卡巴斯基安全公告：卡巴斯基2018威脅預(yù)測(cè)

2018年初，我們又將開始年度攻擊預(yù)測(cè)?；赝?017年，身為安全研究者不禁為往事而激動(dòng)：一方面每個(gè)新事件都是讓我們興奮不已的競(jìng)技場(chǎng)，將理論問題用生活中的白話描述出來，這就需要我們了解實(shí)際的攻擊面、戰(zhàn)術(shù)，進(jìn)而錘煉我們的追蹤和檢測(cè)技術(shù)，最終解決問題；另一方面，對(duì)高度關(guān)注用戶安全態(tài)勢(shì)的人來說每個(gè)事件都是災(zāi)難，不能將每個(gè)漏洞視作孤例，還要看到不安全因素累積的后果，尤其用戶、電子商務(wù)、金融及政府機(jī)構(gòu)等所面臨的。

1.高級(jí)持續(xù)性威脅預(yù)測(cè)

1.1 2018年將會(huì)發(fā)生什么？

1.1.1 供應(yīng)鏈攻擊增多

2018年供應(yīng)鏈攻擊將增多，可從發(fā)現(xiàn)點(diǎn)和實(shí)際攻擊點(diǎn)發(fā)起。

卡巴斯基實(shí)驗(yàn)室的全球研究和分析小組跟蹤分析超過100個(gè)APT（高級(jí)持續(xù)性威脅）組織和行動(dòng)，發(fā)現(xiàn)其中有部分已經(jīng)是高度成熟，它們擁有多種攻擊武器，如零日漏洞、無(wú)文件攻擊工具，還將傳統(tǒng)的黑客攻擊與擅長(zhǎng)滲透的成熟團(tuán)隊(duì)組合起來。我們經(jīng)常會(huì)發(fā)現(xiàn)高級(jí)威脅實(shí)施者在很長(zhǎng)一段時(shí)間針對(duì)特定目標(biāo)進(jìn)行攻擊卻無(wú)功而返，這是因?yàn)槟繕?biāo)使用了強(qiáng)大的互聯(lián)網(wǎng)安全套件、對(duì)其員工進(jìn)行過教育避免成為社會(huì)工程受害者或是有意識(shí)地遵循了澳大利亞DSD的35個(gè)緩解策略（DSD TOP35）來應(yīng)對(duì)APT攻擊。

總的來說，攻擊者技術(shù)成熟而且毅力驚人，一般不會(huì)輕易放棄，他們往往會(huì)另辟蹊徑。

當(dāng)所有手段都行不通時(shí)，他們就會(huì)后退一步，重新評(píng)估形勢(shì)。在重新評(píng)估的過程中，威脅實(shí)施者可能會(huì)決定進(jìn)行供應(yīng)鏈攻擊，因?yàn)檫@可能比直接攻擊目標(biāo)更有效。即便目標(biāo)使用世界最佳防御系統(tǒng)，一般也會(huì)用到第三方軟件，第三方軟件可能更容易被攻破，從而達(dá)到侵入保護(hù)更完善的初始目標(biāo)。

在2017年，我們已經(jīng)看到了幾起這樣的案例，包括但不限于：

● Shadowpad

● CCleaner

● ExPetr / NotPetya

這類攻擊很難被發(fā)現(xiàn)或防御，例如，在Shadowpad的案例中，攻擊者在Netsarang的很多數(shù)據(jù)包中植入木馬（Netsarang，一個(gè)在世界各地的銀行、大型企業(yè)及一些行業(yè)的垂直領(lǐng)域中被廣泛應(yīng)用的遠(yuǎn)程控制軟件）。由于原本干凈的數(shù)據(jù)包和被植入木馬的包之間極難區(qū)分，大多數(shù)情況下只有命令與操作控制（C&C）產(chǎn)生的異常流量才會(huì)露出馬腳。

2017年估計(jì)不止200萬(wàn)臺(tái)電腦接收了CCleaner受感染的更新，成為當(dāng)年最大規(guī)模的攻擊之一。通過對(duì)CCleaner惡意代碼的分析，我們發(fā)現(xiàn)它與APT團(tuán)體過去在“Axiom umbrella”中使用過的其他后門有所關(guān)聯(lián)，如APT17（也稱Aurora）。這也說明APT團(tuán)體為了實(shí)現(xiàn)其目標(biāo)愿意繞多大的彎。

