2020多行业安全预测. 2019-12-20
本文主要对5G、企业组织、金融以及医疗健康等产业2020安全进行预测。
一、2020年5G技术
据估计,到2025年,全球数据将达到175zettabytes,高于2010年4G首次在全球部署的1.2zettabytes。
随着连接设备数量和传输速度的急剧增加,威胁自然也会被放大。5G内众多系统的演进、发展和连通性为众多威胁打开了大门,可以总结如下。
1. 电信服务和基础设施的漏洞
随着5G创新的普及,5G设备、客户框架和政府管理等方面将出现更多的缺陷。这可能使攻击者破坏或摧毁电信基础设施,监视客户端或转移其流量。各国政府需要建立全国性的安全防护能力,客观评估5G采用者和供应商的安全性,及时发现故障并规定修复措施。
2. 用户安全和隐私问题
在隐私方面,事情变得更加复杂。
5G短程技术的出现将意味着更多的蜂窝通信塔将被部署到商业中心和建筑中,这也意味着攻击者可以收集和跟踪用户的精确位置。另一个问题是,5G服务提供商可以访问用户设备发送的大量数据,这些数据可以准确显示用户家中发生的事情,可以通过元数据描述他们的生活环境、内部传感器等数据。这些数据可能暴露用户的隐私,或被操纵滥用。服务提供商也可以将这些数据出售给其他服务公司,如广告商,以开辟新的收入来源。在某些情况下,漏洞可能导致人身伤害,例如,如果客户的治疗设备断开连接且无法运行。当水和能源设备等关键基础设施组件面临风险时,潜在的威胁将更大。
3. 关键基础设施风险
5G有助于将通信扩展到比目前更多的地理区域。它还可以为非联网设备配备远程监控和控制。越来越多的像这样的连接系统将扩大了我们的风险范围。用户正采用方便和不间断的通信,但相关的威胁可能会带来严重的公共安全风险。
4. 行动计划
5G将对电信产生革命性的影响,因为除了技术本身,它还将成为其他技术和的基础,特别是在智能城市、智能电网和国防设施领域。5G将能够容纳更多的网络连接设备,并大大提高所有用户的速度。
然而,5G很可能会引起攻击者的注意。例如,可能会看到大规模的DDoS攻击,或者在保护连接设备的复杂网络等问题,其中一个设备的危害可能导致整个网络崩溃。此外,5G正在先前基础设施的基础上开发技术,意味着它将继承先前基础设施的漏洞和错误配置。
通信信任模型将不同于以前的蜂窝世代。预计物联网和M2M设备将占据网络的更大一部分。5G网络中所有这些设备的交互将可能引发产品设计和设备行为方面前所未有的问题,零信任网络模式和严格的产品质量合规将有助于在技术采用者和提供商之间建立信任。
政府和行业领袖应联手推进安全可靠的5G技术项目,提升智慧城市服务和生活质量。
二、2020年金融机构网络威胁
1. 反欺诈系统绕过
在过去的几年里,网络罪犯在绕过反欺诈系统的方法上投入了大量资金,现在仅仅盗取登录名、密码和PII是不够的。现在需要数字指纹来绕过反欺诈系统,以便从银行提取资金。2019年发现了一个名为Genesis的巨大地下市场,该市场出售全球网上银行用户的数字指纹。
从反欺诈系统的角度来看,用户的数字身份是一个数字指纹:每个设备独有的系统属性和用户的个人行为属性的组合。它包括IP地址、屏幕信息、固件版本、操作系统版本、安装的浏览器插件、时区、设备ID、电池信息、字体等。罪犯们一直在寻找通过反欺诈措施的方法,他们试图用伪造的指纹来代替系统的真实指纹。
Genesis是一个接受在线邀请的私人网络犯罪市场,专门出售被盗的数字指纹。它提供了6万多个被盗的档案。这些资料包括浏览器指纹、网站用户登录和密码、cookies信息等。
这类攻击表明,犯罪分子对内部银行系统的工作原理有着深入的了解,防范此类攻击最好的选择是始终使用多因素身份验证。
2. 多因素认证(MFA)和生物特征挑战
MFA对网络罪犯来说是一个挑战。当使用MFA时,绕过它最常用的方法是:
利用系统配置中的漏洞和缺陷。例如,罪犯能够发现并利用远程银行系统中的一些缺陷来绕过otp(一次性密码);在讲俄语的网络罪犯中和亚太地区使用社会工程;SIMswapping在拉丁美洲和非洲等地区尤为流行。事实上,短信不再被认为是一种安全的2FA,但低运营成本意味着它是提供商最常用的方法。
从理论上讲,生物识别技术应该能解决很多与双因素认证相关的问题,但实践证明,并不是想象中的那么简单。在过去的一年里,已经有几个案例表明生物识别技术还远远不够完善。
