McAfee Labs：2017年威脅預測報告57頁.pdf

1、McAfee Labs 2017 年威脅預測 2016 年 11 月 報告 McAfee Labs 2017 年威脅預測，2016 年 11 月 | 2 關于 McAfee Labs McAfee Labs 是威脅研究、威脅情報和網絡安全先進理念的 全球領先來源之一。借助來自文件、web、郵件和網絡等主要 威脅媒介數百萬臺傳感器提供的數據，McAfee Labs 提供實 時威脅情報、關鍵分析和專家意見，以增強保護并降低風險。 McAfee 現在是 Intel Security 的一部分。 關注 McAfee Labs 簡介 歡迎閱讀McAfee Labs 2017 年威脅預測報告。本報告分成

2、兩個部分，第一部分將深入探討三個非常重要的主題，從長遠 著眼對每個主題做出預測。 在報告的開頭，我們首先概覽網絡安全領域一些難 以解決的問題，以及安全行業在早期為解決這些問 題付出的努力。本報告匯集了 Intel Security 眾多思 想領導者所看到的最緊迫的技術安全挑戰。隨后， 我們對這些挑戰進行了總結和剖析。我們將指出其 中的六大難題。 接下來，我們再討論云威脅。十一位 Intel Security 思想領導者共同預測了在未來兩至四年內將會出現 的云威脅，以及預期將要采取的法律和行業響應措 施。我們預期將會看到哪些威脅和安全違規？地緣 政治問題、法規、監管行動將如何影響這種環境？ 云服

3、務提供商和安全供應商將會采取哪些響應措施？ McAfee Labs 探討未來一年內 可能會發生的 主要威脅。 McAfee Labs 2017 年威脅預測，2016 年 11 月 | 3 分享本報告 我們最后討論的是有關威脅和物聯網的問題。十 位 Intel Security 思想領導者使用與討論云威脅 形勢相同的方法，對威脅和安全違規、法律和邊 界、供應商響應措施進行預測。 第二部分對 2017 年的威脅活動進行了具體預測。我們對未來 一年的預測涵蓋了眾多威脅，包括勒索軟件、所有類型的漏 洞、利用威脅情報改進防御、以及移動設備上的攻擊。 此外，我們還： 預測勒索軟件將在明年中期達到高峰，但隨

4、后開 始衰退。 討論為什么威脅情報共享將在 2017 年取得重大 進步。 解釋為什么物理安全和網絡安全行業將更緊密地 融合。 預測黑客行動主義者會將目標瞄準消費者隱私， 并闡述立法者和企業將如何采取響應措施。 討論為什么安全供應商和執法機構將進行空前密 切的合作，共同打擊網絡犯罪分子。 詳細討論為什么一些最常用應用程序中的安全漏 洞將在 2017 年持續減少。 描述“假冒”內容的規模 包括產品評論、好 評、廣告、安全警告等 如何持續增加，從而削 弱互聯網上的信任。 解釋為什么機器學習將用于增強社會工程手段 攻擊。 我們希望這些主題能夠在您制定近期計劃和遠期策略時為您 提供寶貴的意見。 我們通過

5、自己的威脅報告用戶調查不斷收到來自讀者的寶貴 反饋。如果您愿意分享有關本威脅報告的觀點，請單擊此處 填寫一份只需五分鐘時間就能完成的簡單調查。 祝您和您的摯友親朋節日快樂。 Vincent Weafer. McAfee Labs 副總裁 目錄 難以應對的安全挑戰 5 云威脅、法規和供應商響應措施 11 物聯網威脅、法規和供應商響應措施 20 2017 年預測 28 勒索軟件將在 2017 年下半年衰退 29 針對 Windows 的漏洞利用降溫，而針對其他平臺的 漏洞利用愈演愈烈 31 富有經驗的攻擊者們越來越多地將威脅目標鎖定在硬 件和固件 34 “Dronejacking”通過無線方式施加

6、威脅 36 移動威脅將包括勒索軟件、RAT、被破壞的應用市場 38 物聯網惡意軟件打開家的后門 39 機器學習加快了社會工程攻擊 41 虛假廣告和買“贊”呈爆炸式增長，危及信任 43 廣告戰升級加劇惡意軟件傳播 48 黑客行動主義者暴露隱私問題 49 執法機構的打擊行動震懾網絡犯罪 51 威脅情報分享取得巨大進步 52 行業和執法機構聯手打擊網絡間諜 53 物理安全和網絡安全行業通力合作 54 McAfee Labs 2017 年威脅預測 以下思想領導者協同編寫了這 份報告： Jonathan Anderson Yuriy Bulygin Peter Bury Torry Campbell D

7、avid Coff ey Carric Dooley Brian Dye Lynda Grindstaff Barbara Kay John Loucaides Scott Montgomery Raj Samani Rick Simon Shishir Singh Martin Stecher Jamie Tischart Ramnath Venugopalan Lori Wigle Candace Worley 2017 年威脅預測的研究及編寫 人員： Christiaan Beek Yuriy Bulygin Douglas Frosst Paula Greve Jeannette Ja

