信息化觀察網(wǎng)

2018是網(wǎng)絡(luò)安全動蕩不安的一年，黑客通過釣魚郵件襲擊平昌冬奧會，打響了網(wǎng)絡(luò)攻擊的第一槍，F(xiàn)acebook緊隨其后，也翻開了數(shù)據(jù)安全新的篇章。攻擊者變得愈發(fā)的聰明與膽大，區(qū)塊鏈和虛擬貨幣成為了他們最為得意的戰(zhàn)利品，《GDPR》的生效，讓監(jiān)管對隱私泄露的容忍度降低為零，也將全社會對隱私竊取和泄露的怒火放至無窮大。IoT設(shè)備的普及，讓安全邊界進一步擴大，也為網(wǎng)絡(luò)安全提出了新的難題，隨著萬豪等又一批數(shù)據(jù)泄露事件的發(fā)生，數(shù)據(jù)安全徹底被推向了高潮。最終在年底，一波席卷全球的DDoS攻擊，為2018畫上了“圓滿”的句號。

這些網(wǎng)絡(luò)安全事件的發(fā)生和跡象，不僅令網(wǎng)安人在過去一年疲于奔命，更為2019敲響了警鐘，也為未來網(wǎng)絡(luò)安全的發(fā)展和側(cè)重，錨定了方向。

2019網(wǎng)絡(luò)安全行業(yè)將行至何方，會有怎樣的趨勢和新思考，又會暗含怎樣的威脅，且隨安在一起，粗淺一觀。

數(shù)據(jù)安全持續(xù)升溫

數(shù)據(jù)安全其實是一個很大的概念，因為各種網(wǎng)絡(luò)攻擊的最終導(dǎo)向，都是數(shù)據(jù)泄露。不論是去年3月Facebook因合作伙伴劍橋分析的“坑兄弟”行為導(dǎo)致5000萬用戶信息泄露，還是萬豪集團因黑客攻擊導(dǎo)致數(shù)據(jù)被竊取，亦或是數(shù)據(jù)堂疑似主動販賣數(shù)據(jù)，都讓我們醒悟了一件事情——數(shù)據(jù)的價值越來越高。

單以網(wǎng)絡(luò)攻擊為例，我們不難發(fā)現(xiàn)，那些保存海量數(shù)據(jù)的大型企業(yè)的系統(tǒng)和網(wǎng)站，成為了這一類攻擊者的主要目標(biāo)，隨著數(shù)據(jù)存儲的擴大和數(shù)據(jù)價值的持續(xù)提高，這一類型的的系統(tǒng)和網(wǎng)站，將仍然是首要的攻擊對象。

從過去一年酒店行業(yè)屢次發(fā)生數(shù)據(jù)竊取以及航空公司乘客隱私泄露來看，這些在網(wǎng)絡(luò)安防略有欠缺又直接面向消費人群的傳統(tǒng)行業(yè)，在未來可能會成為攻擊者的主要目標(biāo)。

而去年5月生效的《GDPR》更像是懸掛在頭頂?shù)倪_摩克利斯之劍一樣，稍有不慎，強有力的天價罰單，就會成為刺死平日里不重視數(shù)據(jù)安全的那些企業(yè)的致命一擊。

因此，我們可以認為，數(shù)據(jù)安全將在2019年繼續(xù)升溫，成為全社會和網(wǎng)安行業(yè)更為重視的問題。同時，以數(shù)據(jù)安全作為表象，企業(yè)和用戶要在根本上對網(wǎng)絡(luò)安全的防御能力和意識都得到補足，不主動流出，也避免被動挨打。

立法監(jiān)管大勢難擋

談到了數(shù)據(jù)安全，我們就不得不提隱私立法。在去年5月份之前，隱私立法，還不過只是個大多數(shù)時候被提上議程卻遲遲不見落地的東西，而數(shù)據(jù)隱私合規(guī)，往往也只是企業(yè)迎合監(jiān)管檢查的表面工程。

但《GDPR》的實施，如同巨石砸入了平靜的湖面一般，突如其來地將隱私和數(shù)據(jù)的合規(guī)監(jiān)管，提到了前所未有的高度。所以過去一年網(wǎng)絡(luò)安全有一個有趣的現(xiàn)象——到處都在積極學(xué)習(xí)和研究《GDPR》到底是什么、怎么罰、怎么躲，安全咨詢也忙得不可開交，一時間好不熱鬧。