首先,有很多实现问题。例如,Google Pixel 4在使用面部特征解锁过程中不会检查您的眼睛是否睁开。另一个例子是,三星(Samsung)等热门品牌在内的多家制造商生产的智能手机屏可以使用传感器绕过指纹认证。
在拉丁美洲常用的手段是视觉捕捉攻击。网络罪犯安装了流氓闭路电视摄像机,并用它们记录人们用来解锁手机的密码。这样一种简单的技术对于两种类型的受害者仍然非常有效:使用生物特征识别技术的受害者和喜欢用PIN而不是指纹或面部识别的受害者。
其次,生物特征数据库出现了几起泄密事件。Biostar 2数据库的泄露,其中包括超过100万人的生物特征数据。该公司存储未加密的数据,包括姓名、密码、家庭地址、电子邮件地址,指纹,面部识别模式以及面部的实际照片。美国海关和边境巡逻承包商也发生了类似的泄密事件,超过10万人的生物特征信息被泄露。生物特征数据无法更改,它永远伴随着你。
网络犯罪分子获取用户完整的数字指纹绕过反欺诈系统,表明单纯依靠生物特征数据并不能解决当前的问题。
3. 针对金融机构的攻击集团
2018年,欧洲刑警组织和美国司法部宣布逮捕FIN7和Carbanak/CobaltGoblin网络犯罪集团的头目。在CobaltGoblin和FIN7的保护下运行的组数量已经增加:有几个组使用非常相似的工具包和相同的基础设施来进行网络攻击。
FIN7专门攻击各种公司获取金融数据或其PoS基础设施;CobaltGoblin/Carbanak/EmpireMonkey使用相同的工具包、技术和类似的基础设施,但只针对金融机构和相关的软件和服务提供商;CopyPaste小组,它的目标是非洲国家的金融实体和公司。到目前为止,这些组织还没有使用过任何零日攻击。
2019年年中FIN7活跃度下降,但年底又带着新的攻击和新的工具回到了视野中。与FIN7相比,Cobalt Goblin的活动全年稳定,攻击强度略低于2018年。Cobalt Goblin的策略基本保持不变:他们使用带有漏洞的文档,首先加载下载程序,然后加载Cobalt beacon。主要目标也保持不变:各国的小银行。
JS sniffing全年都非常活跃,已发现成千上万的电子商务网站感染了这些脚本。注入脚本的行为方式不同,攻击者的基础设施也大不相同,这表明至少有十几个网络犯罪集团使用了这种手段。
Silence组织全年积极将业务扩展到不同国家。例如,东南亚和拉丁美洲的攻击。这表明,组织自己扩大了行动范围,或者开始与其他区域性网络犯罪集团合作。
4. ATM恶意软件更有针对性
2019年发现了一些全新的恶意软件家庭。最引人注目的是ATMJadi和ATMDtrack。
ATMJadi不使用标准的XFS、JXFS或CSC库,它使用受害者银行的ATM软件Java专有类:恶意软件只能在一小部分ATM上工作,使得这个恶意软件非常有针对性(只针对一个特定的银行)。
另一个恶意软件是ATMDtrack,它首先在印度的金融机构中被发现。此外,在研究中心也发现了类似的间谍软件,Lazarus APT使用相同的工具从科研机构窃取研究成果。
5. 信息被盗和重复使用
在这一年里看到了许多针对终端用户和企业数据的恶意软件,HydraPOS和ShieldPOS在这一年里非常活跃。
ShieldPOS至少从2017年起就开始活动,之后它演变成了一种MaaS(malware-as-a-service)。表明拉丁美洲的网络罪犯对窃取个人银行数据非常感兴趣。HydraPOS主要从餐厅、和不同零售店的POS系统中窃取资金。HydraPOS是Maggler攻击者发起的攻击活动,Maggler至少从2016年就开始从事该业务。主要区别在于它不能作为MaaS工作。
6. 2020年预测
(1) 加密货币攻击
Libra和Gram等加密货币的推出会引起犯罪分子的注意,2018年比特币和altcoins快速增长期间网络犯罪活动严重激增,可预测在Gram和Libra很可能会出现类似的情况。有很多APT集团,比如WildNeutron和Lazarus,他们对加密资产很感兴趣。
(2) 转售银行访问权限
2019年专门针对金融机构的攻击团体在销售rdp/vnc访问权限。
2020年预计非洲和亚洲地区以及东欧专门销售网络接入的活动将有所增加。他们的主要目标是小银行,以及最近被大公司收购的金融机构,这些公司正在按照母公司的标准重建其网络安全系统。
(3) 针对银行的勒索软件攻击