我們的評(píng)估表明，目前供應(yīng)鏈攻擊可能比我們發(fā)現(xiàn)的要多得多，只是這些攻擊還沒有被發(fā)現(xiàn)或暴露出來。在2018年，我們預(yù)計(jì)會(huì)出現(xiàn)更多的供應(yīng)鏈攻擊，無(wú)論在發(fā)現(xiàn)的數(shù)量上還是實(shí)際發(fā)生的攻擊上。針對(duì)特定區(qū)域和垂直領(lǐng)域中應(yīng)用的專用軟件進(jìn)行木馬感染的手段，將會(huì)和水坑攻擊相似，為特定受害者精心挑選網(wǎng)站，這也說明特定類型的攻擊者極難防范。

1.1.2 更多高端移動(dòng)惡意軟件

CitizenLab和Lookout在2016年8月發(fā)布了一個(gè)名為Pegasus（帕伽索斯）的高級(jí)移動(dòng)端間諜平臺(tái)的分析報(bào)告，Pegasus是一個(gè)叫NSO集團(tuán)的以色列公司銷售給政府等單位的所謂的“合法監(jiān)聽”軟件套裝。Pegasus能結(jié)合零日漏洞功能，可遠(yuǎn)程繞過當(dāng)代移動(dòng)操作系統(tǒng)（如iOS）的安全防御系統(tǒng)，移動(dòng)系統(tǒng)通常較為高效，但防護(hù)能力較弱。在2017年4月，谷歌發(fā)布了其對(duì)Chrysaor這一針對(duì)安卓系統(tǒng)的Pegasus間諜軟件的分析報(bào)告，除了Pegasus和Chrysaor這類“合法監(jiān)視”間諜軟件，許多其他APT組織也開發(fā)了自己的移動(dòng)惡意軟件植入。

由于iOS是一個(gè)通過內(nèi)?。╥ntrospection）鎖定的操作系統(tǒng)，用戶不能檢查手機(jī)是否被感染。雖然Android系統(tǒng)漏洞更多但實(shí)際好得多，這是因?yàn)锳ndroid平臺(tái)上的軟件（如卡巴斯基互聯(lián)網(wǎng)安全系統(tǒng)）可以保證設(shè)備的完整性。

我們的結(jié)論是移動(dòng)端惡意軟件的總數(shù)量遠(yuǎn)多于報(bào)告，由于匱乏遙測(cè)技術(shù)使得這類惡意軟件難以被發(fā)現(xiàn)和根除。2018年將會(huì)發(fā)現(xiàn)更多的針對(duì)移動(dòng)設(shè)備的高端APT惡意軟件，由于攻擊數(shù)量及安全技術(shù)的進(jìn)步共同導(dǎo)致的。

1.1.3 更多BeEF類瀏覽器攻擊框架工具出現(xiàn)

由于利益增長(zhǎng)及操作系統(tǒng)中默認(rèn)內(nèi)置更好的安全和防御技術(shù)，在2016年和2017年零日漏洞的價(jià)格急劇攀升。例如，最新的Zerodium的報(bào)價(jià)表顯示，該公司愿意出價(jià)150萬(wàn)美元，購(gòu)買一份完整的iPhone（iOS）持續(xù)性攻擊的遠(yuǎn)程越獄漏洞，這種攻擊實(shí)則是指“無(wú)需用戶參與就可實(shí)現(xiàn)的遠(yuǎn)程感染”。

部分政府客戶選擇出如此高價(jià)來購(gòu)買這些漏洞意味著，人們?cè)絹碓街匾曔@些漏洞的保護(hù)，使其免遭意外披露。這意味著在實(shí)際攻擊之前，攻擊者可以進(jìn)行更細(xì)致的偵察。在偵察階段，攻擊者可以明確目標(biāo)使用的瀏覽器、操作系統(tǒng)、插件和其他第三方軟件的實(shí)際版本，有了這些信息，威脅實(shí)施者就可以精準(zhǔn)利用不那么敏感的“1日”或“n日”漏洞，而無(wú)需動(dòng)用極其寶貴的零日漏洞。

