FireEye2018年网络安全态势展望

Grady Summers，FireEye公司CTO

在我的日常工作当中，最值得称道的就是我有机会接触到安全行业当中最为亮眼的创新思维。更重要的是，这些思维往往来自第一代与第二代分析师、研究人员以及事件响应者，他们丰富的经验与专业知识甚至可以追溯自信息安全尚被称为“计算机安全”的时期。

公司内的同事们——包括FireEye CEO Kevin Mandia——在上世纪九十年代中期一直奋战在安全第一线。那时候的安全挑战主要体现为间谍活动，即政府与军方间的监视活动。但几年之后，情况很快出现变化，黑客们开始利用Windows NT实施网络犯罪。而自2000年开始，安全工作的重心开始转向私营部门，信息安全正式由纯军事任务转化为以民间事务为主体。

数十年不断演变的网络安全趋势为他们带来了极为宝贵的经验，他们亲身经历了技术进步、威胁演进以及背景变化，而这一切对于解读当下乃至未来的安全态势无疑至关重要。在本次FireEye安全预测报告中，记录了我对CEO Kevin Mandia、云CTO Martin Hoste以及CSO Steve Booth的采访内容。接下来是来自FireEye公司iSIGHT Intelligence、Mandiant Consulting以及FireEye实验室团队的顶级专家们给出的各类见解。作为收尾部分的，则为对未来EMEA（即欧洲、非洲与中东）以及亚太地区的未来安全趋势展望。

Kevin Mandia的2018年预测

问题：进入新的一年，首先出现在您脑海中的是什么？

这是个充满不确定性的时期。我意识到大多数安全违规事件由国家作为幕后支持力量。正因为如此，现代交战规则呈现出深深的无力感——俄罗斯、朝鲜、伊朗等国家的行为已经远远偏离了正常轨道。也正因为如此，每个国家都在发展相关现代攻击能力，且不受交战规则的制约。

问题：您提到网络安全从业者正面临着一系列挑战——除了国家支持型网络攻击，还有哪些其它挑战存在？

我们的身份信息同样面临威胁——出生日期、社保号码或身份证号码、税收信息乃至信贷资料等等，持续升温的数字化转型令相关安全违规行为带来愈发恐怖的后果。很明显，我们需要以更可靠的方式解决身份保护难题。另外，隐私问题也同样值得关注。

问题：在国际挑战方面，您认为民族国家在2018年会有怎样的行动？

虽然俄罗斯和朝鲜都是国际社会关注的对象，但我个人对伊朗的威胁更为担忧。就2017年来看，伊朗已经行动起来，但我们不确定对其恶意活动到底拥有怎样的把握能力——我猜测目前已经发现的恶意活动仅占伊朗实际行动中的5%左右。

问题：让咱们换个角度，随着云平台的逐渐普及，您对云安全有何看法？

我们需要更理想的云可见性。目前，已经有部分黑客不断进行密码试错以入侵公开邮件地址——这种看似简单的攻击方法实际上最为危险，我们必须建立起检测此类活动的能力。

问题：各类组织机构是否需要在2018年采取一些其现在还没有意识到的重要行动？

最重要的就是保护我们自己的员工。FireEye公司就在亲自处理这一问题。随着员工越来越多利用家庭设备、个人邮件及社交媒体处理工作，安全问题也随之产生。更重要的是，如果企业因员工个人帐户被盗而遭受安全违规，公众往往仍将责任归咎于企业，这将带来巨大的损失。

云首席技术官Martin Holste的2018年展望

问题：您认为2018年云计算将呈现怎样的发展趋势？

除了传统的公有云服务之外，SaaS也在2017年焕发出巨大生命力，这意味着人们开始真正将关键性数据部署在云端。着眼2018年，我认为将有更多企业意识到云环境下运行成本的显著优势，并进一步加快迁移速度。虽然也会有部分行业继续对云保持谨慎态度，不过我预计将有80%到85%的FireEye客户会迁移至云端。

问题：这一切对于攻击者意味着什么？

这意味着攻击者将紧跟数据进入云端，而无论这些数据的具体内容。攻击者才不纠结于内部抑或云环境，只要有利可图，他们就一定会采取行动。好消息是，云环境往往难以入侵，因为其一般不会受到传统安全缺陷的影响。但坏消息是，凭证突然之间变得极为重要。因此在云时代中，追踪登录者的真实身份与登录位置变得愈发重要。

问题：您认为民族国家会将攻击重点转向云环境吗？

地缘政治引起的攻击活动当然所在多有，我认为2018年这一状况还将继续保持。需要强调的是，这些国家深谙网络钓鱼之道，即直接打击安全体系中最薄弱的环节——人。

问题：您认为2018年内，是否会有某些行业比其他行业更可能成为攻击目标？

我认为云不会带来这种明显的针对性，威胁应该是普遍存在的。以过去一年中人们普遍关注的娱乐行业为例，我认为并不是说黑客活动在针对娱乐业展开，而是娱乐行业终于同其他行业一样意识到了安全工作的重要性。

