迈克菲实验室：2018年5大网络安全趋势预测

近日，迈克菲实验室发布了《2018年网络威胁预测报告》，该报告阐释了其对于广泛威胁的意见，预测了包括机器学习、勒索软件、无服务器（Serverless）应用程序以及隐私问题等5个安全领域的发展趋势。以下为详细内容：

1. 机器学习对抗性攻击升级：攻击者和防御者在AI领域的创新竞争

人机合作正在成为网络安全的重要组成部分，通过机器速度和模式识别能力可以在很大程度上增强人类的判断力和决策能力。机器学习也已经为安全性做出了重大贡献，它可以帮助人力工作者检测和纠正漏洞、识别可疑行为，甚至零日攻击。

在未来一年中，我们预计将看到一场对抗竞赛。恶意攻击者将增加机器学习利用率来制造攻击活动，并尝试通过结合机器学习和人工智能来发现和破坏防御者使用的机器学习模型。

早在GeekPwn2016硅谷分会场上，来自OPenAI的Ian Goodfellow和谷歌大脑的Alexey Kurakin就曾分享过“对抗性图像”在现实物理世界欺骗机器学习的效果。攻击者可以通过“黑盒攻击”（攻击者并不知道机器学习所使用的算法和参数，但攻击者仍能与机器学习的系统有所交互．比如可以通过传入任意输入观察输出，判断输出）来搜索漏洞，由于这种方式不遵循以往任何模式所以一般很难被发现。

未来一年，攻击者将加大对这些工具的利用率，并以新颖的方式将其与攻击方式相结合。比如，机器学习可以帮助他们改善社交工程的成功率；也可以通过收集和合成更多人类无法完成的数据来增加网络钓鱼攻击的识别难度；或是帮助攻击者扫描漏洞，提高攻击速度，缩短从发现漏洞到漏洞利用之间的时间。

每当防御者提出新的研究成果，攻击者就尝试尽可能多地学习模仿。我们预计，对于机器学习模型一定也是如此。攻击者可能会通过阅读已发表的研究报告和其他公共领域的材料，或是利用内部人员来窥探机器学习模型，其目的就是研究出能够逃避或瓦解这种模型的对抗方法，以使他们的恶意软件能够绕过这种模型，顺利实施攻击。

就防御者而言，我们预计，他们会进一步将机器学习、人工智能以及博弈论（game theory）相结合，来探索他们需要保护的软件和系统中的漏洞，以便在犯罪分子利用这些漏洞之前堵塞漏洞。我们可以将其视为渗透测试的进阶版，通过利用机器的巨大容量和独特见解来寻找漏洞和其他可利用的弱点。

因为攻击者可能会攻击这些模型，所以防御者将会在端点，云端以及数据中心以独立运行的模式进行响应。每个模型都可以访问不同的输入，并在不同的数据集上进行训练，从而提供多层的保护。

说到数据，创建机器学习模型面临的最大挑战之一，就是收集与快速变化的恶意软件环境相关的并具有代表性的数据。我们预计，未来一年，在这方面将取得更多的进展，因为研究人员已经获得了更多的数据收集方面的经验，所以他们能够改进其训练方法和灵敏度测试。

机器的利用率还在不断增加，只要是能够为其提供数据、连接以及电力支持，它就能为其效力。而我们的任务就是要先攻击者一步来研发和提升它们的能力，以保护我们的机器学习模型不被发现和破坏。人机合作正在将巨大的潜力转回到防御者身上，而作为防御者，我们一定要把握住这一发展机遇，变被动为主动。

2. 勒索软件开始转向新的目标：从传统形式向新的目标、技术、战略和商业模式转变

迈克菲认为，勒索软件的性质和应用方面正在发生变化，我们预计到2018年及以后这种变化趋势将会继续。

关于传统的勒索软件，好消息是，McAfee实验室发现在过去四个季度勒索软件总量增长了56%，但McAfee 高级威胁研究的证据显示，勒索软件付款的数量在过去一年中有所下降。

我们的研究人员断言，这一趋势表明，在过去的12个月里，通过改进的系统备份工作、免费的解密工具、更强大的用户和组织安全意识，以及产业联盟（如NoMoreRansom.org和网络威胁联盟）的共同努力，对抗勒索软件工作已经取得了巨大的成功。