這類分析技術(shù)會(huì)被像Turla、Sofacy以及Newsbeef（也叫Newscaster、Ajax hacking team或“Charming Kitten”）這樣的APT團(tuán)體所使用，但也被其他精于定制分析框架的APT團(tuán)伙利用（如Scanbox及其各個(gè)變種）?？紤]到這些框架的流行及對(duì)昂貴工具保護(hù)需求的激增，預(yù)計(jì)在2018年“BeEF”及其變種分析工具將大興其市，這些團(tuán)隊(duì)可以是用公用框架也可能是自行開發(fā)框架。

1.1.4 更多的UEFI和BIOS攻擊

可擴(kuò)展固件接口（UEFI）是一種在當(dāng)代PC架構(gòu)上充當(dāng)固件和操作系統(tǒng)之間的軟件接口，2005年由英特爾為主參與的軟硬件開發(fā)商聯(lián)盟所開發(fā)，UEFI現(xiàn)正迅速取代傳統(tǒng)的BIOS標(biāo)準(zhǔn)。主要是BIOS缺乏一些高級(jí)特性：如安裝和運(yùn)行可執(zhí)行文件的能力、網(wǎng)絡(luò)和互聯(lián)網(wǎng)功能、加密、CPU無(wú)關(guān)架構(gòu)和驅(qū)動(dòng)等，這些缺陷使得UEFI應(yīng)用更普遍，但在固化的BIOS時(shí)代從來沒有過的漏洞也隨之出現(xiàn)。如運(yùn)行自定義可執(zhí)行模塊的功能就讓可以直接被UEFI啟動(dòng)的惡意軟件成為可能，而此時(shí)惡意軟件防御系統(tǒng)甚至操作系統(tǒng)都還沒有啟動(dòng)。

商業(yè)級(jí)UEFI惡意軟件早在2015年Hacking team UEFI模塊被發(fā)現(xiàn)之前就有了，有鑒于此，至今尚未發(fā)現(xiàn)任何重大的UEFI惡意軟件也無(wú)需訝異，那是因?yàn)闆]有可靠的方法發(fā)現(xiàn)這類軟件。我們認(rèn)為在2018年將會(huì)有更多UEFI惡意軟件被發(fā)現(xiàn)。

1.1.5 破壞性攻擊將繼續(xù)

自2016年11月始，卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)針對(duì)中東多個(gè)目標(biāo)出現(xiàn)了新一波的磁盤擦除器攻擊（wiper attacks），此次攻擊使用的惡意代碼就是臭名昭著的Shamoon蠕蟲的變種，而Shamoon惡意代碼曾在2012年攻擊過沙特阿拉伯Aramco國(guó)家石油公司（阿美石油）和卡塔爾Rasgas天然氣公司。歷史上最神秘的Wiper在遁跡四年后又卷土重來，Shamoon又稱Disttrack是一個(gè)極具有破壞性的惡意軟件家族，會(huì)擦除受害者電腦上的數(shù)據(jù)。2012年襲擊發(fā)生的當(dāng)天一個(gè)名為“Cutting Sword of Justice”的組織在Pastebin留言：稱其實(shí)施了對(duì)沙特阿美的攻擊，同時(shí)聲稱此次襲擊是為了對(duì)抗沙特王室。

與老版本一樣，2016年11月的Shamoon 2.0攻擊目標(biāo)是沙特各個(gè)關(guān)鍵和經(jīng)濟(jì)部門中的機(jī)構(gòu)，目的是大規(guī)模破壞組織內(nèi)部的信息系統(tǒng)?？ò退够鶎?shí)驗(yàn)室在調(diào)查Shamoon 2.0攻擊事件時(shí)，還發(fā)現(xiàn)了一個(gè)之前未知的wiper惡意軟件，似乎是用來攻擊沙特阿拉伯組織的。我們把這種新型wiper命名為StoneDrill，很可能與Newsbeef APT團(tuán)伙有關(guān)。