今年1月21日，法國數(shù)據(jù)保護監(jiān)管機構(gòu)——國家信息與自由委員會（CNIL），正式向谷歌開出5000萬歐元罰單（約合5680萬美元）。雖然還遠沒達到《GDPR》罰款的上限，但這已經(jīng)是GDPR正式實施后，歐洲監(jiān)管機構(gòu)因違反《GDPR》開出的最大金額罰單。處罰的力度給數(shù)據(jù)相關(guān)的企業(yè)敲響了警鐘，《GDPR》中的部分條例，也不斷提供各國隱私立法以啟發(fā)。

特別值得注意的是,過去一年，我國在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，逐漸對網(wǎng)絡(luò)安全各個環(huán)節(jié)可能發(fā)生的問題通過立法的手段予以補全，隨著數(shù)據(jù)隱私安全的持續(xù)升溫，用戶對安全和隱私的要求不斷提升，勢必會不斷升級配套的法律和監(jiān)管。

2019將會是對監(jiān)管部門和企業(yè)都極具挑戰(zhàn)的一年。監(jiān)管部門如何把握監(jiān)管力度，不放之過松，也不能掐得太死。企業(yè)如何在保證業(yè)務(wù)不被影響的前提下迎合監(jiān)管要求，這可能需要一些藝術(shù)。

勒索病毒死而不僵

早在去年年初，國內(nèi)就發(fā)生了醫(yī)療機構(gòu)被勒索病毒入侵，并被要求支付電子貨幣作為贖金的事情。雖然根據(jù)瑞星發(fā)布的《勒索病毒全面分析報告》來看，勒索病毒的感染數(shù)量整體呈現(xiàn)下降的趨勢，但我們依然無法忽視以WannaCry為首的這群曾經(jīng)肆虐全球的可怕物種，還會在未來進化到何種程度。

整體上來講，勒索病毒可能會產(chǎn)生幾種趨勢，來持續(xù)甚至增強它們在網(wǎng)絡(luò)安全領(lǐng)域的分量和威脅：1、利用漏洞和弱口令植入勒索增多2、攻擊者入侵后人工投毒增多3、勒索病毒持續(xù)更新迭代對抗查殺4、針對有價值目標(biāo)發(fā)起定向攻擊逐漸增多5、勒索病毒開發(fā)門檻進一步降低6、勒索病毒在世界范圍內(nèi)造成的損失逐漸增大。

因此，2019年，無論是安全廠商，還是企業(yè)和個人，都要繼續(xù)和勒索病毒做對抗。

IoT設(shè)備引發(fā)更多安全問題

根據(jù)Gartner預(yù)測，2019年聯(lián)網(wǎng)物件數(shù)量將達到142億，隨之而來的將會是更多的安全問題和未知因素。

其實早在去年，國內(nèi)外就已經(jīng)多次發(fā)生IoT設(shè)備安全事件，最轟動的莫過于某品牌智能音箱監(jiān)聽并收集用戶的錄音，并導(dǎo)致隱私泄露。與此同時，隨著物聯(lián)網(wǎng)規(guī)模的不斷擴大，消費者可能會在便捷性和安全性兩者之間選擇前者，弱化了安全性的IoT設(shè)備，不知道還蘊含多大的破壞能量。

Gartner預(yù)測還指出，到2020年，針對企業(yè)涉及物聯(lián)網(wǎng)的攻擊，將會超過25%，但物聯(lián)網(wǎng)卻僅占網(wǎng)絡(luò)安全預(yù)算的10%。因此，企業(yè)應(yīng)該加強IoT設(shè)備的安全防護，即時調(diào)整安全預(yù)算，針對性地保證物聯(lián)網(wǎng)安全。

網(wǎng)絡(luò)安全的邊界進一步擴大

其實，物聯(lián)網(wǎng)的加速發(fā)展 ，最大的問題其實是導(dǎo)致網(wǎng)絡(luò)安全邊界的擴大。

隨著各國第五代移動通信網(wǎng)絡(luò)（5G）基礎(chǔ)設(shè)施的加速部署，對5G協(xié)議支持的設(shè)備也會廣泛部署應(yīng)用。在2019年，可能會有越來越多的設(shè)備支持直連5G網(wǎng)絡(luò)，而這種不經(jīng)由傳統(tǒng)無線路由的連接方式，會使設(shè)備更容易遭受攻擊。