不过，这种成功也迫使攻击者开始将目标转向具有更高价值的受害者（比如能够支付更高赎金的受害者）。而瞄准跟高净值的受害者也意味着攻击者的攻击趋势将更有针对性、个人化，他们会使用更复杂的社会工程技术，通过鱼叉式网络钓鱼信息传递勒索软件。

值得注意的是，在攻击中首当其冲的将会是这些高价值目标的“高价值端点”，例如其日益昂贵的个人设备（包括最新一代的智能手机等）。这些设备上的云备份可以使他们免于传统的勒索软件攻击。但是McAfee预测，攻击者会尝试“冻结”手机，使其无法使用，除非支付赎金才能恢复。

McAfee认为，这种转变主要体现为整体勒索软件家族数量略有下降，因为犯罪分子开始采用数量更少的高价值技术和战术，选择更有才华的技术提供者，以及更专业、更强大的勒索软件即服务（ransomware-as-a-service）提供商来实施攻击活动。

【2017年检测出的勒索软件家族数量变化趋势】

每年我们都会看到有关运输、水力以及电力工业系统安全漏洞对人身安全造成威胁的预测。我们也会看到有关从汽车到咖啡机等消费级设备即将遭受黑客入侵所带来的人身伤害的创造性描述。

这一次，McAfee拒绝加入网络安全厂商“合唱团”来附和这种预测结果，警告你正在使用的吸尘器可能正威胁你的安全！相反，我们的研究人员认为，与其在一条蜿蜒的山路上操纵你奶奶的汽车刹车的控制权，网络犯罪分子可能更倾向于将勒索软件应用于一位主要的业务主管的汽车上，从而阻止他们开车去上班，因为显然后者更为有利可图。

我们认为，与通过咖啡制造商烧毁数百万房屋相比，网络犯罪分子可能更愿意将勒索软件应用于锁定一家有钱人的温控系统，因为显然后者也是更有利可图。

无论是通过何种方式，我们认为攻击者发起这些网络攻击的目的只是对个人利益产生实际影响，而不会对其造成致命的损害。

除了勒索和破坏，WannaCry和NotPetya勒索的爆发预示着勒索软件正以新的方式进行应用的趋势，它们正在追求新的目标，通过减少传统的勒索手段实现更多、更为彻底的系统破坏，中断和瘫痪。

WannaCry和NotPetya通过勒索软件迅速感染大量系统，但却并没有解锁受影响系统所需的支付或解密功能。虽然确切的目的还不清楚，但McAfee认为，攻击者可能试图公然破坏或摧毁巨大的计算机网络，或是干扰和分散IT安全团队识别其他的攻击方式，就像DDoS攻击被用来掩盖其他的真实攻击一样。此外，它们也显示出了前所未见的破坏性和灾难性力量，可能会在未来与大型组织一起进行巨额敲诈勒索活动。

在2018年，我们预计将出现更多类似WannaCry和NotPetya这样的勒索软件应用方式。勒索软件即服务提供商将把这种攻击方式提供给一些国家、公司和其他非国家行为者来帮助他们破坏其他国家及政治和商业上的竞争对手。我们预计，无论是经由不择手段的竞争对手还是恶意攻击者，旨在造成损害的攻击行为将出现新一轮增长趋势。

最后，McAfee预测，勒索软件攻击性质和目标的转变及其对实质性财务造成影响的潜力将为保险公司提供一次发展机遇，保险公司可以利用一系列勒索软件保险来扩展其数字市场份额。

3. 无服务器应用程序：敌与友的新机会

无服务器架构是指大量依赖第三方服务（也叫做后端即服务，即“BaaS”）或暂存容器中运行的自定义代码（函数即服务，即“FaaS”）的应用程序。

函数是无服务器架构中抽象语言运行时的最小单位，在这种架构中，我们并不看重运行一个函数需要多少CPU或RAM或任何其他资源，而是更看重运行函数所需的时间，我们也只为这些函数的运行时间付费，而不是运行一个完整的容器或虚拟机，因此可以为某些操作成本降低10倍左右。但是这些函数调用的安全性如何呢？它们不仅在传统方式上（如特权升级和应用程序依赖关系）很脆弱，在新方式上也是如此。