2017年是破壞性攻擊肆虐的一年，除了Shamoon和 Stonedrill外，ExPetr/NotPetya攻 擊起初認(rèn)為是勒索軟件攻擊，實(shí)際是一次巧妙偽裝的wiper攻擊。ExPetr之后又是一波“勒索軟件”攻擊，在這種情況下受害者幾乎不可能恢復(fù)數(shù)據(jù)；它們都是巧妙偽裝的“wiper類的勒索軟件”。鮮為人知的是，在2016年就已經(jīng)出現(xiàn)了一波“wiper勒索軟件”攻擊，CloudAtlas APT利用了“wiper類的勒索軟件”襲擊了俄羅斯的金融機(jī)構(gòu)。

在2018年，作為最可見的網(wǎng)絡(luò)戰(zhàn)，我們預(yù)計(jì)破壞性攻擊的數(shù)量將繼續(xù)上升。

然而理想豐滿，現(xiàn)實(shí)骨感。第一節(jié)比賽，遼寧就領(lǐng)先山東隊(duì)13分之多。去年還是總冠軍級(jí)別的球隊(duì)在新科冠軍面前毫無(wú)一戰(zhàn)之力。

1.1.6 更多加密體系被顛覆

2017年3月，由美國(guó)國(guó)家安全局（NSA）開發(fā)的物聯(lián)網(wǎng)加密方案提案遭到質(zhì)疑，Simon和Speck提出的不同版本ISO的批準(zhǔn)也被撤回并再次推遲。

2016年8月，瞻博網(wǎng)絡(luò)（Juniper Networks）宣布在其NetScreen防火墻中發(fā)現(xiàn)了兩個(gè)神秘的后門，其中最有趣的可能是對(duì)Dual_EC隨機(jī)數(shù)生成器(雙橢圓曲線確定性隨機(jī)比特生成器)用到的常數(shù)極其細(xì)微的變化，這將使聰明的攻擊者解密通過NetScreen設(shè)備的VPN數(shù)據(jù)流。最初的Dual_EC算法是由NSA設(shè)計(jì)經(jīng)由NIST推廣的，早在2013年路透社的一份報(bào)道指出NSA付給RSA公司1千萬(wàn)美元，希望作為潛在解密方法希望RSA在產(chǎn)品中應(yīng)用有漏洞的算法。盡管早在2007年建立后門的理論可能性就已經(jīng)確定，但有幾家公司（包括瞻博）通過設(shè)置一套不同的常數(shù)來使用Dual_EC算法，在理論上這是安全的。實(shí)際上一些APT攻擊看不慣這組不同的常數(shù)，攻擊了瞻博產(chǎn)品并更改了這些常數(shù)，除了控制外還可解密VPN連接。

這些動(dòng)作最終被發(fā)現(xiàn)，2017年9月，一個(gè)國(guó)際密碼學(xué)專家小組迫使NSA放棄了兩種新的加密算法，當(dāng)時(shí)NSA希望將它們標(biāo)準(zhǔn)化。

2017年10月，新聞爆出英飛凌（infineon）在硬件芯片中使用的密碼庫(kù)有缺陷，該芯片用于生成RSA素?cái)?shù)表。盡管這一缺陷似乎是無(wú)意的，但它確實(shí)讓人們對(duì)日常生活中使用的加密技術(shù)到底有多安全產(chǎn)生疑問，無(wú)論是智能卡、無(wú)線網(wǎng)絡(luò)還是加密網(wǎng)絡(luò)傳輸。在2018年，我們預(yù)計(jì)標(biāo)準(zhǔn)本身或特定實(shí)施中，將會(huì)有更嚴(yán)重的加密漏洞被發(fā)現(xiàn)并修補(bǔ)（但愿如此）。

1.1.7 電子商務(wù)身份識(shí)別陷入危機(jī)

