→產品訊息

新聞中心

 

McAfee Labs 2020威脅預測報告

隨著勒索軟件,惡意軟件和RDP攻擊在2019年的頭條新聞逐漸消失,我們將重點轉移到了未來的網絡犯罪威脅上。網絡犯罪分子正日益增加其攻擊和活動的複雜性和數量,他們一直在尋找使網絡安全實踐領先一步的方法,並且更經常地使用世界上不斷發展的技術來對付我們。

人工智能和機器學習的不斷發展帶來了無價的技術收益,但是威脅參與者也正在學習以越來越險惡的方式利用AI和ML。人工智能技術將製作令人信服的Deepfake視頻的功能擴展到了試圖操縱個人和公眾輿論的技能水平較低的威脅參與者。人工智能驅動的面部識別是一種日益增長的安全資產,也被用於生產能夠欺騙人類和機器的深層偽造媒體。

我們的研究人員還預見到,有更多的威脅參與者會以公司網絡為目標,在兩階段勒索軟件活動中竊取公司信息。

隨著越來越多的企業採用雲服務來加速業務發展和促進協作,對雲安全性的需求比以往任何時候都更加重要。結果,優先採用容器技術的組織數量在2020年可能會繼續增加。他們將依靠哪些產品來幫助減少與容器相關的風險並加快DevSecOps?

機器人流程自動化的採用日益普及,以及對用於自動化的安全系統帳戶的重要性日益提高,這引發了與應用程序編程接口(API)及其豐富的個人數據有關的安全問題。

對於網絡安全界而言,2020年及以後的威脅前景有望引起人們的興趣。

–高級威脅研究首席科學家兼McAfee Fellow,Raj Samani

推特@Raj_Samani

預測

針對技能較弱的威脅演員的更廣泛的Deepfakes功能

對手產生深深的假冒以繞過面部識別

勒索軟件攻擊演變為兩階段勒索活動

應用程序編程接口(API)將暴露為導致雲原生威脅的最薄弱環節

隨著容器化工作負載的增長導致安全控制向“左移”,DevSecOps將會突顯

針對技能較弱的威脅演員的更廣泛的Deepfakes功能

史蒂夫格羅布曼

創建受操縱的內容的能力並不新鮮。操縱圖像早在第二次世界大戰中就被用於旨在使人們相信不真實的活動中。人工智能的進步所帶來的變化是,您現在可以在不成為技術專家的情況下構建令人信服的Deepfake。設置了一些網站,您可以在其中上傳視頻並作為回報接收Deepfake視頻。公共領域具有非常引人注目的功能,可以通過創建具有說服力的假冒內容的技能,向成千上萬的潛在威脅參與者提供深層的音頻和視頻功能。

可以將Deepfake視頻或文本武器化以增強信息戰。免費提供的公共評論視頻可用於訓練機器學習模型,該模型可開發出深切的視頻,描繪一個人的話從另一個人的嘴裡出來。攻擊者現在可以創建自動化的針對性內容,以增加個人或團體參加競選活動的可能性。通過這種方式,可以將AI和機器學習結合起來以製造巨大的混亂。

通常,對手將使用最好的技術來實現其目標,因此,如果我們考慮到試圖操縱選舉的民族國家行為者,那麼使用Deepfake視頻操縱觀眾是很有意義的。對手將試圖在社會中製造障礙和分歧,或者如果網絡罪犯可以讓首席執行官做出似乎有說服力的聲明,那就是公司錯過了收益或產品需要嚴重召回的致命缺陷。可以分發此類視頻來操縱股價或引發其他金融犯罪

我們預測,未經培訓的班級創建深造品的能力將增強錯誤信息數量的增加。

對手產生深深的假冒以繞過面部識別

史蒂夫Povolny

最早的基於計算機的面部識別技術自1960年代中期以來就已經存在。此後發生了巨大變化,但基本概念仍然存在:它為計算機識別或驗證人臉提供了一種手段。該技術有很多用例,大多數與身份驗證有關,並且可以回答一個問題:他們聲稱是這個人嗎?