8、rvis Eric Peterson Matthew Rosenquist Fernando Ruiz Craig Schmugar Rick Simon Bruce Snell Dan Sommer Bing Sun Adam Wosotowsky 分享反饋意見 難以應對的安全挑戰 McAfee Labs 2017 年威脅預測，2016 年 11 月 | 6 分享本報告 難以應對的安全挑戰 McAfee Labs 數字信息安全領域始終面臨著各種挑戰。為了應對攻擊者層出不窮的變化，我們持 續不斷地推出更新和補丁。主要軟件版本在推出了重要新功能的同時，也會帶來意 料之外的漏洞。緊急通知和修復在新

9、漏洞攻擊被發現之后才會發布。 我們還會遇到一些難以解決的大問題。這些全局性問題無法通過補丁或軟件更新得 到解決。解決這些問題需要進行基礎研究、新的產品分類、并需要海量時間和工作 量進行開發，以及持續不斷的關注，而這些通常需要多個行業參與者通力合作。 過去幾年內，隨著云服務的快速普及使用，內部網絡和外部網絡之間的外圍邊界逐 漸消失，新設備的增長速度令人難以置信，這些因素都對保護所有數字信息的傳統 方法提出了挑戰。本文將討論安全行業面臨的六大挑戰，并提供行業采取行動應對 這些挑戰的一些示例。 威脅防御有效性 攻擊和防御雙方都在不斷調整和演進。下圖顯示了某種類型的防御隨著時間推移的 典型演進過程。隨

10、著新技術的開發，它的有效性迅速增加，最終可以隨時進行部 署。部署之后，它將廣泛應用在現實場景下，開發團隊可以收到反饋，另外還包括 應用于其他防御中，從而進一步提高有效性。這種防御技術將不斷增強，直至到達 一定的有效性級別，促使對手采取響應措施。在這個階段，攻擊者會進行實驗，發 現規避這種防御的方法，制定出對策，從而降低了這種防御技術的價值。 難以應對的安全挑戰 難以解決的大問題是那些需要進行 基礎研究、新的產品分類、并需要 海量時間和工作量進行開發，以及 需要持續關注的問題，而這些通常 需要多個行業參與者通力合作。本 文中，我們討論了六個此類挑戰。 威脅防御有效性 部署整合 對手規避和 制定對

11、策 持續創新 發明和開發 時間 效果 隨著新技術的開發，它的有效性迅 速增加。這種防御技術將不斷增強， 直至到達一定的有效性級別，促使 對手采取響應措施。攻擊者會進行實 驗，發現規避這種防御的方法，制定 出對策，從而降低了這種防御技術的 價值。我們需要通過將曲線向右上移 動，提高威脅防御有效性。 McAfee Labs 2017 年威脅預測，2016 年 11 月 | 7 分享本報告 安全行業的挑戰是向上向右移動這條曲線，到達紅色虛線的位置，從而延長威脅防 御有效性的生命周期。全面影響這種生命周期的行動包括： 降低我們和對手之間的信息不對稱。 提高發動攻擊的成本，降低從中獲得的收益。 提高安全

12、操作的可見性。 發現攻擊者對合法工具和憑據的利用。 保護分散數據。 在沒有代理的情況下進行檢測和保護。 降低信息不對稱性 對手掌握的有關我們防御的信息，多于我們掌握的有關他們攻擊的信息，這種不對 稱性嚴重影響了威脅防御有效性曲線。對手可以針對安全防御，測試他們的攻擊方 法，而不會遭受損失，無論是在實驗室中，還是在實際情景中，都可發起針對已部 署系統的攻擊。他們可以針對我們進行測試，但我們卻察覺不到大部分測試，因而 無法從攻擊者一方汲取經驗。為了讓曲線朝有利于我們的方向移動，我們是否可以 制定相應方法來防止攻擊者針對我們進行測試，檢測到他們的實驗并從中吸取經 驗，在可能的情況下誤導他們？ 防止攻

13、擊者針對我們進行測試是非常困難的，甚至可能是無法解決的問題。但 是，更加廣泛地共享有關攻擊的信息，是我們可以采取的第一個關鍵步驟，有助 于消除這種不對稱性。當我們共享和匯總有關攻擊的信息時，我們可以更好地了 解這些攻擊方法，以便找到我們算法中的漏洞。這讓我們能夠更加快速地調整和 改進防御。 流經各個網元 - 例如云環境、虛擬機、物聯網設備 - 的遙測系統中的大量詳細數據 有助于我們更好地了解攻擊方法。我們正在學習如何將數據科學應用到這些信息 中，以便更好地識別攻擊模式，并且更加快速地創建攻擊指標。我們還有潛力改變 防御的可預測性，讓對手更難發現特定弱點。這需要不同防御層實時協同工作，讓 通過某

