整个技术产业都是动态的,不停在变化,新技术新方法如浪潮般不断涌现。只要身处IT安全领域,必然会被恶意黑客的技术推动着赶上这些潮流。也就是说,业内总会出现新东西,也总有些技术和工具会落伍。
那么,接下来的一年,安全人员眼中的技术趋势都有哪些呢?又有哪些曾经热门的话题会渐渐淡出人们的视线呢?
去年,WannaCry和NotPetya很是在媒体上霸屏了一段时间,很多专家都认为公司企业已经将勒索软件防御提到了公司重要事项前列。助燃勒索软件威胁风潮的一大因素,就是勒索软件即服务的兴起,也就是攻击者可以将定制勒索软件开发工作“外包”给愿意提供新型勒索软件并共享赎金回报的黑客。接下来的一年,我们会看到更多非技术型黑客让勒索软件开发者在勒索活动中掺一脚,然后以共享非法所得的形式作为报酬,这样就无需任何技术或启动资金也能发起恶意攻击了。
勒索软件大爆发的另一个驱动因素是加密货币。对勒索软件而言,以政府发行的货币支付赎金是完全不可取的,这太容易被追踪了。但是,如果要求以加密货币支付赎金,这种货币自带的匿名性就大大提高了捐款而逃的可能性。
加密货币不过是区块链技术的一种应用,还有很多工作要利用该技术来提高交易的安全性。应用到身份领域就是区块链一个相当有趣的现实世界应用案例。身份区块链引人注目的一个基本要素,就是用户与合作伙伴之间的交易无需中央“存储”(或者说银行)来作为中间人。事实上,甚至连合作伙伴是谁都不需要知道——只需要合作伙伴是经验证的区块链参与者即可。信任是商业的基础,而信任恰恰是区块链的特长。
与外部合作伙伴建立可信连接变得越来越重要。需远程访问公司网络的供应商越来越多,很多情况下甚至是本公司员工数量的10倍。于是,这么多特权访问会话的管理、监视和保护工作就成为了热点敏感问题。
但是,保护该外部访问的一种传统方式——VPN连接,却开始走向没落。虽然VPN很好用,但这种技术原本只是为同个网络中两个内部终端之间创建连接而开发的,并不是给外部承包商或第三方供应商创建外部通道用的。因为配置复杂性和对访问控制列表(ACL)及良好网络分隔的依赖,VPN驱动的外部到内部访问的最终结果,往往就是“全权或无权”访问。只要能访问公司系统的第三方被黑,攻击者就能以该第三方供应商作为支点,获得公司网络的无限制访问权。
过去几年里,公司企业一直在寻找可以实施细粒度访问控制的解决方案:能在正确的时间点为正确的人员分配恰当的权限,同时对所有远程支持活动进行监视,留有日志记录。
为对抗网络攻击,很多安全人员想采取积极手段迷惑对手,仅仅识别哪些系统可能被黑已经满足不了企业的当前需求,事件响应团队一直在寻求更为主动地对抗已存在恶意威胁的方法,比如说,公司企业可能会针对特定恶意软件家族为自家系统进行“预防接种”,让恶意软件误以为自身已经在系统中而不执行感染操作。
在公司企业疲于应付各种网络威胁的时候,在安全策略中加入欺骗操作的趋势正在兴起。各种模拟器正在学习如何将攻击者引诱至“虚假”的ATM机、医疗设备等等。在陷阱系统上一无所获后,攻击者就可能转向更好啃的目标了。
几乎每个行业的公司企业都意识到了所有IT都自己搞定是多么昂贵。于是,他们纷纷将IT负载分流到Azure之类的云环境中。在承受云风险与承担昂贵自有成本之间取舍并不是太难。
“风险”这个词听起来似乎意味着会给安全团队带来更多工作。但实际上,更加减轻了公司安全团队的工作量才是真的。虽然前些年盛传云是不安全的,但过去一年中,公司企业将数据转移到AWS这种安全环境的脚步可不要太快哦。相比之下,云环境才是更安全的。
甚至安全工具也正在向云端迁移。无论是Web网关、数据丢失防护,还是高级威胁防护,全都在向云端迈进。
公司企业迎娶云安全技术新欢,曾经的旧爱——基于病毒特征码的静态杀毒软件,也就成了下堂妻。毕竟,遗留杀毒软件向来以被动、臃肿,且对现代攻击无甚效果而闻名。
事实上,随着技术服务的发展,杀毒软件可能面临着史上最大抛弃潮。即便还在用杀软的人,多半也无需再为之付费了。操作系统厂商,尤其是微软,已经接过了安全接力棒。Windows 10 就内置了 Windows Defender,让很多第三方杀毒软件完全多余。这并不是说杀毒软件不像以前那么重要,只是说如今大多数人已经无需为之付款了。
多年来,安全人员一直在宣传安全需一开始就做进系统和过程中。如今,这一理念终于深入人心了。在开发运维界,内置安全运动声势渐隆。开发安全运维(DevSecOps)实践正驱动公司企业将安全作为嵌入到整个软件生命周期中的基本组成部分,而非仅仅是事发后贴上的一块创可贴。将安全焦点从防火墙或杀毒软件之类辅助措施上移开,可使公司企业在重大事件发生前抢先扑灭威胁和漏洞,从而省下大笔金钱、时间和无尽的烦恼。
系统集成领域也适用从一开始就内置安全的方法。客户和技术提供商方面都提出了更强烈的集成需求。从客户的视角出发,尤其是站在企业客户的角度,他们可能不具备持续整合多个产品的能力。从技术合作伙伴的角度出发,提供可能有限或缺乏的附加功能也是个双赢的策略。
现代经济社会中对机器人或算法取代人类职位的恐慌从来不少,但很多专家都认为,人工智能(AI)和深度学习指导下的自动化安全过程,将倍增人类处理海量安全威胁的能力。基于深度学习的行为分析可分析安全情报并将之与外部威胁数据关联,指引人类分析师找出海量威胁数据中真正相关的那些真实威胁。AI不仅可以辅助识别威胁,还能帮助安排修复过程,用预设事件响应工作流来自动化事件响应工作。
所有这些“AI”和“深度学习”场景听起来都太玄幻了,但在实践中,大部分自动化过程做的是相当繁琐而基础的工作。自动化单调的工作可以让分析师不再拘于禁用端口或做些其他调整之类“体力活”,将时间精力投入到真正复杂的调查分析上。登录设备和修改配置这种基本操作完全可以撰写自动化脚本来搞定。
不过,别以为只有网络安全人员才利用自动化。黑产从业者绝对会用自动化技术增加自己的效率的。民族国家可能已经在用该技术挖零日漏洞了。不远的将来,会有更多攻击者使用机器学习挖掘漏洞或者执行更有效的网络钓鱼活动。
技术人员或许想要依靠机器的智慧,但他们对与对手公司的人共享情报仍然存有疑虑。安全社区曾经以为我们终有一天会广泛共享威胁情报,私营产业和司法机构也能更好地沟通。然而,基本上,至今仍欠缺该合作关系的催化剂,威胁情报也一直被当做知识产权看待。