问题：在迁移至公有云中时，各类组织机构应在新一年中如何确保抢在威胁与漏洞之前保护自身？

首先必须承认这一切的存在，并了解组织内部正在发生什么——例如建立态势感知体系，并对全部关键性资产拥有可见能力。

其次，企业必须立足自身实施云环境保护。例如对待上传文件进行统一管理，并配合高级别检测与反病毒扫描等等。

问题：在公有云中，可见性可能相对更易于实现，但机构本身仍然需要主动配合，对吧？

没错。云服务供应商确实提供不少理想的解决方案，但用户一方也得有所行动，例如将各类管理控制台集中起来并加以保护。当然这还只是开始，用户还需要建立更为深层的管理机制，但同时亦必须保证工作量维持在合理程度。如果被日常监控任务所吞没，那么一切将毫无意义。

问题：您认为2018年公有云环境将迎来哪些新的创新性保护举措？

正如在上个问题中所言，我们首先应当有能力将一切数据汇总在同一个地方。这样一来，用户方面会更加省心省力，服务供应商也能够更轻松地与之对接。

首席安全官Steve Booth的2018年展望

问题：Steve，您负责保护的是一家网络安全公司——我觉得这活肯定不轻松。那在您看来，2018年的威胁前景会是怎样的？

我相信肯定还会出现新一轮有趣的攻击，而现有攻击手段也将以新的面貌再次出现。社交工程与鱼叉式钓鱼仍将继续存在，并更多针对个人帐户。

另外，企业员工将成为更重要的突破口，例如在个人手机上安装恶意应用。

最后，这个世界非常复杂，一次小小的失误就可能令任何平台成为攻击面，因此安全工作任重而道远。

问题：看起来，各类黑客组织之间都在相互借用以及窃取最佳攻击技术。

没错，有时候他们也会购买技术。当然，他们也有其他的技术获取途径，例如通过论坛或者阅读留言板，但最轻松的当然是直接购买商业恶意软件。

问题：说到威胁组织，您认为2018年民族国家会组织怎样的威胁活动？

根据现有观察结论，我们发现这些攻击者不仅实施传统间谍活动，也已经开始瞄准供应链乃至其他目标。更重要的是，由于还没有被纳入交战规则，因此如果使用计算机进行资金窃取，人们会认为这与从敌对国银行处偷钱并不是一回事——但实际这就是一回事。这确实非常矛盾。

问题：2018年特定行业中是否会出现一些比较具体的、以往尚未出现的威胁？

几乎各个行业都需要保持高度警惕。由于各个行业所掌握的数据越来越多，一部分攻击者可能希望窃取、破坏甚至操纵这些数据。

问题：各类组织机构应采取哪些行动以在2018年实现自我保护？

首先要有不怕麻烦的心态。现在的麻烦，才能成就未来的轻松——消极的态度只会引发更可怕的威胁与风险。

问题：下面来聊聊法规遵循问题。对于GDPR（即通用数据保护条例），您有什么看示？未来是否还会有其他将安全与监管联系起来的新举措？

最明显的变化就是，各方似乎都建立起自己的规定。我认为GDPR是真的在为人们制定行之有效的合规性政策。当然，其中一些内容还没有在法庭上得到验证，因此我们将密切关注其未来进展。

FireEye公司拥有全球最大的私有网络情报收集体系。以下预测来自我们FireEye iSight、Mandiant以及FireEye实验室团队中的各位顶级专家。

情报摘要：

主要网络威胁赞助方将训练及装备盟友，同时传播威胁

网络大国可能故意分享其工具、技术与操作经验，这将使得归因工作变得更为复杂。美国网络司令部开始以积极方法为盟国提供训练支持，这类作法未来可能变得愈发普及。

必须强调的是，这种网络攻击能力的扩散可能引发致命后果，特别是在中东与亚洲地区。网络工具与技术的泛滥将快速提升风险等级，并最终造成严重影响。

针对软件供应链中的固有信任对象

恶意软件作者正越来越多地利用这种用户与软件供应商间的固有信任。利用新功能或用于修复安全漏洞的更新组件，攻击者反而将其转化为恶意载体，并令官方软件分发渠道沦为感染源。

以俄罗斯与朝鲜为代表的经济制裁打击目标很可能利用网络攻击，给全球经济体系构成更多系统性威胁。

Madniant Consulting意见：

来自民族国家与APT组织的攻击活动持续增加

鉴于目前的政治格局，我们预计朝鲜方面的网络攻击行动将进一步升级。同样值得关注的还有俄罗斯以及伊朗，特别是伊朗。伊朗的打击范围主要集中在中东地区，但也可能针对西方世界组织勒索及/或公开侮辱等活动。俄罗斯则继续利用网络攻击针对乌克兰等争议性目标。