攻擊者可以利用硬件與軟件（這包括固件、協(xié)議等）漏洞，感染并控制大量物聯(lián)網(wǎng)設(shè)備，有計劃地針對特定目標(biāo)發(fā)動以海量流量為特征的網(wǎng)絡(luò)攻擊，并造成嚴(yán)重后果。安全性較差的物聯(lián)網(wǎng)設(shè)備也將成為最薄弱的環(huán)節(jié)，其中最令人擔(dān)憂的是針對連接數(shù)字世界與現(xiàn)實世界的物聯(lián)網(wǎng)設(shè)備，例如車聯(lián)網(wǎng)。

除了設(shè)備自身的安全問題外，移動和物聯(lián)網(wǎng)設(shè)備在云端存儲或傳輸?shù)臄?shù)據(jù)，也將面臨更多的威脅。更多傳輸中的數(shù)據(jù)，將成為攻擊者的重要攻擊目標(biāo)。這些終端設(shè)備采集并回傳的數(shù)據(jù)，往往含有大量用戶的個人隱私信息，如果在廠商接收存儲前就已經(jīng)遭到劫持，就會造成用戶的隱私泄漏。

APP安全不容忽視

根據(jù)粗略統(tǒng)計，2018年，我國移動互聯(lián)網(wǎng)APP數(shù)量已經(jīng)超過400萬款，累計下載量更是達到了萬億次之多。APP在滲透到我們生活的同時，也帶給我了我們許多新的安全隱患。

從過去一整年網(wǎng)信辦對于APP的整改和處罰來看，APP安全問題主要集中在越權(quán)收集用戶隱私，并造成之后一系列各種各樣的信息泄露。而在12月29日網(wǎng)信辦一口氣關(guān)停的3469款A(yù)PP當(dāng)中，像“澳門金沙”這類網(wǎng)絡(luò)黑產(chǎn)，也是APP主要的安全隱患。

前不久，京東金融APP被曝出疑似非法復(fù)制并上傳用戶手機系統(tǒng)相冊中的照。，雖然京東金融已正面回應(yīng)，但顯然網(wǎng)友并不買賬，事件的真相還有待探明。而從這些與信息隱私相關(guān)的竊取和泄露來看，消費者應(yīng)該已經(jīng)接近了對于隱私安全容忍的臨界點，所以，這些與大量數(shù)據(jù)、隱私緊密相關(guān)的APP，它們的安全，不容忽視。

釣魚郵件屢試不爽

作為竊取重要隱私信息的攻擊途徑之一，最新報告顯示，虛假電子郵件的日發(fā)送量已經(jīng)超過64億封，過去幾年中，企業(yè)電子郵件詐騙（BEC詐騙）損失成本已達到120億美元。更有數(shù)據(jù)表示，所有網(wǎng)絡(luò)攻擊中有91%都將電子郵件作為攻擊入口。

可以靈活變化的攻擊形式和各大郵箱自身存在的嚴(yán)重漏洞，成為了郵件安全事件層出不窮的罪魁禍?zhǔn)?。釣魚郵件、改名郵件、APT攻擊，越來越多的黑客將網(wǎng)絡(luò)攻擊的切入口轉(zhuǎn)向郵件。

然而，當(dāng)前有很多企業(yè)和用戶，對郵件安全的防范意識并不高。在日常的工作中，對涉密、敏感信息的郵件，沒有做加密處理，通常會采用公共互聯(lián)網(wǎng)郵箱傳送，這樣不僅容易遭到竊取和泄露，也會讓用戶逐漸形成看見地址名稱一致的郵件，就毫無戒心打開的習(xí)慣。

其次，企業(yè)也沒有在郵件防偽上做到足夠的防護，不具備對偽造地址的釣魚郵件做到身份驗證和檢測的能力，也使得釣魚郵件在溜入用戶手里的第一道關(guān)卡就暢通無阻。

隨著詐騙手段的日益多樣，以及黑產(chǎn)規(guī)模的日益壯大，如果企業(yè)不能有效防范當(dāng)前的釣魚郵件，用戶不能養(yǎng)成時刻提防的安全意識，在面對日后更加多樣的詐騙手段面前，我們將變得更加無力抵抗。

圍繞AI的競爭和對抗

賽門鐵克認為，技術(shù)逐年成熟甚至已經(jīng)到達商用標(biāo)準(zhǔn)的人工智能（AI），無論是從“攻擊者”還是“防御著”視角，其強大的自動化、增強決策能力，是攻防雙方對人工智能及相關(guān)技術(shù)的競爭和對抗，2019年會演變的更加激。

