝光了大量底层威胁,例如影响所有博通WiFi芯片的命令执行漏洞Broadpwn、蓝牙蠕虫级漏洞BlueBorne、任意终端WiFi流量劫持漏洞KCACK,因为涉及面太广而难以修复,都将成为以后的“安全债务”。

我国政府在2017年下半年密集出台了推进IPv6、5G、工业互联网等多项前沿科技发展的政策,将助推物联网更快的普及。但其安全威胁也日趋严重,物联网威胁不止是网络安全问题,还将牵涉到人身安全,我们亟需可实施的防护解决方案。


3、针对关键基础设施的网络攻击升级,攻防两端的对抗将加剧


如果说伊朗核设施被攻击、乌克兰电力设施成为黑客的演武场,我们还只是作为“故事”隔岸观火,那么“永恒之蓝”勒索蠕虫攻击事件则让网络攻击对关键基础设施的影响“全民可视化”,加油站无法加油、公共服务系统无法运行、工厂生产系统瘫痪,直接影响经济社会平稳运行。

2018年以破坏和窃取情报为目的的,针对关键基础设施的攻击将逐渐升级:

1)国家力量和恐怖组织、敌对势力推动的,以“网络战”和“恐怖袭击”为目的针对关键基础设施的网络攻击会增加;

2)攻击目标从电力、交通等“命脉”设施,延伸到公共服务系统、重要工业企业的生产设施、互联网关键基础设施;

3)类似永恒之蓝的武器化的攻击工具会愈演愈烈,攻击手段呈现多样化,针对性的勒索攻击风险加剧,间谍事件增多,新型恶意软件和攻击工具增加。

 

4、人工智能成为网络安全领域的热点,保护人工智能安全和用人工智能技术保护安全两手都要抓,两手都要硬


如果要评选2017年安全领域最受追捧的技术,人工智能毋庸置疑是其中之一。预计2018年人工智能在安全领域的利用将会继续受到追捧。

然而,现在黑客已经开始利用人工智能进行网络攻击,不仅扩大黑客的攻击面,也让黑客拥有更多的攻击手段。面对利用人工智能进行的黑客攻击,我们的最佳防御策略也是利用人工智能。

网络安全领域使用人工智能技术是有两大原因: 一是随着网络攻击增多,危害程度上升,网络安全专业人才严重不足。二是“0day攻击”等新型攻击形式增多,防范更加困难。

人工智能将是下一代安全解决方案的核心。人工智能防御系统能从黑客攻击事件中,学会各种攻击和防御策略。它能设定正常用户行为的基准,然后搜索异常行为,速度比人类要快得多。这比维持一支专门处理网络攻击的安全团队要省钱得多。人工智能也可以用来制定防御策略。

安全专家认为,传统安全设备如防火墙、杀毒、WAF、漏洞评估等都以防御为导向,这样的模式难以适应云和大数据为代表的新安全时代需求,只有通过海量数据深度挖掘与学习,采用安全智能分析、识别内部安全威胁、身份和访问管理等方式,才能帮企业应对千变万化的安全威胁。但在整个网络安全的领域来说,人工智能相关技术的应用还是处于比较初级的阶段。


5、以培养和提升网络安全实战能力为目标的攻防演练、攻防比赛和网络安全学院成为行业热点


如同军事对抗,“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”,较量就要真刀真枪,实战演练是检验对抗能力的最有效的手段。无论是检验和提高整体防御能力和水平,还是培养人才,基于实景对抗的攻防演练、攻防比赛都将继续成为2018年的行业热点和发展方向。

美国五角大楼是攻防演练的忠实拥趸,从“黑掉国防部”、“黑掉陆军”到“黑掉空军”,演练的层次、深度和效果越来越深入,引发了全球网络安全行业“跟随效应”。

2017年开始,国内攻防演练和攻防比赛的热度开始明显升温,据不完全统计,全年国内各类不同规模的攻防演练超过了100场,各类网络安全攻防比赛的总数近200场,参与比赛人次近60000人。与前几年相比,攻防演练迭代升级趋势明显,1)演练的针对性、演练规模和演练的实战性都有明显提升,尤其是针对特定目标的深度攻防,以验证防御系统的效果,发现潜在的威胁和漏洞。2)演练组织者有国家、行业、地区、银行、电力等关键信息基础设施机构和企业,甚至一些电商、互联网企业、家电企业也开始组织“蓝军”,实施攻防演练。

2018年,攻防演练和攻防会继续成为热点。攻防演练将进一步调整演练方法和演练方式,扩大范围,增强实效;在实战中选好盾、用好矛,分层分类分级解决安全问题,推进演练模式多样化;时间上从年度演练或不定期演练向全年常态化延伸;模式上从比赛式向研究式解决问题延伸;方法上从背靠背向面对面延伸,刚柔相济、重点帮扶,在解决军民融合问题上寻求更大的突破和亮点。

注重实战型网络安全人才培养,采用校企合作模式的网络空间学院也将在2018年继续成为热点,永恒之蓝事件后,整个行业对于实战型人才的极度缺乏引发了这种校企联合培养模式的投资热潮。

 