高水平技术人员短缺催生出自动化攻击应对方式

2018年，技术人员短缺状况仍将继续存在，因此安全行业将越来越多利用自动化、机器学习与人工智能等技术成果。

新的监管条款将帮助组织机构提升数据保护能力

GDPR以及DFS（纽约州财政服务部）法规正是其中的典型代表。此外，新加坡、中国与加拿大也在积极出台自己的法律条款，用以保护公民与关键信息基础设施。但条款的实际执行仍然前路漫漫，2018年各组织机构需要与监管要求进行充分磨合，根据要求定期进行安全评估。

更多组织机构将通过测试验证自身控制潜在损害的能力

2018年，各类组织机构将进一步推动测试工作，旨在更为主动地应对可能出现的安全事故，从而发现自身弱点并保持理想的安全水平。

2018年，与GDPR（或其它监管规定）相关的勒索与敲诈事故可能有所增长，这主要是利用组织机构对于巨额罚款的潜在恐惧。

恶意攻击者还将继续瞄准能源行业怀工业 控制系统、零售业与酒店业。此外，技术行业（特别是云服务供应商）、IT服务供应商与专业服务公司（包括律师事务所、会计/审计公司）也将面临新的风险。

2017年内，勒索软件快速兴起并掀起一场腥风血雨。预计其还将新的一年中继续肆虐，并为作者带来丰厚的利润回报。

FireEye实验室眼中的2018年

基于云类攻击与逃避技术正持续增加

近年来，攻击者开始越来越多利用云服务实施各类恶意攻击——包括托管URL以进行网络钓鱼乃至分发恶意软件等等。这令保护者一方很难作出有效应对。

物联网攻击数量增长，多数针对安全漏洞

2017年以来，物联网攻击活动大量出现，其中最值得关注的在于将此类受感染设备纳入超大规模僵尸网络，进而执行DDoS（分布式拒绝服务）攻击。随着物联网设备的持续普及，新的一年内可能会有更多攻击形式出现，包括对某些智能家居装置进行锁定以进行勒索。

多向量网络钓鱼攻击及其逃避技巧

利用PDF嵌入URL进行攻击的作法愈发常见，而攻击者也开始利用其它手段进行URL隐藏。这一切都将在2018年继续存在，并以新的面貌出现。当然，为大家所熟知的网络钓鱼、HTTPS攻击以及合法网站入侵等攻击手段也不会缺席。

EMEA地区，是否已经为GDPR作好准备？

2018年，欧洲地区将全面普及GDPR，用以取代原有数据保护命令95/46/EC。但由于整体欧洲地区的安全发展状况非常复杂，很多组织机构可能面临着难以满足GDPR要求的困境。

网络活动遇上政治动机

网络攻击在新的一年中也可能成为政治活动的延伸。2017年，世界各地的选举活动已经开始受到网络攻击的影响，而相对显著的结果意味着这样的趋势在2018年必然继续存在。

网络成熟度提升，导致攻击手段更为复杂

民族国家开始从各大国手中购买网络攻击技术，预计这一趋势将在2018年年内继续存在。而除了民族国家之外，普通黑客组织群体也将很快采取这种技术获取方法。

联系已然无处不在

EternalPetya（NotPetya）、WannCry以及BADRABBIT等近期泛滥的攻击已经开始经由联网基础设施产生一系列间接性影响。而随着GDPR等法规的出台，这些被不慎涉及的受害方很可能还面临着进一步损失——包括罚款、保费增加与品牌价值蒸发等。

2018年，数字化版本的《日内瓦公约》恐怕还不会出台

各国不太可能这么快就在网络空间层面达成一致性协议。

网络犯罪复杂度达到新的水平

以经济利益为动机的安全事故预计将在新的一年中继续增加。与国家支持型攻击活动不同，此类网络犯罪群体仅关注经济收益。这意味着任何负责处理资金或交易、且安全水平低下的组织机构，都有可能遭受攻击影响。

此外，个人身份信息将在2018年继续成为犯罪分子的关注目标，特别是考虑到地下经济活动对个人信任及凭证的迫切需求。

加密货币的价值与知名度持续提升，与之相关的恶意活动也将进一步升级。到2018年，预计将有更多恶意软件积极入侵加密货币钱包，或盗取用户凭证信息。

亦将有更多恶意软件传播途径出现。2017年，我们已经观察到勒索软件分发手段的大幅增加，2018年或将出现更为严重的规模提升。

未来挑战

无论是创新型攻击活动还是恶意软件，再到即将出台的法律法规，2018年显然将成为网络安全的新纪元。无论新一年中出现多少新的保障性举措，可以肯定的是我们绝对不能对接下来的安全态势掉以轻心。

与以往一样，企业面临着愈发艰难的安全保障道路。我们建议客户时刻为攻击活动作好准备，包括加以应对并进行事件缓解。我们应当保持乐观的态度，但同时客观审视行业中的所有不确定性，并真正将安全保障思维融入血液当中——这是解决问题，或者说至少是实现互联网技术所能够带来的种种收益的根本性前提。