過去的幾年中個(gè)人信息（PII）大規(guī)模泄露的災(zāi)難性事件越來越多。據(jù)報(bào)道最近的一次Equifax泄露就影響了1.455億美國(guó)人。雖然多數(shù)人對(duì)于信息泄露已經(jīng)麻木，但我們一定要知道，大規(guī)模的PII泄露將危及電子商務(wù)的基礎(chǔ)，以及政府用互聯(lián)網(wǎng)處理重要文件的便利性。確實(shí)欺詐和身份盜用這些問題已經(jīng)存在了很長(zhǎng)時(shí)間，但是當(dāng)最基本的識(shí)別信息被廣泛的擴(kuò)散，以至于最后根本就不可靠的時(shí)候該怎么辦？商業(yè)和政府機(jī)構(gòu)（特別是在美國(guó)）將面臨一種選擇，是不再用互聯(lián)網(wǎng)這一現(xiàn)代措施方便的進(jìn)行管理，還是推廣其他多種因素的解決方案。也許到目前為止，像ApplePay這樣的替代選擇將會(huì)成為一種保護(hù)身份和交易的時(shí)尚方式，但同時(shí)，在使繁瑣的官僚程序現(xiàn)代化和降低運(yùn)營(yíng)成本方面，互聯(lián)網(wǎng)可發(fā)揮的關(guān)鍵作用將減弱。

1.1.8 更多路由器和調(diào)制解調(diào)器被攻破

另一種常被忽視的漏洞就是路由器和調(diào)制解調(diào)器。無(wú)論是在家還是在企業(yè)，這兩種硬件都無(wú)處不在，它們對(duì)日常運(yùn)作至關(guān)重要，且常常負(fù)責(zé)運(yùn)行那些未被修復(fù)和監(jiān)視的專有軟件。設(shè)計(jì)這些小計(jì)算機(jī)本來目的就是為了鏈接互聯(lián)網(wǎng)，它們位于抵擋攻擊者獲得長(zhǎng)期且隱秘的網(wǎng)絡(luò)訪問權(quán)的關(guān)鍵位置。此外，正如在報(bào)告《最近一些非?？岬难芯俊分兴f的那樣，在某些情況下，攻擊者甚至可以偽裝成不同的互聯(lián)網(wǎng)用戶，使追蹤者徹底迷失方向。在人們對(duì)誤導(dǎo)和假標(biāo)志越來越感興趣的這一時(shí)期，這是個(gè)不小的壯舉。對(duì)這些設(shè)備進(jìn)行更嚴(yán)格的審查，一定會(huì)有一些有趣的發(fā)現(xiàn)。

1.1.9 社會(huì)混亂的媒介

除了過去一年信息戰(zhàn)引起的泄露和政治事件之外，社交媒體出乎意料的扮演起了政治化的作用。無(wú)論是政治權(quán)威人士的網(wǎng)絡(luò)言論，還是南方公園（South Park）的編劇們對(duì)Facebook首席執(zhí)行官戲謔的嘲諷，人們的目光都不約而同的轉(zhuǎn)向了各社交媒體巨頭，要求對(duì)試圖大范圍影響社會(huì)的虛假用戶和機(jī)器人進(jìn)行某種程度的事實(shí)核查和鑒別。令人遺憾的是，這些將成功建立在諸如“每日活躍用戶”這樣的量化指標(biāo)上的網(wǎng)絡(luò)，他們顯然沒有什么動(dòng)機(jī)去真正清除它們的機(jī)器人用戶群。即使這些機(jī)器人有著明顯的目的或獨(dú)立研究人員已經(jīng)發(fā)現(xiàn)了它們的痕跡并展開了追蹤。我們認(rèn)為如果放任這種行為持續(xù)濫用，大型機(jī)器人網(wǎng)絡(luò)將成為政治化的反派角色，社交媒體將會(huì)受到抵制，這些深感厭惡的用戶會(huì)急切地尋找這些陶醉在濫用帶來利潤(rùn)和點(diǎn)擊率的巨頭們的替代。

1.2 結(jié)論

2017年，我們做出《妥協(xié)指標(biāo)（IOC）已死》的報(bào)告，2018年我們認(rèn)為高級(jí)威脅者將發(fā)揮他們的新特長(zhǎng)、打磨他們的新工具并通過上文描述的可怕方式進(jìn)行攻擊。每年的主題和趨勢(shì)都不是孤立的，它們互為基礎(chǔ)，無(wú)論是個(gè)人、企業(yè)還是政府，各種類型的用戶都將面臨更嚴(yán)峻的威脅。唯一的解決辦法，就是對(duì)準(zhǔn)確威脅情報(bào)的共享和正確應(yīng)用。