首先从传统漏洞说起吧。快速实施或快速部署的无服务器应用程序会使用不适当的特权级别，从而使环境面临特权升级攻击。使用更多的组件来保护、控制和更新以实现最小特权更为困难。同样，部署速度可能会引发一个函数，这取决于从外部存储库中提取的包，这些包不在组织的控制之下，也没有得到适当的评估。

然后就是一些新形式的风险，因为无服务器应用程序会根据流量自行进行扩展和计费，所以分布式拒绝服务（DDoS）攻击可以很轻松地实现，具体取决于应用程序允许同时执行的数量。

另一个重要的安全风险就是数据，这些数据可以被多个功能用于处理业务交易。因为无服务器应用程序可能包含比以前的应用程序体系结构更多的组件，所以数据的截取或操纵风险可能也就更大了。为了降低这种风险，应该充分利用服务之间的认证和授权功能，并在数据存储和传输过程中进行加密处理。

我们预测，到2018年，随着无服务器应用程序的增加，其攻击面也会随之增长。随着更多的功能转移到一个或多个供应商，意味着更多的领域将遭到攻击者的利用和破坏。所以，一定要确保您的功能开发和部署过程包含必要的安全措施，并且流量也通过V**或加密进行了适当的保护。

4. 你的家将再无隐私可言：如果没有控制，你的隐私将被市场营销人员暴露无遗

企业营销人员有强大的动机来观察和了解智能家居设备所有者的购买需求和喜好。不管你愿不愿相信都好，这些联网设备已经在用户不知情的情况下传输了大量个人信息。用户很少会阅读隐私协议，即便是你了解隐私协议，有些企业可能也会在设备和服务部署后经常更换这些隐私协议，以获取更多的用户信息并将其实现货币化。

我们预计，到2018年，联网设备制造商和服务提供商将在获取／未获取用户同意的情况下，试图收集更多的个人数据来增加其运营利润，因为实际上我们早已丧失了属于自己的“私密家园”，一切早已沦为企业的“虚拟店面”（通过我们使用这些设备产生的数据来获取利润）。

房间、设备以及应用程序很容易配置传感器和控制器，来向企业合作伙伴传送关于家用电器的使用状况，并通过特定的升级和更新产品以及诱人的折扣来诱惑消费者，获取更多控制权。

儿童玩具也具有监控用户行为的能力，并为用户推荐新玩具和游戏，如品牌内容订购和在线教育计划更新；咖啡、食品和购物网站也可以根据用户的喜好来推荐相应的优惠活动信息，并将这些信息自动整合到用户的个人日程中，实时进行提醒。

无论这是消费者和营销者的乌托邦，还是隐私倡导者的反乌托邦式噩梦，这些情景已经从预测实实在在地走进了我们的现实生活。如今，消费设备和服务所收集的数据量已经远远超过了大多数人的想象。

近年来，我们看到了很多公司渎职的例子。一个手电筒应用程序的开发者许可协议中并没有透露该应用程序会收集用户的地理位置数据；三年前，一家电子游戏硬件公司推出了一个更新，没有拒绝选项，用户必须同意新条款或停止使用他们购买的产品。

在许多协议中，用户“同意”公司未来所做出的所有单方面修改的条款：“在此类更改后继续使用服务即表示您同意此类更改”。所以，每每发生侵犯隐私的行为后，这些企业总能“理直气壮的”表示，他们是在用户同意后收集数据的！

今年7月份，美国联邦调查局就曾警告家长应该警惕联网的儿童玩具，因为这些儿童玩具可以收集他们孩子的个人身份信息。

企业将继续探寻消费者的消费偏好以及消费能力，而这当然需要更多的用户数据支持。McAfee认为，绝大多数企业还是会违反隐私协议，支付罚款，并继续这种行为，因为他们认为这样做是有利可图的。但是最近联邦调查局警告父母谨慎购买儿童玩具的行为可能表明，这种做法可能会导致监管甚至刑事后果。

5. 提防孩子的数字生活安全：避免企业滥用您孩子的数字记录

如今，不管我们喜不喜欢，情不情愿，我们在使用任何一种产品、服务或是体验时都不可避免的会产生某种类型的数字记录。作为成年人，我们能够意识到数字记录的重要性，并学习如何管理我们的数字生活，但是我们的孩子呢？

