2020年,全球范围内发生了许多急剧的变化,世界各地的机构都在努力适应新冠疫情下的新常态。在这种转变中,网络威胁领域也出现了重大变化。2021年以后,随着新的智能边缘的崛起,我们将面临另一个重大变化,受到影响的不仅仅是终端用户和远程连接到网络的设备。

在对2021年的威胁预测中,我们评估了网络罪犯在未来一年及今后会采取的策略,包括对智能边缘计算、5G设备和计算能力进步的预测和洞察,以及因此而出现的新一轮高级威胁浪潮。

每年此时,我们都会研究网络威胁在近期及未来的发展趋势。预测安全威胁的趋势似乎更像一门艺术而非科学,但在实际工作中,结合对威胁发展的深刻理解,网络犯罪使用或借助的技术,与不断发展的业务趋势和战略相结合,有助于将预测变得更合乎情理。

过去几年的年度预测报告探讨了勒索软件演进、数字业务足迹扩展的风险以及融合技术成为攻击目标(尤其是那些用于智能建筑、智慧城市和关键基础设施等智能系统的技术)。报告还思考了形态恶意软件的演变、集群攻击的潜在威胁以及人工智能(AI)和机器学习(ML)的武器化。有些威胁已经成为现实,有些还在酝酿之中。

01 智能边缘成为攻击目标

在过去几年中,传统的网络边界已被多边缘环境、广域网、多重云、数据中心、远程工作者、物联网等取代,各自产生了独特的风险。这些智能边缘互联互通,许多机构都为了性能和数字化转型而牺牲了整体可见性和统一控制,这给了网络罪犯以可乘之机。网络罪犯正针对这些环境来改进攻击手段,并利用5G带来的速度和规模的潜在优势。

木马开始将网络边缘作为攻击目标

终端用户及其家庭资源已成为网络罪犯的攻击目标,老练的攻击者还会利用这些用户及资源作为跳板进入其他领域。从远程工作者的家庭网络发起的针对企业的网络攻击(尤其是在清楚了解使用趋势的情况下)可以通过仔细协调而避免引起怀疑。高级恶意软件还可以利用新的EAT(边缘访问木马)发现更有价值的数据和趋势,并进行入侵活动,如拦截本地网络的请求,从而瘫痪其他系统或下达额外的攻击命令。

5G可以实现高级集群攻击

攻击和利用新的5G设备将为更高级威胁提供机会。网络罪犯正在开发集群攻击方式并将其投入实战。这些攻击将利用劫持的设备,这些设备被分成多个子组,每个都有专门的技能。他们将网络或设备作为综合系统,并实时分享情报,以便在实施攻击时改进攻击方式。集群技术需要大量的处理能力,以赋能单个集群机器人,并在机器人集群中有效共享信息。这有助于其能够快速发现、分享和关联漏洞,并变换攻击方式,从而更好地利用发现的漏洞。

社会工程攻击取得进展

智能设备或其他与用户交互的家庭系统,不再仅仅是攻击的目标,还将为更深层的攻击提供渠道。通过利用关于用户的重要上下文信息(包括日常事务、习惯或财务信息),可以使基于社会工程的攻击更加容易成功。更智能的攻击可能导致的后果不仅是关闭安全系统、禁用摄像头或劫持智能设备,还可能导致勒索额外数据或秘密凭证攻击。

在关键基础设施中利用勒索软件出现新方法

勒索软件在不断发展。随着IT系统越来越多地与运营技术(OT)系统(尤其是关键基础设施)相融合,将会有更多的数据、设备,甚至生命面临风险。勒索、诽谤和污损都已成为勒索软件交易的工具。未来,包括关键基础设施在内的现场设备和传感器会日益成为网络罪犯的攻击目标,人类生命将会面临风险。

02 计算性能创新将成为攻击目标

其他针对计算性能提升和网络连接创新方法的攻击也即将出现。这些攻击将使网络罪犯覆盖新的领域,并阻止防守方事先预防网络犯罪。

加密挖矿日益进步

如果网络罪犯未来想利用机器学习和人工智能来扩大攻击规模,那么他们就需要强大的数据处理能力。通过利用边缘设备的处理能力,网络罪犯能够处理大量数据,并进一步了解如何以及何时使用边缘设备。这还能提高加密挖矿的成效。由于CPU占用会直接影响终端用户的工作站使用体验,用户较为容易发现个人电脑的计算资源遭到了劫持,但劫持辅助设备就远没有如此引人注目了。

网络攻击将从太空发动

卫星系统和无线电远程通讯可能成为吸引网络罪犯的目标。随着新型通信系统不断扩大规模,并开始依赖基于卫星系统的网络,网络罪犯可能会将这一融合通信网络作为目标并加以追踪。攻击卫星基站,然后通过基于卫星的网络传播恶意软件,可能使攻击者有能力对以成千上万的联网用户进行攻击,或实施妨碍关键通信的分布式拒绝服务(DDoS)攻击。

量子计算带来威胁

从网络安全的角度来看,如果量子计算能够在未来挑战现有加密方式的有效性,它就可能会带来新的风险。量子计算机的超强计算能力可以破解一些非对称加密算法。因此,机构将需要利用加密弹性原则,采取抗量子破解加密算法,以确保在当前和未来对信息进行有效的保护。一般网络罪犯无法使用量子计算机,但一些国家却可以。因此,如果现在不部署加密弹性措施来应对这种威胁,未来终将在现实中带来危害。

03 人工智能将成为防护关键

随着这些前瞻性的攻击趋势逐渐成为现实,这些为攻击提供支撑的资源迟早会商品化,并成为某种暗网服务或开源工具。因此,需要谨慎地将技术、人员、培训和伙伴关系结合起来,以确保在未来免受来自网络罪犯的此类攻击。

人工智能技术急需跟进

未来,随着网络攻击手段的进步,人工智能在网络防御中的作用将日益凸显。人工智能急需更新换代。为此,我们需要建立类似于人类神经系统的综合系统,并将由机器学习驱动的本地学习节点纳入其中。由于未来的网络攻击在几微秒内就能发生,我们需要能够自动发现、预测并反击的人工智能增强技术。人类的主要作用将是确保安全系统能够获得足够的情报,不仅能积极地进行反击,还能有效地预测攻击,从而避免攻击的发生。

机构不能孤军奋战

机构不能寄希望于仅靠自己抵御网络对手。他们需要知道在发生攻击时应该通知谁,这样才能正确地共享“罪犯指纹”,执法部门才能有效开展工作。网络安全供应商、威胁研究机构和其他行业的机构需要彼此合作共享信息,但也需要与执法部门合作,以帮助瓦解网络罪犯的基础设施,从而预防攻击的发生。网络罪犯在网上没有国界,打击网络犯罪也需要跨越国界。只有通过共同努力,我们才能改善打击网络犯罪的局面。

蓝队可以发挥协助作用

威胁情报团队所研究的威胁行为体的战术、技术和程序(简称TTP)可提供给人工智能系统,帮助其检测攻击模式,如威胁行为体脚本等。同样地,当组织点亮当前主动威胁的热图时,智能系统会故意混淆网络目标,并在攻击路径上放置有吸引力的诱饵。最终,组织可以在任何反情报行动发生前做出反应,使蓝队能够保持优势的控制地位。这种训练使安全团队成员能够在封锁网络的同时提高技能。