如上所述,小型金融机访问权最合理的货币化方式就是勒索。银行是更可能支付赎金的组织之一,因此预计此类有针对性的勒索软件攻击数量在2020年将继续上升。
(4) 定制工具
反病毒产品以及最新网络防御技术的采用,将推动网络犯罪行在2020年回归定制工具,并投资新的木马和漏洞利用。
(5) 手机银行木马全球扩张
手机银行木马的源代码已被泄露,预计宙斯和SpyEye木马源代码被泄露的情况将重演:攻击用户的尝试次数将增加,攻击地域将扩展到世界上几乎每个国家。
(6) 新兴投资目标
移动投资应用在全球用户中越来越受欢迎。这一趋势在2020年不会被网络罪犯忽视。并非所有人都准备好应对大规模网络攻击,一些应用程序仍然缺乏对客户账户的基本保护,并且不提供双因素身份验证或证书来保护应用程序通信。
(7) 政治不稳定导致网络犯罪在特定地区蔓延
一些国家正经历政治和社会动荡,导致大批人在其他国家寻求难民地位,这些移民潮包括网络罪犯。这一现象将导致网络攻击将在一些地区持续蔓延。
三、2020医疗产业网络安全
在Wannacry勒索软件使全球医疗设施和其他组织瘫痪两年多后,2019年全球受攻击医疗设备(医生的电脑、医疗服务器和设备)数量减少。
统计数据显示,2017年,医疗机构中30%的计算机和设备受到感染,2018年这一数字下降到28%,今年攻击几乎减少了三分之一(19%)。但仍然有一些国家医疗设施受到勒索软件攻击。造成此类网络攻击的主要原因有两个:一是对数字化风险缺失,二是医疗机构工作人员缺乏网络安全意识,在医疗部门员工中调查显示,近三分之一的受访者(32%)从未接受过任何网络安全培训。
2020年预测:
- 暗网对医疗记录需求将会增长。研究中发现,这种记录有时甚至比个人银行信息还要贵。它还开辟了新的欺诈手段:利用某人的医疗细节,诈骗患者或其亲属。
- 访问内部患者信息不仅可以窃取信息,而且可以修改记录。这可能导致针对个人的攻击,从而扰乱诊断。据统计,诊断失误是医疗领域导致患者死亡的首要原因。
- 在医疗服务领域刚刚开始数字化进程的国家,医疗设施设备的攻击数量明年将大幅增长。
- 针对从事创新研究的医学研究机构和制药公司的攻击越来越多。医学研究非常昂贵,一些专门从事知识产权盗窃的APT组织将在2020年更频繁地攻击此类机构。
- 从未在野看到过对植入医疗设备的攻击,但事实上,在这些设备中存在许多安全漏洞。
四、2020年企业组织安全
1. 向云端移动
云服务越来越受欢迎,攻击者也正在利用这一趋势,2020年预计将出现以下趋势。
攻击者将更难将目标公司的资源与云提供商的资源分开。对于公司来说,在初始阶段发现对其资源的攻击将更加困难。向云的过渡模糊了公司基础设施的边界。因此,精确的瞄准一个组织的资源变得非常困难,实施攻击将变得更加困难,攻击者的行动将变得更加复杂更加频繁。另一方面,公司也很难在早期确定攻击。
调查事件将变得更加复杂。在安全事故方面,时间至关重要。讨论记录哪些数据以及如何备份这些数据是非常重要的。云基础设施安全的意识并没有随着云服务的普及而快速增长,因此调查事件的复杂性将会增加,事件响应的有效性将会降低。
当公司将数据给云提供商进行存储或处理时,他们还需要考虑该提供商是否具备必要的网络安全级别,这需要信息安全方面的专业知识水平,不是所有技术人员都具备。
罪犯们将移居云端,攻击者在云中部署基础设施,这将减少攻击的复杂性,增加攻击的次数和频率。提供商将不得不考虑审查安全程序并更改其服务策略和基础设施。
2. 内部威胁
到企业和组织的总体安全水平有所提高,对基础设施的直接攻击变得越来越昂贵,攻击者需要越来越多的技能和时间,2020年预计将出现以下趋势。
使用社会工程方法的攻击数量增长。尤其是对公司员工的网络钓鱼攻击。由于人的因素仍然是安全方面的一个薄弱环节,随着其他类型的攻击变得更加难以实施,社会工程的攻击数量将增加。
内部人员渗透。由于其他攻击成本不断增加,攻击者将有愿意向内部人员提供大量资金。可以通过多种方式招募此类内部人员:在论坛上发布一个提议,并为某些信息提供奖励。攻击者会掩饰自己的行为,以免员工意识到自己的行为违法。例如,向潜在的受害者提供一份简单的工作,提供信息,同时保证数据不敏感,事实上可能与银行客户个人账户中的资金数额或目标电话号码有关。
企业网络勒索将增加。敲诈公司员工,收集有关公司员工的泄露信息(如犯罪证据、个人记录等个人数据)的网络敲诈集团也将更加活跃。通常情况下,攻击者收集泄漏的电子邮件和密码,找到他们感兴趣的目标用于勒索。
转自FreeBuf