這些預(yù)測(cè)涵蓋了高級(jí)且有目標(biāo)的威脅的趨勢(shì)，而各行業(yè)部門也將面臨各自截然不同的挑戰(zhàn)，因此2018年我們希望給予關(guān)注。

2.行業(yè)和技術(shù)預(yù)測(cè)

2.1 引言

我們生活在一個(gè)互聯(lián)的世界里，數(shù)字技術(shù)已經(jīng)成為個(gè)人和組織日常生活的一部分。這帶來了新的漏洞和威脅。目前，一些行業(yè)部門比其他行業(yè)更容易受到攻擊。在我們的行業(yè)和技術(shù)預(yù)測(cè)中，我們選擇了一些高危領(lǐng)域，提出了未來可能存在的一些關(guān)鍵風(fēng)險(xiǎn)及其潛在影響。

2.2 汽車產(chǎn)業(yè)威脅預(yù)測(cè)

2.2.1 2017年行業(yè)狀況

現(xiàn)代汽車不只是電動(dòng)汽車，每次更新?lián)Q代，它們的聯(lián)網(wǎng)程度就會(huì)隨之增加，采用更智能的技術(shù)，使它們更有效率、更舒適且更安全。聯(lián)網(wǎng)汽車市場(chǎng)的五年復(fù)合增長(zhǎng)率為45%，是汽車市場(chǎng)整體增速的10倍。

為實(shí)現(xiàn)安全和監(jiān)控，某些地區(qū)（如歐盟或俄羅斯）普遍使用雙向連接系統(tǒng)（eCall、ERAGLONASS），現(xiàn)在主要的汽車制造商都允許用戶通過網(wǎng)站或移動(dòng)應(yīng)用與汽車進(jìn)行遠(yuǎn)程交互。

遠(yuǎn)程故障診斷、遠(yuǎn)程信息處理和聯(lián)網(wǎng)信息娛樂極大地增強(qiáng)了駕駛員的安全和享受，同時(shí)也給汽車行業(yè)帶來了新的挑戰(zhàn)，因?yàn)檫@些技術(shù)使車輛變成了網(wǎng)絡(luò)攻擊的主要目標(biāo)。汽車系統(tǒng)受到侵入或安全、隱私和財(cái)務(wù)等被侵犯的風(fēng)險(xiǎn)越來越大，這就要求制造商了解并應(yīng)用IT安全，近年來發(fā)生的幾起事件都揭示了聯(lián)網(wǎng)汽車的脆弱性。

2.2.2 2018年預(yù)測(cè)

Gartner預(yù)測(cè)到2020年將有2.5億輛聯(lián)網(wǎng)汽車上路，還有些人認(rèn)為屆時(shí)有98%的汽車都將接入互聯(lián)網(wǎng)。我們現(xiàn)在及將來面臨的威脅不應(yīng)當(dāng)被孤立地看待，它們具有延續(xù)性，更多的車輛聯(lián)網(wǎng)帶來攻擊面、攻擊機(jī)會(huì)驟增。

明年汽車部門將面臨的威脅包括：

廠商在市場(chǎng)競(jìng)爭(zhēng)壓力下缺乏安全意識(shí)或?qū)I(yè)知識(shí)不足產(chǎn)生漏洞。聯(lián)網(wǎng)移動(dòng)服務(wù)范圍持續(xù)擴(kuò)大，開發(fā)和交付這些服務(wù)的供應(yīng)商數(shù)量也隨之增長(zhǎng)。不同品質(zhì)的產(chǎn)品/供應(yīng)商的供給增加，面臨競(jìng)爭(zhēng)激烈的市場(chǎng)，難免會(huì)有安全忽視乃至敞口，讓攻擊者有機(jī)可乘。