14、一個層的攻擊或探測被另一個層終止。 提高發動攻擊的成本，降低攻擊獲得的收益 金錢是大多數網絡攻擊者的主要動機。我們是否可以提高發動攻擊的成本并降低攻 擊獲得的收益？如果我們能夠減少攻擊獲得的經濟收益，降低攻擊成功率，提高捕 獲的可能性，我們就能降低攻擊目標的吸引力。分析一下執法數據，我們將會發 現，網絡犯罪的調查和起訴與犯罪嚴重程度呈反比關系。對于物理犯罪，我們通常 針對最嚴重的罪行進行起訴。但對于網絡犯罪，針對高級別攻擊進行調查和起訴更 加困難，因為它們通?？缭蕉鄠€司法管轄區，犯罪者通常掌握了更多技能和資源， 可以幫助他們規避檢測和起訴。針對這種情況，可以采取的一種響應措施是迷惑攻 擊者，增

15、加他們花費在特定攻擊上的時間，從而更加簡單地跟蹤、識別、捕獲和起 訴這些網絡犯罪。 難以應對的安全挑戰 對手對我們的防御的了解程度比我 們對對手的攻擊了解更深。攻擊者 可以對安全防御進行不會遭受懲罰 的攻擊測試。我們卻察覺不到大部 分測試，因而無法從攻擊者一方汲 取經驗。我們必須制定相應的方法 防止攻擊者針對我們進行測試，檢 測到他們的實驗并從中吸取經驗， 然后盡量誤導他們。 網絡犯罪的調查和起訴與犯罪嚴重 程度呈反比關系。我們必須減少攻 擊所獲得的經濟收益，降低攻擊成 功率，提高捕獲的可能性，從而降 低攻擊目標的吸引力。 McAfee Labs 2017 年威脅預測，2016 年 11 月

16、| 8 分享本報告 安全供應商顯著加強了他們與執法機構的合作。我們顯然能夠收集有助于執法和起 訴的信息。專注于防御欺騙行為的安全公司已經進入市場，他們利用誘餌迷惑對 手，將他們的注意力從更有價值的目標引開。與執法機構以往使用標記票據、汽車 跟蹤以及其他可跟蹤性和恢復工具相似，網絡安全也在增加對數字誘餌、報警文件 及其他無法消除的標記的使用，旨在幫助找到攻擊者。 提高可見性 通常只有在出現安全違規事件之后，組織才了解到他們的信息資產受保護的情況如 何。在影子 IT、各種類型的云、“自帶設備”趨勢等因素的影響下，我們更難清楚 了解安全操作的有效性。幾十年以來，企業一直在尋找識別和控制所有企業資產的

17、 制勝法寶。事實上，我們對信息資產的控制比較有限，由于信息資產的數量和分布 位置急劇增加，控制級別還在降低。幾乎沒有任何公司能夠宣稱他們牢固掌握了信 息資產的位置和控制權。因此，我們需要幫助組織改進安全狀況的可見性。 公司和安全供應商的安全操作正將重點從 IT 資產轉移到數據資產，從“偽絕對-絕 對”防御覆蓋轉移到信息靈通的風險管理。我們擁有的工具能夠識別和分類數據， 監控數據使用情況，并應用適當的策略，必要時還能阻止數據移動。利用這些工 具，組織能夠更加有效地量化他們的風險狀況，發現嚴重的安全缺陷，并且適當地 集中資源。安全意識比較好的組織會將基本統計數據與前一個月的數據進行比較， 與會計賬

18、目非常相似。而安全意識更好的組織則會確立地區、國家、行業的基準， 用于進行比較，就像投資者那樣。但是，很多常見安全指標并不具有很強的可操作 性。我們認為，要能夠對在受保護環境中的威脅行為采取接近實時的操作，我們還 有很多工作要做。 識別披著合法外衣的攻擊 很多攻擊首先使用盜竊的憑據，然后使用合法的管理工具來攻擊目標系統和泄露數 據。傳統方法基于文件簽名或其他標準來查找惡意或可疑對象，從而檢測非法行 為，但在此類情況下，傳統方法無法奏效。使用的對象已知是合法的，但被用于惡 意目的。因此我們必須確定操作的意圖。它是正常業務登錄還是攻擊？加密是用于 保護數據還是泄漏數據？這次 PowerShell

19、會話是管理員發起的還是惡意探測？ 合法工具究竟被用于合法目的還是可疑活動？判斷兩者之間的差異是非常困難的。 我們目前可以使用的唯一方法是行為分析，但它在網絡安全領域還處于發展初期。 它是一個良好的開端，但還需要構建一個模型，針對每次活動開展合法性測試，而 不僅是針對文件和憑據。我們需要分析操作和數據移動，試圖確定其意圖，無論它 們是來自外部操作人員還是未經授權的內部人員。此步驟要求了解有關活動上下文 的大量信息。 我們對信息資產的控制比較有限，由 于信息資產的數量和分布位置急劇增 加，控制級別還在降低。我們需要幫 助組織改進安全狀況的可見性。 許多攻擊通過使用盜取的憑據開始實 施。合法工具究竟