在职场上，雇主们会根据搜索结果影响作出“取舍”的决策，这一点会扩展到学校、医疗保健行业和政府机构吗？你的孩子会因为花费太多时间在看电视上而被学校拒之门外吗？你的孩子会因为7岁时拍摄的一段视频而被理想的企业否定吗？

在线信息，或者说“数字背包”可以是积极的、消极的或中立的。随着我们的孩子在生活中接触越来越多的数字化信息，他们的“数字背包”中会装了哪些东西呢？可能的情况是：大多数都是一些无害的和琐碎事物的组合，还有一些积极和令人惊艳的事情可能会在未来的旅途中帮助到他们，当然也有一些负面的事情会影响到他们未来的发展。

不幸的是，我们预计，未来很多成年人将受到负面数字记录的影响，即便这些记录都是他们无意留下的。

作为父母，我们的挑战是帮助我们的孩子学会“驾驭”这个数字世界，因为从怀孕那刻起，他们的信息就已经被跟踪在案了。不知道大家还记不记得2012年报道过的一个故事，一个女孩在承认自己怀孕之前就已经从零售商那里收到了与怀孕有关的物品的优惠券？如今想想，这种数字信息是多么可怕的一种存在。

为了帮助我们的孩子更好的应对数字生活，首先我们需要了解被捕捉和存储的数字信息的类型有哪些？通常分为3类：显性信息、隐性信息和无意的内容。

“显性内容”就是在你点击服务条款或最终用户许可协议上的“我同意”后发生的所有事情。鉴于最近发生的泄漏事件，我们可以看到，网上存储的任何内容都能被黑客入侵访问到。所以，假设这些信息都是在线可见的，那么未来的雇主就能够轻易地找到你以前的数字记录，包括你的社交习惯、编辑发布的内容以及其他数据点等。

“显性内容”是父母可以把控的一个领域，通过引导和塑造孩子的良好上网习惯。回想一下，你是否为你10岁的孩子购买过“M”级游戏（包含粗口、血腥、暴力及裸露等元素的游戏）？或是让你的孩子在没有父母监督审查的情况下发布过视频？可悲的是，孩子们还意识不到网络上发生的事根本没有任何隐私可言，这些信息最终可能会酿成惨重的后果。

“隐性内容”就是你在公共场合做的事情或说的任何话，这些内容——从一些愚蠢的行为（如酗酒或吸毒）到公共场合或在线（推特、贴吧等）发表的言论都可以被拍照、记录或以其他方式保存下来。

“无意的内容”往往是最危险的，因为这些内容都是想要保持隐秘的，不想被捕获到的内容。但是不幸的是，无意的内容收集正在变得越来愈常见，因为几乎各类组织都在有意或无意的歪曲和破坏自己的隐私协议，以便获取更多有关我们的信息。无论是玩具、平板电脑、电视机、家用扬声器还是其他设备，都有可能正在捕捉您孩子的言语和行为，并将其发送到云端。

这是数字生活中最具挑战的部分，也是我们必须谨慎处理的部分。作为家长，一定要谨慎选购自己购买和安装的产品，禁用一些不必要的功能，并将默认密码更改为更为强大的密码。

我们的孩子正处于一个布满数字诱惑的世界，各种精彩的小工具、服务和体验都可能将他们的不良行为记录在案，影响他们未来的生活、职场以及发展等。作为家长，我们要正确引导，帮助孩子整理好他们的“数字背包”，让他们最大限度地利用互联网的便利，最小限度地避免网络的侵害和影响。

此外，McAfee还预测，2018年5月实施的欧盟《通用数据保护条例》（GDPR）可能会在今后几年内在处理消费者数据和用户生成内容方面发挥重要作用。新的监管制度将影响与欧盟国家存在业务往来的公司，或是处理欧盟居民个人数据的公司，这也就意味着，世界各地的公司将不得不调整其处理、存储和保护客户个人数据的方式。具有前瞻性的企业可以利用这一点来设置最佳实践，使用消费类设备、内容生成应用程序平台以及在线云服务来服务客户，以抢占更高的市场份额。