先從攻擊者角度來看。

人工智能系統(tǒng)尤其自我的脆弱性，已有安全研究人員發(fā)現(xiàn)，通過惡意訓(xùn)練數(shù)據(jù)可以影響系統(tǒng)邏輯，并導(dǎo)致運行失常。隨著人工智能應(yīng)用的不斷廣泛與深入，無疑，關(guān)鍵性的人工智能系統(tǒng)有大概率成為攻擊者在2019年的重點關(guān)注目標(biāo)。

除了將其作為攻擊目標(biāo)外，攻擊者還可以利用人工智能實施犯罪活動?？梢灶A(yù)見的是，由人工智能驅(qū)動的攻擊工具，可以以更低的成本，發(fā)動更為復(fù)雜的針對性攻擊。

從防御者角度看，人工智能技術(shù)在網(wǎng)絡(luò)安全的應(yīng)用也在過去的一年展現(xiàn)了其積極的一面。從2016年開始，以DARPA舉辦的CGC大賽為首，人工智能在安全攻防賽的應(yīng)用越來越深入（包括自動化的漏洞挖掘、利用、與修補防護三個角度）。近兩年，中國一些大型安全賽事也引入了AI選手或題目。人工智能的加入，以及與其他現(xiàn)有安全技術(shù)的結(jié)合，無論是企業(yè)還是個人用戶，都可以幫助他們更快速做出明智、安全的決定。

除了上述這些過去已經(jīng)發(fā)生，并值得我們在未來持續(xù)關(guān)注的網(wǎng)絡(luò)安全趨勢以外，也有一些全新的安全事件，足以引起我們的重視。

區(qū)塊鏈成為主流支付可能帶來的安全問題

2018年,Akamai與三菱日聯(lián)金融集團宣布建立一個基于區(qū)塊鏈的新型在線支付網(wǎng)絡(luò),可以每秒處理超過100萬次交易,且每次交易的延遲時間不超過2秒。未來,我們還將看到越來越多的基于區(qū)塊鏈的支付網(wǎng)絡(luò)。他們能夠具有極高的可擴展性和速度,從而支撐下一代支付服務(wù)。

以區(qū)塊鏈為基礎(chǔ)的支付網(wǎng)絡(luò)發(fā)展如此迅速,企業(yè)機構(gòu)需要確保支付網(wǎng)絡(luò)所需的安全水平不受影響,而金融業(yè)尤其需要如此。區(qū)塊鏈在2019年仍是一項新興技術(shù),并隨著時間的推移而不斷發(fā)展。因此,企業(yè)機構(gòu)需要不斷開發(fā)和改進區(qū)塊鏈生態(tài)系統(tǒng),使其盡可能安全。

COO（首席網(wǎng)絡(luò)犯罪官）

在英國TalkTalk數(shù)據(jù)泄露事件發(fā)生后，有議員建議增設(shè)一名日常負責(zé)保護計算機系統(tǒng)免受攻擊的官員，也就是COO。

COO的工作內(nèi)容是負責(zé)確保組織做好網(wǎng)絡(luò)安全相關(guān)的準(zhǔn)備，防止網(wǎng)絡(luò)安全事件的發(fā)生，如果發(fā)生入侵行為，則首當(dāng)其沖站出來負責(zé)。此外，COO還要在董事會與公司其他部門之間建立穩(wěn)固的聯(lián)系。

如果COO在國外率先增設(shè)并取得成功的話，不失為國內(nèi)企業(yè)一個很好的借鑒方向，這件事情的促成少不了諸位CSO的努力，怎么說這可是一個把鍋甩走的好機會呢。

結(jié)尾

時下有句話，叫“2019也許是過去十年里最差的一年，但可能又是未來十年內(nèi)最好的一年”，這句話放在網(wǎng)絡(luò)安全領(lǐng)域也許同樣適用。

不過十年間，“安全”這個概念就已經(jīng)發(fā)生了翻天覆地的變化，變得越來越大、越來越深、越來越多、越來越復(fù)雜。然而隨著技術(shù)的發(fā)展，甚至于新技術(shù)、新概念的誕生，網(wǎng)絡(luò)安全的邊界只會越來越大，我們要做的事情只會越來越多，安全從業(yè)者的頭發(fā)可能也會越來越少。

但，前有國家政策驅(qū)動，后有技術(shù)力量支撐，網(wǎng)絡(luò)安全一定可以在全新和未知的挑戰(zhàn)面前，傲然直前。