20、被用于合法目的還 是可疑活動？判斷兩者之間的差異是 非常困難的。我們需要開發可針對每 個活動進行合法性測試的模型。 難以應對的安全挑戰 McAfee Labs 2017 年威脅預測，2016 年 11 月 | 9 分享本報告 一種具有爭議的可能性是展開用戶信譽和預測分析。它的概念是評估特定帳戶遭受 入侵和盜竊或被用于未經授權的內部活動的概率。通過收集上下文中的用戶行為， 從在不同系統上重用密碼的趨勢到作業描述和典型工作時間，我們可將不同操作與 一系列預期的合法活動進行比較，并標記超出特定風險級別的活動。這是一個敏感 區域。在這種技術成為主流之前，我們還需要解決所涉及的隱私、道德和法律等重 大問

21、題。 保護分散數據 數據在企業周邊之外移動，因而容易出現無意泄露和遭受針對性攻擊。數據要移動 到云和個人設備，還要移動到合作伙伴、供應商和客戶。我們如何在移動過程中保 護數據，確保它安全到達目的地。雖然組織僅有不足 20% 的數據始終在這種擴展生 態系統中移動，但是 70% 的數據丟失都與這種移動相關。目前，有些機構試圖對數 據進行加密，并在單獨的郵件中發送密鑰，將保護數據的責任移交至鏈條中的下一 個人，從而保護此種類型的數據移動，這將導致信任范圍很小。我們必須找到如何 擴展信任范圍，同時又維持更好的控制。 在早期階段，我們要使用數據分類和丟失防護系統來管理和擴展分散數據的信任 范圍。數據在移

22、動過程中始終具有安全性，從而實現持久的策略執行，這是下一 個步驟。我們必須能夠在下一次使用過程中保護數據，這一點類似于數字權限管 理機制。 在沒有代理的情況下進行檢測和保護 過去，很多安全功能要通過在我們保護的設備上運行代理來實現。但在今后的很多 情況下，這種方法將不再可行。物聯網設備的存儲空間和計算能力非常有限，操作 系統變得更加封閉以提高安全性，各種操作系統和設備類型數量繁多，超出了任何 供應商的研發能力，汽車和關鍵基礎設施等行業的元器件生命周期很長，無法隨時 更新。要確保未來的網絡安全，解決大部分難以解決的重大問題，必須在無代理的 環境實現安全。 無代理安全技術已經開始演進，早期的解決方

23、案試圖從多個方向解決問題。芯片設 計人員正在增強硬件級別安全性、存儲器保護、受信任執行環境。行為分析安全產 品從外部進行監控，能夠隨時隔離和調查存在可疑或異常行為的設備。處理和分析 仍然必須利用某種計算資源來進行，但我們將更多地利用靈活的計算資源，而不是 使用專門的代理。分布式實施點已經出現，它將擴展到由設備組成的整個網絡，多 個點之間相互實時通信和協作，以便執行檢測和保護操作。 難以應對的安全挑戰 數據在企業周邊之外移動，因而容 易出現無意泄露和遭受針對性攻 擊。數據將移動到云和個人設備， 還會移動到合作伙伴、供應商和客 戶。數據移動和到達目的地時，更 需要保護。 在將來的許多實例中，將不能

24、把代 理安裝到設備上來保護設備。我們 必須找到其他保護途徑。 McAfee Labs 2017 年威脅預測，2016 年 11 月 | 10 總結 提高整個安全行業的威脅防御有效性是遏制對手的關鍵。多家行業參與者必須協同 工作，共同解決單個補丁或軟件更新無法解決的全局性問題，這一點至關重要。我 們需要更加廣泛地在業界領先公司之間分享信息，這樣不僅能為我們提供更多的詳 細遙測數據，而且有助于增強反欺騙技術。通過增加預測性分析的使用，提高組織 資產和分散數據的安全可見性，減少專門代理的使用，我們能夠提高威脅防御生命 周期的有效性。 難以應對的安全挑戰 云威脅、法規和供應商 響應措施 分享反饋意見

25、McAfee Labs 2017 年威脅預測，2016 年 11 月 | 12 分享本報告 云威脅、法規和供應商響應措施 云威脅、法規和供應商響應措施 您能夠外包工作，但不能外包風險 云服務提供商正在建立信任和贏得客戶。越來越多的敏感數據和業務關鍵流程正在 轉移至公有云和私有云。攻擊者將適應這種轉變，繼續尋找最簡單的方式來獲得經 濟收益，或者實現他們的目標。在未來兩至四年內，我們的重點是云安全的演進。 我們預期將會看到哪些威脅和安全違規？地緣政治問題、法規、監管行動將如何影 響這種環境？我們預測云服務提供商和安全供應商將會采取哪些響應措施？ 威脅和安全違規 云服務不斷快速成熟和發展，既為組織和