6、云、物联网与数字化推动身份认证技术变革,身份与访问管理(IAM)是一个比较成熟安全领域,但这不意味着没有变化

数据报告显示,81%的数据泄露都与身份被窃取有关系。可以说,随着越来越多用户访问远程或者云端资源,身份已经成为当前最有重要性的攻击对象。

此外,云服务、设备、传统软件的结合呈现了越来越多样化的趋势,如何安全地管理身份验证已经成为了一大难题,即便是大公司也需要帮助。这些趋势推动业界对身份管理领域的投资和重视。

在2017年,身份管理(身份与访问管理)领域受到追捧,发生11笔以上的投融资,包括数笔规模数亿美元的并购与上市融资,以及几笔数千万美元的投资事件。

预计全球的IAM市场预计将出现13.37%的年复合增长率,预计市场规模将从2016年81.58亿美元增至2022年的173.17亿美元。

 

7、网络安全新常态推动政企机构建立重保常态化,应急小时化的安全体系


2018年,网络安全将全面进入这种新常态,政企机构既面临攻击复杂化、漏洞产业化、军火民用化等日益升级的外部安全威胁,又要面对来自安全法制化、重保常态化、应急小时化等监管压力。

面对这样的新常态,在过去二三十年中建立的网络安全体系已经不能更好的应对攻防形式的变化,传统完全依赖安全设备和技术的严防死守无法应对国家背景的高级威胁,防护重点需要过渡到加强检测和响应,除了顶层设计,在技战术上也要进行及时的转变,坚不可摧、严防死守的‘马奇诺防线’是不存在的,未来敌方利用的不少漏洞可能是未知的,攻击方式也可能仅出现一次,在这种情况下,不能期望在对方攻进来之前就可以发现和拦截阻断。

因此,建立起重保常态化、应急小时化的新一代安全体系是政企机构应对网络安全新常态的有力补充。


8、安全实施演变成安全能力交付,政企机构从购买产品到购买服务,安全服务化将快速成长

安全服务化是一个近几年来早已经出现的概念,不少安全机构和企业也致力于推动这一趋势的发展。然而,就近几年来的网络安全市场来说,更多的政企用户更倾向于购买安全设备,把硬件盒子放在企业,能够让人更放心。

而随着网络安全威胁形势的不断变化,以及越来越严苛的网络安全监管环境,政企用户对于安全的需求在不断增强,他们的安全需求从基本合规逐步转向真正的安全防护需求。

从2017年已经出现的几起政企服务案例来看,已经有政企客户在网络安全采购中从购买产品转到了购买服务,在与安全厂商签定的网络安全合同中安全服务成为了最主要内容,而安全的软硬件产品则成为了配合选项。

一方面是安全防御技术不断创新,大数据安全、威胁情报、机器学习、云安全被越来越多的应用于政企用户的安全防护体系中,新的技术、新的知识对于企业现有的安全管理人员来说是一种挑战;另一方面,在面对越来越多的高级威胁、重大安全事件中,政企用户自身缺少专业的安全人才来更及时、有效的应对。

2018年,政企用户在网络安全方面的支出将进一步增加,以服务的形式购买安全能力、以云的方式交付安全能力将成为趋势。

 

9、隐私保护从争议话题开始迈向通过法律和技术方案的务实推进


随着我国信息化建设的不断推进和互联网应用的日趋普及,在推动社会发展和技术变革的同时,也为企业和个人信息保护带来了新的挑战。个人信息在被各类主体挖掘和利用的同时,因个人信息泄露所引发的侵权、欺诈等信息犯罪行为日益严重,已为全社会造成了巨大损失,隐私保护、个人信息保护已经成为争议的热点话题。

为应对云计算、大数据、移动互联网及跨境数据处理等应用场景所带来的新挑战,2016 年欧盟通过了新的数据保护法案《一般数据保护条例》(General DataProtection Regulation,GDPR)并将于2018 年5月生效。

目前我国没有统一的个人信息保护法,虽然《网络安全法》作为我国网络领域的基础性法律将个人信息保护列入其中,既是出于国家网络空间主权和网络安全考虑,也是对当前个人网络信息安全严峻现实的直接回应,但远不能全方位地保护个人信息安全,也存在个人信息保护的法律漏洞。但是通过“徐玉玉案”等一系列案件给社会带来的不良影响,使人们充分意识到了个人信息泄露和滥用所带来的严重社会危害,同时也催生个人信息保护立法落地。

 

10、数据成为数字化转型时代的“石油”,数据安全保卫战将全面打响


数字化转型加速了互联网、云计算、大数据、物联网、人工智能等技术在整个国家和社会的应用,也由此带来了国家经济社会运行和发展对于数据的依赖,数据由此成为数字化转型时代石油一样的战略型资源。

对于数据的觊觎成为网络攻击的重要目标之一,这也是2016年以来勒索病毒爆发式增长的原因。

对2017年全球发生的近300起重大安全事件分析发现,其中75%的事件与数据泄露、数据窃取和数据勒索有关,而且有趣的是,数据泄露越来越丰富,我们能想象到或者接触到的数据都泄露了。

可以预见,在业务需求和监管双重压力下,2018年,数据安全保卫战将在网络安全领域全面打响。


如有事情需要联系我们,请发送邮件到:lianxi@wmqn.net