隨著時間的流逝,技術的發展為面部識別技術帶來了增強的處理能力,內存和存儲能力。新產品以創新的方式利用面部識別技術來簡化日常生活,從解鎖智能手機到機場的護照ID驗證,甚至還可以作為執法輔助工具來識別街頭犯罪分子。

面部識別最普遍的增強之一是人工智能(AI)的發展。這是近來的一種表現,即Deepfake,這是一種AI驅動的技術,可產生極其逼真的文本,圖像和視頻,人類很難辨別真偽。該技術主要用於散佈錯誤信息,它利用了各種功能。不利的一面是最近出現的分析技​​術Generative Adversarial Networks(GAN),它可以創建偽造但難以置信的逼真的圖像,文本和視頻。增強型計算機可以在許多其他應用程序中快速處理面部的多種生物特徵,並在數學上構建或分類人類特徵。儘管技術優勢令人印象深刻,但所有類型的模型固有的潛在缺陷都在代表著迅速增長的威脅,

在未來幾年中,隨著技術的採用,一個非常可行的威脅向量將出現,並且我們預測對手將開始產生深造的假象,以繞過面部識別。對於企業而言,了解面部識別和其他生物特徵識別系統所帶來的安全風險,並投資於自身教育風險以及強化關鍵系統至關重要。

勒索軟件攻擊演變為兩階段勒索活動

約翰·福克

在McAfee的2019年威脅預測  報告中,我們預測網絡犯罪分子將更加緊密地合作以增強威脅; 在這一年中,我們確實觀察到了這一點。勒索軟件小組使用了來自其他惡意軟件活動的預感染計算機,或使用遠程桌面協議(RDP)作為其活動的初始啟動點。這些類型的攻擊需要小組之間的協作。這種夥伴關係帶來了有針對性的有效攻擊,從而提高了盈利能力並造成了更大的經濟損失。實際上,歐洲刑警組織的  互聯網有組織犯罪威脅評估 (IOCTA)將勒索軟件命名為公司,消費者和公共部門在2019年面臨的最大威脅。

根據McAfee Advanced Threat Research(ATR)在地下看到的情況,我們希望犯罪分子能夠進一步利用勒索受害者。有針對性的勒索軟件的興起導致對受感染的公司網絡的需求不斷增長。專門滲透公司網絡並一次性出售完整網絡訪問權的犯罪分子可以滿足這種需求。

以下是提供訪問企業權限的地下廣告示例:

圖1正在提供RDP訪問加拿大工廠的權限

圖2提供給亞洲食品,消費者和工業公司的訪問權限

我們預計,到2020年,公司網絡的目標滲透率將繼續增長,並最終讓位於兩階段勒索攻擊。在第一階段,網絡犯罪分子將提供嚴重的勒索軟件攻擊,勒索受害者以取回其文件。在第二階段,犯罪分子將再次以勒索攻擊為目標,以恢復中的勒索軟件受害者為目標,但這一次,他們將威脅要披露在勒索軟件攻擊之前被盜的敏感數據。

在對Sodinobiki的研究中,我們觀察到了兩階段攻擊,即 在實際的勒索軟件攻擊發生之前安裝了加密貨幣礦工。我們預計,到2020年,網絡犯罪分子將在有針對性的勒索軟件攻擊之前越來越多地洩露敏感的公司信息,以在線出售被盜數據或勒索受害者並增加獲利。

應用程序編程接口(API)將暴露為導致雲原生威脅的最薄弱環節

塞卡(Sekhar Sarukkai)

最近的一項研究表明,四分之三的組織將API安全性與Web應用程序安全性不同,這表明API安全性在應用程序安全性的其他方面落後。該研究還表明,超過三分之二的組織向公眾公開了API,以使合作夥伴和外部開發人員能夠利用其軟件平台和應用生態系統。