26、國家帶來了機會，也為犯罪分子提供了可 乘之機。我們通過討論做出了以下 11 條預測，在未來兩至四年內，這些預測很可能 變成顯而易見的現實。 人們對云的信任度會提高，云中的敏感數據和處理將會增多，導致針對云攻擊的可 能性增大。 第一條預測非常簡單，但它為其他云威脅預測奠定了基礎。過去幾年內，向云應用 程序、云服務、云存儲遷移的速度加快，我們預測這種趨勢還將持續。云服務提供 商已經顯著改進了安全控制和客戶保證，而且還將繼續進行改進。如果沒有發生影 響到多個企業、國家、經濟行業的重大安全違規或中斷事件，用戶對云服務的信任 將會繼續增加。所有類型和規模的組織會將更多處理和數據遷移到云，很多企業將 完全

27、依賴云。攻擊將會進行調整，新威脅隨之興起，并發生安全事件。 企業仍將關鍵功能保留在受信任數據中心和網絡。 雖然數據在向云遷移，但大多數企業不會完全外包他們的專有處理和存儲功能，他 們將保留對企業非常關鍵的核心數據和知識產權。具有諷刺意義的是，公共云毫無 疑問比私有云更加安全，因為它們通常擁有更加專業的安全團隊，掌握了從芯片到 應用程序等領域的專業知識。構建私有云的公司必須確信能夠保護所有層的安全， 從應用程序到操作系統，從硬件到管理程序。當前，公司發現保護關鍵數據變得日 益困難，因為周邊的定義不太明確。隨著云服務使用的增加，這一問題將變得更 加突出，公司及其云服務提供商必須明確定義允許哪些數據

28、通過，受到哪種類型的 保護。 Intel 的 11 位思想領導者共同對接 下來兩到四年的云威脅和響應進行 了展望。 我們的專家陣容： Yuriy Bulygin Peter Bury David Coffey Carric Dooley John Loucaides Scott Montgomery Raj Samani Rick Simon Shishir Singh Jamie Tischart Candace Worley 本文解答了下面的問題： 我們預計將會看到哪些云威脅和安 全違規？ 地緣政治問題、法律、法規行動將 如何影響云環境？ 我們預測云服務提供商和安全供應 商將會采取哪些響應

29、措施？ McAfee Labs 2017 年威脅預測，2016 年 11 月 | 13 分享本報告 云服務的速度、效率、成本仍將與控制、可見性、安全性產生沖突。 對于尚未積極利用云服務的組織而言，妨礙其得到更廣泛采用的第一位障礙 是安全性。（但是，這些組織已經在使用云，因為很多員工的文件都存儲在 Google、Dropbox、iCloud、OneDrive 或其他云服務上。）對于已經遷移至云的 組織而言，安全性下跌至第二位或第三位的障礙，位于運營一致性和財務監督之 后。服務提供商必須改進云服務的速度、效率、成本，但另一方面又要兼顧控制、 可見性、安全性，這種矛盾將會反映在云服務中。提供商將選擇

30、不同的平衡點，它 們最終會在價格和服務協議中反映出來，為公司提供最合適他們期望的安全狀況的 選項。雖然云服務當前大多是存儲、服務器、應用程序的虛擬化，但在未來四年 內，我們預期服務將會變得更加精細。云將更多成為事件驅動的容器，而不是基于 服務器的代碼。容器的平均生命期要比虛擬機短得多，基于代碼和數據運行，隨后 消失。這種向更高的速度和效率的轉變將會顯著增加安全壓力，并與安全發生更多 沖突。 我們熟悉的身份驗證方案及其控制系統仍將是云保護中的最薄弱技術環節；很多攻 擊首先將憑據竊取做為重點。 在可以預見的將來，密碼以及創建和使用密碼的用戶仍將是大多數技術中的最大薄 弱環節。云身份驗證也不例外，它

31、為憑據竊取帶來很大收益。有些攻擊者非常耐心 和老練，他們將會挖掘社交網絡、以前失竊的密碼以及其他個人身份數據，以圖盜 竊憑據，尤其側重于云管理憑據。目標釣魚攻擊、虛假招聘活動和其他一些手段已 在使用中，而且將繼續使用。內部身份驗證系統，例如 Active Directory，與云服務 提供商使用的身份驗證系統進行交互的能力有限。云應用程序的使用日益廣泛，而 且人們喜歡在所有云服務中都使用相同或相似的密碼，導致這個問題進一步加劇。 針對管理員帳戶的目標憑據盜竊和強力攻擊將會增加，攻擊者還會密切關注管理員 帳戶活動。 攻擊將來自所有方向，同時利用“東-西”和“南-北”攻擊媒介。 正如我們在 Bla

32、ck Hat 大會和其他安全會議上聽到的討論內容那樣，犯罪分子將繼續 探索新的攻擊媒介，并且成功實施攻擊。在傳統的系統和網絡中，大多數攻擊遵循 “南-北”模式，企圖在堆棧中上下移動，以增加權限、攻擊漏洞、獲取對數據或應 用程序的訪問。云攻擊者將繼續使用這種模式，另外還會尋求利用“東-西”攻擊的 機會?！皷|-西”攻擊是在虛擬機、容器或其他云項目之間移動，在服務甚至組織之 間跳轉。攻擊者將利用云的規模和攻擊面的增大，廣泛掃描尋找漏洞，然后試圖攻 擊使用同一家云服務提供商的多個組織，或者衍生惡意流程，為后續的監視和泄露 提供立足點。 云威脅、法規和供應商響應措施 云服務的速度、效率、成本仍將與控 制

