Fortinet發布2018年全球威脅態勢預測
近日,Fortinet FortiGuard威脅研究與響應實驗室基于多年的威脅研究與分析,就2018年全球威脅態勢作出預測,指出越來越多的犯罪分子正在利用數字社會提供的新機會進行攻擊,企業機構需要利用機器學習、人工智能等創新技術增強防御能力,以便保護企業的數據資產。
監督與無監督學習可能帶來網絡風險
專家預測,如果沒有適當的控制,真正自主的自學習人工智能將能夠通過我們超級連接的數字世界自由移動,適應新的數字環境,并訪問幾乎所有的數字資源。人工智能更現實的風險在于,人工智能的自我學習能力可能導致監督與無監督學習模型的任何一個錯誤被放大,出現出現意想不到的危險結果。網絡犯罪分子往往不關注這些危險結果,他們可能開發基于AI的無監督學習模型用于網絡攻擊,其極快的發展速度或導致難以控制的后果。
針對這種智能和自動化威脅的最佳防御措施是集成、協作和高度自適應的安全架構。就像人工智能一樣,只要能夠獲得基于架構的安全系統,利用機器學習和人工智能等技術,將會有一個高度智能的主動安全防御系統,防御自學習的網絡攻擊。
自動化與機器學習
黑客已經在其攻擊手段,技術和程序(TTP)中利用了自動化和機器學習,他們會利用自動化前端挖掘信息和漏洞,并通過AI分析大量被竊取的結構化和非結構化數據。為了獲得自動化與機器學習所需要的計算能力,網絡犯罪分子正在使用云服務和公共基礎設施來發起和管理攻擊活動,并使用高性能計算(HPC)進行CPU密集型攻擊。
暗網市場上已經有提供機器學習的高級服務。 例如,被稱為FUD(fully undetected)的服務允許犯罪分子將攻擊代碼和惡意軟件上傳到分析服務中,分析這些惡意代碼是否能被安全工具檢測到,這可以幫助惡意軟件逃避安全系統的查殺。為了做到這一點,這些網絡犯罪服務提供商已經開始創建自己的計算集群,利用自有的和被劫持的計算資源來執行掃描、測試和改進惡意軟件。
我們很可能會開始看到完全由基于自動化漏洞檢測和復雜數據分析的機器編寫的惡意軟件,然后根據檢測到的弱點的獨特特征開發漏洞。下一代的“形態惡意軟件”將使用全新的自定義攻擊,這些攻擊不僅僅是基于靜態算法的變體,而且將采用自動化和機器學習將它們定制到一個獨特的目標,同時使它們更難以檢測。
預測:HIVWNETS 與 SWARMBOTS的上升
Fortinet預測,網絡罪犯將開始使用圍繞群技術構建的智能攻擊設備集群,取代傳統的僵尸網絡,以創建更有效的攻擊。蜂巢網絡(Hivenets)和機器人集群(Swarmbots)將更為普遍,Hivenets 將能夠使用群集的受感染設備或 Swarmbots 來同時識別和處理不同的攻擊媒介。隨著 Hivenet 識別并攻陷更多的設備,它將能夠以指數級增長,從而擴大其同時攻擊多個受害者的能力。
目前很少有人能夠有效地抵御這種攻擊。傳統的安全工具允許組織同時防御單個甚至多個攻擊者,但應對群體是一個完全不同的挑戰,特別是當面對持續、多重DDoS攻擊的時候,傳統安全工具根本沒有足夠的響應能力。
要保護網絡和服務不受群體攻擊的影響,需要基于識別網絡中潛在的攻擊媒介和工程漏洞的系統方法,未來,利用集成安全設備的自適應安全結構將替換現有的安全工具。
云服務提供商 - 目標松散和單點故障
勒索軟件的下一個大型目標很可能是云服務提供商,這首先是因為隨著云服務市場的增長,針對云服務商的攻擊會帶來明確的金錢利益。此外,集中式的云服務會出現巨大的潛在攻擊面,一旦犯罪分子滲透到單個云環境,將可能有權訪問數十個或數百個組織的數據,竊取大量的數據資產。隨著新的云產品的出現,犯罪分子還可能通過攻擊獲得商業數據、PII(個人身份信息)等高價值的數據,以便在黑暗網絡出售。
我們預測,網絡犯罪分子將開始將AI技術與多向量攻擊相結合,以掃描、檢測并利用云提供商環境中的弱點,對云服務商進行攻擊。這會削弱許多組織對云服務的信任,并可能對數字經濟產生毀滅性的影響。
醫療及關鍵基礎設施 – 安全能力的“裝備競賽”
在所有可能受到網絡犯罪技術進步影響的行業中,醫療行業和關鍵基礎設施提供商在風險方面繼續位居榜首。為了滿足消費者需要,很多醫療與關鍵基礎設施服務提供商犧牲了安全能力,這使他們變得脆弱。
由于這些網絡的價值很高,如果這些網絡被破壞或者被迫離線,可能會造成破壞性的后果,關鍵的基礎設施和醫療服務提供商現在正在與網絡犯罪組織進行“裝備”競賽。一方面相信新的互聯系統提供了更多的智能和安全,另一方面面臨的風險是真實存在的。
響應: 系統將更趨向于智能與整合 ——“專家級系統”的出現
對惡意軟件和網絡犯罪技術進步的一個關鍵反應是開發“專家系統”。 專家系統是一個集成的軟件和編程設備的集合,使安全架構能夠協同工作,從而消除和阻止高級威脅。除了集成多云和移動設備之外,還需要對未分割的和不安全的網絡進行主動監視和保護。
最大的挑戰之一將是最后一公里的安全 —— 建立自動化基礎安全環境,跨越物理和虛擬環境的復雜的多云生態系統和超融合網絡使得執行這些基本的安全實踐非常困難。人工智能和自動化需要填補這個空白,用集成的專家安全系統來執行確定設備漏洞、跟蹤和修補設備執行、監控安全設備和網絡設備的配置、根據信任對設備進行排名等基本安全功能和日常任務。
響應:高級網絡威脅情報的利用
IP地址、惡意軟件、流量行為和域名是網絡攻擊的基本組成部分,他們可以很容易地改變和移動,使他們更難以發現,大多數傳統安全解決方案很快就會過時。
威脅情報需要將IP地址和文件哈希之外的信息關聯,并將重點放在網絡犯罪分子難以改變的事情上。 其中之一就是攻擊模式和技巧,通過來自遍布分布式網絡的緊密集成架構解決方案的智能與來自全球威脅源的實時數據進行匯總和關聯,復雜的分析將能夠提供可以快速識別和跟蹤惡意行為。最后,所有威脅行為者都有獨特的行為、簽名和模式。 一旦能夠根據犯罪活動的行為識別和隔離不同的威脅行為者,企業將能夠根據歷史趨勢預測惡意行為,并制定相應對策。
結論
網絡犯罪分子組織有序、資金充足、動力十足。 他們正在部署先進的惡意軟件,利用云計算資源,開發基于AI和機器學習的尖端工具,不僅規避先進的安全防范,而且還擴大了攻擊的范圍和規模。
企業需要作出響應,制造商圍繞集成安全技術,提升威脅情報質量,通過開放標準和動態可配置安全架構更好的進行有效的安全管控。安全還需要以數字速度運行,這意味著自動化安全響應,應用智能和自我學習,使網絡可以做出有效和自主的決定。安全的架構設計應從耦合型轉為高度的協同型,不僅能夠承受嚴重和持續的攻擊,還能自動適應和響應。
