近兩年,隨著物聯(lián)網(wǎng)技術(shù)的不斷發(fā)展創(chuàng)新逐漸成為全球關(guān)注的新焦點。現(xiàn)在,物聯(lián)網(wǎng)設(shè)備正變得越來越多,物聯(lián)網(wǎng)已逐漸滲透到我們生活中的各個角落。據(jù) Gartner 發(fā)布的報告顯示,2017 年全球物聯(lián)網(wǎng)設(shè)備數(shù)量約達到 84 億,隨著物聯(lián)網(wǎng)設(shè)備的逐漸增多,安全問題也隨之而來。
回顧2017,全球網(wǎng)絡(luò)空間遭遇了巨大的安全挑戰(zhàn):大型跨國黑客攻擊事件頻發(fā)、針對關(guān)鍵基礎(chǔ)設(shè)施與物聯(lián)網(wǎng)的攻擊不斷、數(shù)據(jù)隱私嚴重泄露、勒索病毒肆虐等等,不僅給用戶安全帶來嚴重影響,嚴重者更造成極大經(jīng)濟損失,甚至威脅國家安全。
步入2018,未來的網(wǎng)絡(luò)安全將會如何發(fā)展,又有哪些趨勢值得關(guān)注?近日,騰訊安全發(fā)布《2017年度互聯(lián)網(wǎng)安全報告》,結(jié)合近年來的技術(shù)熱點和2017年的網(wǎng)絡(luò)安全事件,對2018年網(wǎng)絡(luò)安全的發(fā)展趨勢進行了預(yù)測。
一、物聯(lián)網(wǎng)設(shè)備將成為新的DDoS攻擊目標
2017年曝光了大量利用家庭和工作場所中成千上萬的存在安全漏洞的物聯(lián)網(wǎng)設(shè)備生成流量而發(fā)起的大型DDoS攻擊,這種情況在2018年或?qū)⒗^續(xù)。網(wǎng)絡(luò)罪犯仍會尋求利用采取欠佳的安全設(shè)置和管理措施的家庭物聯(lián)網(wǎng)設(shè)備來發(fā)動攻擊。
此外,攻擊者還會劫持設(shè)備的輸入/傳感器,然后通過音頻、視覺或其他偽造輸入,讓這些設(shè)備按照他們的期望而非用戶的期望進行操作。
二、機器學習加劇攻防兩方的對抗
當下,有關(guān)人工智能和機器學習的討論都專注于如何將這些技術(shù)用于保護和偵測機制。2018年,網(wǎng)絡(luò)安全領(lǐng)域或?qū)l(fā)生人工智能之間的較量,網(wǎng)絡(luò)罪犯將會利用人工智能和機器學習發(fā)動攻擊,并且用于探索受害者的網(wǎng)絡(luò)。在這之前,這通常是他們成功入侵受害者系統(tǒng)后最耗費精力的環(huán)節(jié)。
三、數(shù)字勒索成為未來主流網(wǎng)絡(luò)犯罪手法
2017年爆發(fā)出不少全球性的信息安全危機,從WannaCry、Petya到BadRabbit,勒索病毒風暴席卷全球企業(yè)端及消費者,黑客攻擊手法日益多樣化。
與過去幾年相比,網(wǎng)絡(luò)犯罪手法已由間接誘騙使用者的帳號密碼,轉(zhuǎn)向直接勒索錢財?shù)?ldquo;數(shù)字勒索”為主。安全專家預(yù)估透過勒索病毒、變臉詐騙來獲利的模式,仍將會是2018年網(wǎng)絡(luò)犯罪的主流手法。
四、家庭設(shè)備或?qū)⒊蔀槔账鬈浖慕俪帜繕?/strong>
近幾年數(shù)字加密貨幣價值“瘋漲”,在豐厚利益的誘惑下,越來越多的網(wǎng)絡(luò)罪犯分發(fā)勒索軟件,并且導(dǎo)致勒索軟件即服務(wù)(Ransomware-As-A-Service)及其他服務(wù)在黑市日益盛行。