33、、可見性、安全性產生沖突。提供 商及其客戶將選擇不同的平衡點。 我們熟悉的身份驗證方案及其控制 系統仍將是云保護中的最薄弱技術 環節。我們預計針對管理員帳戶的 定向憑據盜竊和暴力攻擊將增多。 McAfee Labs 2017 年威脅預測，2016 年 11 月 | 14 分享本報告 服務層之間脫節、不一致的設置及控制是第二個薄弱環節；攻擊者可能成功利用這 些脫節和不一致性。 從基礎設施到應用程序，組織分別使用了多家不同類型的云服務提供商。組織并不 能始終清晰地劃分云服務提供商和自己之間的責任界限，因而在安全方面留下了可 以利用的漏洞。這并非技術的失敗，而是流程的失敗。組織擁有工具，知道應該采

34、取哪些措施，但有時他們假定某項工作是由另外一方負責的。此外，如果組織使用 了多家云服務提供商，由于不同或不一致的控制或術語，多家供應商分別負責的安 全狀況可能有所不同。出現這種情況的一部分原因是他們使用了大量不同安全標 準，影響到一致性，進而影響到比較能力。這些流程失敗和安全控制不一致將為網 絡攻擊留下可乘之機。要杜絕這種現象，他們必須更好地理解流程，讓云安全控制 標準變得更加成熟。 在將計算和數據遷移到云時，可見性和控制仍將是企業面臨的關鍵問題。 云計算能夠根據需要移動流程和數據，這會為我們提供極大優勢，但也可能導致嚴 重的安全或隱私問題。我們見過一些案例，有人賄賂員工，以求分享他們的密碼。

35、 對于所有類型的組織而言，不知道或無法控制數據存儲在何處或執行哪些流程，都 會導致一系列棘手問題。無論這些組織是希望將數據存儲在國界范圍內，以遵守國 家的隱私法規，還是出于安全原因，限制流程僅在特定的云環境中運行，防止第三 數據或知識產權離開公司本地，或者了解云的使用模式，他們查看和限制數據在云 中和云間的移動的能力都遠遠落后于需求。如果攻擊者利用合法媒介（應用程序、 憑據等）來實現可能非法的目的，我們必須采用基于上下文的行為分析。在可以預 見的未來，這些可見性和控制問題仍將存在。 攻擊者，包括雇傭的職業攻擊者，將利用云實現規?；?、快速以及匿名等目的。 令人遺憾的是，我們沒有簡單的方法來防止云

36、資源被攻擊者利用。一旦發現濫用行 為，它們將被立即終止，但整個過程可能花費長達幾個月時間。另外，攻擊者還會 利用云資源進行大規模強力攻擊，通過多種媒介發起復雜攻擊，在多個站點和國家 之間迂回進行攻擊以逃避起訴。由于使用云數據存儲服務，它也可能構成竊取數據 的倉庫，攻擊者可以挖掘這個倉庫以尋找寶貴的連接和關聯。云具有很多特征，包 括持續變化的帳戶、IP 地址、服務位置以及短暫存在的容器，這些特征有助于居心 叵測的攻擊者更長時間地隱藏身份，讓他們更加難以跟蹤。在未來兩至四年內，這 種狀況將無法改變。 各服務層之間脫節、不一致的設置 及控制是第二個薄弱環節。攻擊者 將成功利用這些脫節和不一致性。 云

37、威脅、法規和供應商響應措施 McAfee Labs 2017 年威脅預測，2016 年 11 月 | 15 “勒索拒絕服務”將成為針對云服務提供商和依賴云開展運營的組織的常見攻擊。 由于一個云可能包含很多租戶，因此針對云服務提供商發起拒絕服務攻擊具有更大 的誘惑力。大多數服務提供商能夠很好地防御傳統的拒絕服務攻擊。但是，攻擊者 將繼續努力尋找他們可以利用的漏洞。一旦找到，他們會立即發起攻擊。如果組織 完全依賴于云，企業和云之間可能有多個點遭受攻擊，讓業務陷入停頓。其中包括 互聯網連接、DNS 服務和其他基礎設施組件。要攻擊依賴云開展運營的企業，攻擊 者并不需要攻擊云服務提供商。相反，攻擊者可以