API是當今應用程序生態系統中必不可少的工具,包括雲環境,IoT,微服務,移動和基於Web的客戶-客戶通信。隨著越來越多的雲應用程序生態系統構建為後台自動化(例如,使用Robotic Process Automation)作為可重複使用的組件,以及利用Office 365和Salesforce等雲服務的API的應用程序生態系統的增長,對API的依賴將進一步加速。

威脅參與者正在使用啟用了API的應用程序跟踪越來越多的組織,因為API仍然是訪問敏感數據寶庫的一種簡便且易受攻擊的方式。儘管存在大規模破壞和持續威脅的後果,但API通常仍駐留在應用程序安全基礎架構之外,並被安全流程和團隊忽略。漏洞將繼續包括損壞的授權和身份驗證功能,過多的數據洩露以及無法專注於速率限制和資源限制攻擊。沒有嚴格速率限制的不安全的基於消耗的API是最容易受到攻擊的。

頭條新聞報告基於API的違反行為將持續到2020年,影響社交媒體,對等,消息傳遞,財務流程等領域的知名應用,從而增加了數以億計的交易和用戶資料過去兩年。到2020年,組織在其應用程序中採用API的需求與日俱增,這將使API安全性成為導致雲原生威脅的最薄弱環節,從而使用戶隱私和數據面臨風險,直到安全策略成熟為止。

尋求改善其API安全策略的組織應通過在SaaS,PaaS和IaaS環境中進行全面發現,尋求基於策略的授權並探索用戶和實體行為分析(UEBA)技術來檢測異常,從而對雲服務API進行更全面的了解。訪問模式。

 

隨著容器化工作負載的增長導致安全控制向“左移”,DevSecOps將會突顯

塞卡(Sekhar Sarukkai)

DevOps團隊可以不斷推出微服務以及交互的,可重用的組件作為應用程序。因此,優先採用容器技術的組織數量將在2020年繼續增加。Gartner預測:“到2022年,全球超過75%的組織將在生產中運行容器化應用程序-數量從不到30個顯著增加今天個百分點。“ 1集裝箱技術將幫助企業現代化遺留應用程序,並且創造了可擴展性和靈活的新的雲本地應用程序。

通過在軟件定義的基礎架構即代碼(IaC)上組裝可重用的組件來構建容器化的應用程序,該基礎架構已部署到雲環境。持續集成/持續部署(CI / CD)工具可自動執行這些應用程序和IaC的構建和部署過程,這對於搶先和連續檢測應用程序漏洞和IaC配置錯誤提出了挑戰。為了適應以CI / CD模式運行的容器化應用程序的增長,安全團隊將需要在代碼構建時進行部署之前的風險評估。這有效地將安全性在部署生命週期中轉移了“左”,並將安全性集成到DevOps流程中,該模型通常稱為DevSecOps。

此外,不僅對IaC配置錯誤或應用程序漏洞造成了對容器化應用程序的威脅,而且還濫用了允許在攻擊中進行橫向移動的網絡特權。為了應對這些運行時威脅,組織越來越多地轉向專門為容器環境開發的雲原生安全工具。Cloud Access Security Broker(CASB)用於進行配置和漏洞掃描,而Cloud Workload Protection Platform(CWPP)則根據應用程序的身份(不管其IP地址)充當網絡微分段的流量執行者。這種基於應用程序身份的強制實施方法將使組織遠離五元組方法來實現網絡安全性,而在臨時容器部署的情況下,網絡安全性已變得越來越不相關。

當CASB和CWPP解決方案與CI / CD工具集成時,安全團隊可以達到DevOps的速度,將安全性“向左”轉移,並在其組織內創建DevSecOps實踐。隨著組織使用這些雲原生安全工具加速向DevSecOps的過渡,雲環境的治理,合規性和整體安全性將得到改善。

 

1  Gartner生產中運行容器和Kubernetes的最佳實踐,阿倫·錢德拉塞卡蘭(Arun Chandrasekaran),2019年2月25日

 資料來源:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-labs-2020-threats-predictions-report/