不僅如此,專業(yè)的網(wǎng)絡(luò)罪犯未來還可能利用不斷增長的昂貴的互聯(lián)家庭設(shè)備,攻擊更多的目標。用戶一般意識不到智能電視、智能玩具和其他智能設(shè)備所面臨的威脅,使之成為網(wǎng)絡(luò)罪犯的主要攻擊目標。
五、網(wǎng)絡(luò)黑產(chǎn)技術(shù)手段持續(xù)升級,威脅源全方位襲來
2018年黑產(chǎn)勢力將進一步升級作案手法,運用更先進的技術(shù)手段實施信息竊取和詐騙,同時黑產(chǎn)上游的危害將愈發(fā)嚴重。未來網(wǎng)絡(luò)黑產(chǎn)將呈現(xiàn)四種新趨勢:
1、黑產(chǎn)人員的作案模式更加簡單直接,制作勒索病毒公然勒索的施害手法將更加流行;
2、犯罪手法更為隱蔽,犯罪團伙披上合法外衣,通過成熟的運作流程與渠道弄到企業(yè)資格,涉及資金流轉(zhuǎn)的環(huán)節(jié)以詐騙手法獲取第三方接口;
3、黑產(chǎn)目標從C端延伸到B端,越來越多的黑產(chǎn)分子通過提供假的實名認證信息來覓得市場,同時“刷票黨”、“羊毛黨”、“刷粉黨”等各種挑戰(zhàn)的對抗壓力持續(xù)增大;
4、黑產(chǎn)逐漸覬覦信用建設(shè)相關(guān)領(lǐng)域,各類買賣公民個人信息和篡改學歷的案件或?qū)⒏甙l(fā);傳統(tǒng)的病毒木馬和電話詐騙等模式,向更為先進的撞庫拖庫、精準詐騙等模式發(fā)展。
六、電信詐騙與移動木馬結(jié)合,傳統(tǒng)電信詐騙再升級為移動木馬詐騙
2018年利用植入移動木馬實施詐騙的手段將進一步盛行。移動木馬與電信詐騙結(jié)合后,較之過去的PC遠程詐騙,不僅提高了隱私竊取能力、遠控能力等,同時還降低了用戶感知度,在用戶完全不知情的情況下完成遠程轉(zhuǎn)賬。
移動木馬詐騙可以實現(xiàn)通話控制(攔截用戶通話,不允許用戶撥打110等電話求證)、短信控制(攔截網(wǎng)銀等支付驗證碼信息,自動同步給詐騙者)、獲取手機聯(lián)系人信息、地理位置等。
七、移動支付成主流,手機支付安全引關(guān)注
隨著我國移動支付業(yè)務(wù)愈發(fā)普及,犯罪分子可以通過各種手段完全控制用戶手機(特別是在手機root情況下),進而控制更多的用戶隱私信息(如短信內(nèi)容、通話記錄、地理位置等隱私信息)來精確了解用戶群體,實施更加精準的攻擊。
支付類病毒作為危害程度最大的木馬病毒之一,通常會竊取用戶短信驗證碼,并結(jié)合其他非法渠道獲得的個人隱私信息完成轉(zhuǎn)賬,造成用戶財產(chǎn)損失。
八、國家層面加快信息安全、網(wǎng)絡(luò)安全等方面立法進程
2017年12月24日,全國人大常委會建議通過加快個人信息保護法立法進程、加大打擊力度等方式,進一步提升用戶個人信息保護力度,促進完善網(wǎng)絡(luò)安全法配套法規(guī)規(guī)章,加快《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全等級保護條例》的立法進程。
這也意味著國家已充分意識到網(wǎng)絡(luò)安全及個人信息安全保護的重要性,未來信息安全監(jiān)管力度將持續(xù)加大。
(原標題:騰訊安全:物聯(lián)網(wǎng)設(shè)備將成為新DDoS攻擊目標)