38、干擾企業對云的訪問，然后劫持 公司數據，以此進行勒索。 除了基于憑據弱點的數據泄漏之外，成功的公共云數據泄漏事件仍然比較少，但影 響卻不斷增加。 云服務提供商掌握的云安全專業知識通常遠強于他們所服務的公司，因此，除了由 于憑據失竊導致的數據泄漏之外，成功的云數據泄漏事件預期仍會較少。但是，當 數據泄漏能夠提供對多家客戶的大型數據庫的訪問時，云服務數據泄漏產生的潛在 后果是非常嚴重的。云服務提供商或受影響組織是否會受到數據泄漏的嚴重影響， 很大程度上取決于相應人員是否在其責任范圍內付出了合理的努力。 物聯網設備的數量和多樣性不斷增長，將會破壞一些云安全模式，導致攻擊者成功 通過這些設備發起進攻。

39、 大多數身份驗證都需要用戶和設備之間的交互，或兩部設備之間的交互。隨著更多 物聯網設備和服務的推出，這些設備將與多部其他物聯網設備進行通信，并以機器 速度做出信任決定。企業嚴重缺乏安全架構、受信任證書頒發機構以及對這種通信 的控制，因而導致數據泄漏，產生可能被利用的漏洞。云服務提供商努力將當前模 式推行到這種新環境中，但這樣會產生很高的延遲和復雜度，而它們都是引發安全 故障的因素。我們已經看到過攻擊者通過無安全保護的物聯網成功入侵企業網絡的 情況，他們的下一個攻擊目標是云。 法律和邊界 云威脅和數據泄漏事件將會導致來自政治和法規的雙重響應。技術進步的高速度妨 礙了有效的立法，而立法的滯后又妨礙

40、了技術進步。各個國家/地區制定了不同甚至 相互矛盾的法規，讓消費者、企業、云服務提供商很難找到法律依據。 云威脅、法規和供應商響應措施 McAfee Labs 2017 年威脅預測，2016 年 11 月 | 16 分享本報告 法律將無法跟上技術進步的速度。法規將使用諸如“盡職調查”和“合理努力”之 類的字眼，讓云服務提供商及其客戶面臨遭受起訴的風險。 法律無法跟上技術革新的步伐，這并非新聞。有關云中數據保護和消費者隱私的法 律也不例外。在提及云數據安全時，司法機構將會使用諸如“盡職調查”和“合理 努力”之類的字眼，以確保立法保持有效性，而不會立即過時。遺憾的是，他們需 要一定的時間和很多的訴

41、訟，才能通過法律程序來足夠詳細地定義這些術語。對于 系統和數據的網絡安全，通常無法應用簡單的“是或否”測試，特別是在云安全領 域，多個實體必須協同提供保護。同時，云服務提供商及其客戶，還有新興的網絡 保險行業，將會作為原告和被告，經歷多年的訴訟，辯論他們是否付出了“合理努 力”。因為遭受云威脅的公司將努力證明他們采取了能夠做到的一切來保護客戶， 公眾認知將在其中扮演重要角色。 數據出入司法轄區的移動將成為長期挑戰。保護消費者的法規將限制云利用。 為了保護消費者的隱私，政府機構將通過法規，要求組織將其收集的個人數據存儲 在公民所屬國家/地區的邊界范圍內。這會向企業挑出挑戰，要求他們必須識別和 分

42、類數據。而對于云服務提供商而言，則必須為數據和流程移動提供更加精細的控 制。如果位于某個國家的大型數據中心受到攻擊影響，而最近的備份位于邊界之 外，服務協議如何對此做出規定？跨國公司如何將客戶數據、銷售數據、產品數據 分離開，以便根據新法律實施控制？此類挑戰將會限制云利用，因為組織可能被迫 在某些國家/地區建立自己的數據中心，或者確定在這些國家/地區開展業務是否成 本過高。 有些司法轄區將對云服務提供商及其關聯企業提出最低運營要求，并且進行認證和/ 或審計。 如果云服務提供商破產，數據如何處理？如何保護企業和消費者，以防止犯罪分子 或某些國家創建以數據收集為主要目標的惡意云服務？云服務提供商與

43、其分包商或 關聯企業之間的責任劃分應遵守什么法律要求？對于這些問題，政府機構可能采取 的另一個應對措施是對在他們國家/地區運營的云服務提供商提出最低運營要求，進 行獨立認證，或者提出審計條件。定義這些條款和關系層是一個嚴峻的挑戰，將在 業界形成對立的觀點，并且引發激烈討論。無論法律如何規定，數據泄漏的風險和 最嚴重后果將由服務提供商承擔，而不由分包商或關聯企業承擔。 云威脅、法規和供應商響應措施 法律將無法跟上技術進步的速度。 云服務提供商、其客戶和新興網絡 保險行業要經過多年的訴訟，才能 明確建立正確的行為。 McAfee Labs 2017 年威脅預測，2016 年 11 月 | 17 分

44、享本報告 供應商的響應措施 威脅、數據泄漏和相關立法將促使云服務和安全供應商在技術和服務方面采取響應 措施。他們將會增強身份驗證系統，開展企業級別的控制，實現安全功能的自動 化，從而減少差距和不一致，另外威脅情報共享將會改進檢測。以下是我們預期供 應商將在未來兩至四年內針對云威脅采取的十大響應措施。 生物識別、多級別身份驗證、行為分析將幫助保護服務提供商及其客戶的數據。 密碼必須被更安全的身份驗證系統取代，但這些系統不能過度妨礙登錄過程。短期 內，我們預計將會看到多要素身份驗證的增加，通常使用手機或“質詢-響應”系 統。這種技術首先將應用于管理員，因為管理員憑據失竊帶來的后果是最嚴重的。 我們

45、還將看到行為分析技術被用于檢測帳戶登錄中的異?；顒?。長遠來看，我們預 期生物識別技術的采用將會大幅增加，此類設備的外形尺寸讓用戶感覺舒適和易 用。指紋將被其他唯一特征取代或結合使用，比如面部、心跳或視網膜，這些技術 的實施在商業上具有可行性。 企業級別的可見性和控制將幫助管理影子 IT 的信息向云的移動，并協調在云中執行 的工作的復雜度和規模。 在云服務提供商的幫助下，企業的業務部門能夠將工作負載移動到云，而無需 IT 人 員介入。在很多公司，安全或 IT 團隊不能知道這些業務部門何時將數據或流程移動 到云，這種情況有可能波及整個企業。他們請求供應商提供工具，以增加可見性和 數據控制，從而滿足

46、這種需求。我們預期數據丟失防御和策略協調工具將會更加適 合云使用。下一個步驟將是支持云的擴展，它讓企業能夠直接通過云服務提供商應 用安全控制和策略。 安全自動化有助于解決人才短缺問題。 安全技能缺乏將是對云服務提供商的一大威脅，但也為他們提供了機遇。要將這種 威脅轉化為機遇，必須將安全經驗融入自動化工具中，以簡化云安全控制，讓更多 用戶能夠有效地設置和監控他們的保護。在安全評估、身份驗證、風險減輕、云審 計這些方面，自動化能夠更充分地利用專家經驗，增加環境感知，將功能擴展到業 務管理人員。 云訪問安全代理不斷成熟，提供更出色的安全性、更高的可見性、更多的控制。 制定策略并將其應用于云服務身份驗

47、證，對于保護組織仍將非常重要。云訪問安全 代理 (CASB) 是制定和實施策略的一種很好方式，但無法解決身份驗證的核心問題。 數據是最有價值的資產，也將更多成為保護重點，CASB 將日臻成熟，并與其他安 全系統協調或集成，以確定云中的哪些數據需要安全保護，以及如何實施保護。 云威脅、法規和供應商響應措施 密碼必須被更安全的身份驗證系統 取代，但這些系統不能過度妨礙登 錄過程。生物識別、多級別身份驗 證、行為分析將幫助保護服務提供 商及其客戶的數據。 安全評估、身份驗證、風險減輕、 云審計是自動化可以彌補人類專家 存在不足之處，并幫助解決人手不 足的部分領域。 McAfee Labs 2017

48、年威脅預測，2016 年 11 月 | 18 分享本報告 增加對數據在靜態或流通狀態下的保護，將成為一些云服務提供商的競爭優勢。 一些基礎云服務，例如存儲或處理器租賃，將會逐漸商品化。為了在競爭中占據優 勢，有些云服務提供商將為在他們的系統中存儲、處理和傳輸的數據提供額外保 護。這些高級服務不僅提供加密，還包括完整性檢查、實時監控和增強型數據丟失 防護技術，為他們提供長期競爭優勢。 對云服務提供商操作的審計和可見性將成為常態。 在四年內，實時審計和可見性將成為大多數云服務提供商的標準服務，這可能是客 戶要求、競爭壓力、行業法規導致的結果。無論是領先還是標準的云服務組件，都 將能夠回答客戶提出的

49、問題“我們數據在什么地方？”。靜態審計和歷史記錄視圖 不足以確保高價值數據和工作流程達到足夠的保護級別。 安全解決方案供應商將開始使用機器學習來預測和中止攻擊，預先防止危害。 保護云基礎設施本身的安全解決方案將變得極其關鍵，因為如果基礎設施遭到威 脅，攻擊者將能直接訪問多個客戶的應用程序和數據。此類事件將會大量發生， 因此供應商也將持續開發先進的自動化工具，用于快速診斷和解決事件。安全解 決方案基于使用機器學習和 Big Data 分析的技術構建，將變得更有預測性和規定 性，幫助檢測新興威脅，在它們危及系統之前終止攻擊。 多家云服務提供商將合作建立威脅情報共享組織，它們將改進身份標識，縮短對攻 擊的反應時間。 目前，很多組織和云服務提供商尚未認識到威脅情報共享的益處。今后幾年內，在 法規或威脅攻擊的驅使下，企業和云服務提供商之間將進行更多的威脅情報共享， 其益處也將變得愈加明顯。雖然這種共享可能有時令人為難，但組織將認識到，實 時共享有關成功和失敗攻擊的情報的益處遠大于弊端。 云安全的技術和保證標準將繼續加強。 Cloud Security Alliance 等組織已經制定了有關云服務管理的各種標準、準則、認 證和最佳實踐。迄今為止，他們的重