產(chǎn)品和服務(wù)復(fù)雜性帶來的漏洞。汽車產(chǎn)業(yè)制造商關(guān)注為客戶提供多樣化的互連服務(wù)，每一個(gè)環(huán)節(jié)都存在被攻擊者快速利用的可能性，他們只要發(fā)現(xiàn)一個(gè)不安全的切入點(diǎn)，如手機(jī)藍(lán)牙或音樂下載系統(tǒng)，就可能控制關(guān)鍵的電子模塊如剎車或引擎等，最終造成惡果。

沒有絕對(duì)零缺陷的代碼——有bug，就會(huì)被利用。當(dāng)今車輛已經(jīng)運(yùn)行了超過一億行代碼，這本身就為網(wǎng)絡(luò)罪犯提供了廣闊的攻擊面。隨著更多的聯(lián)網(wǎng)元件被安裝到車輛中，代碼的數(shù)量還會(huì)激增，Bug的風(fēng)險(xiǎn)隨之增長(zhǎng)。包括特斯拉在內(nèi)的部分汽車廠商已經(jīng)采取特定的缺陷獎(jiǎng)勵(lì)計(jì)劃來解決這個(gè)問題。

此外，軟件由不同的開發(fā)人員編寫，被不同的供應(yīng)商所安裝，向不同的管理平臺(tái)報(bào)告，沒有一個(gè)參與方能夠看到，更無(wú)法管控車輛的所有源代碼。這可以使攻擊者更容易地繞過檢測(cè)。

應(yīng)用程序是網(wǎng)絡(luò)罪犯的福音。用戶可以通過下載越來越多的智能手機(jī)應(yīng)用程序，其中很多是由汽車制造商提供的，來遠(yuǎn)程解鎖他們的汽車、檢查引擎狀態(tài)或者找到汽車位置。研究人員已經(jīng)證明了這些應(yīng)用程序能被攻破。不久之后，木馬應(yīng)用就能神不知鬼不覺的將惡意軟件植入受害者的車中。

精于硬件但不擅長(zhǎng)軟件的企業(yè)推出越來越多的聯(lián)網(wǎng)組件，軟件需要持續(xù)更新的需求可能被忽視。更糟糕的是如果已知問題無(wú)法被遠(yuǎn)程修復(fù)，而車輛召回需要時(shí)間和成本，此時(shí)很多司機(jī)將處于危險(xiǎn)之中。

聯(lián)網(wǎng)車輛將產(chǎn)生并處理更多的數(shù)據(jù)，這些數(shù)據(jù)既有車輛，也有行程甚至個(gè)人資料，攻擊者出于在黑市上出售數(shù)據(jù)或通過數(shù)據(jù)進(jìn)行敲詐勒索等的目的就更強(qiáng)。汽車廠商現(xiàn)在已經(jīng)面臨著來自營(yíng)銷公司的壓力，因?yàn)闋I(yíng)銷公司想要合法獲得乘客行程數(shù)據(jù)以便投放即時(shí)位置廣告。

幸運(yùn)的是，對(duì)安全威脅的認(rèn)識(shí)程度及安全意識(shí)的提高將促使市場(chǎng)出現(xiàn)遠(yuǎn)程診斷和遠(yuǎn)程數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)安全設(shè)備。

此外，法律制定者將把聯(lián)網(wǎng)汽車的網(wǎng)絡(luò)安全設(shè)為強(qiáng)制標(biāo)準(zhǔn)提出需求和指引。

最后，除了現(xiàn)有的安全認(rèn)證之外，還將設(shè)立新的組織負(fù)責(zé)網(wǎng)絡(luò)安全認(rèn)證。它們將使用明確的標(biāo)準(zhǔn)，評(píng)估聯(lián)網(wǎng)車輛對(duì)網(wǎng)絡(luò)攻擊的抵抗力。

2.2.3 行動(dòng)指南

解決這些風(fēng)險(xiǎn)的方法包括將安全納入標(biāo)準(zhǔn)、施行安全設(shè)計(jì)、聯(lián)網(wǎng)汽車生態(tài)系統(tǒng)中各部分關(guān)注安全。防御性軟件解決方案可以安裝在如剎車等個(gè)別電氣部件上，提高它們抵御攻擊的能力。其次，軟件可以通過檢測(cè)所有網(wǎng)絡(luò)通信來整體保護(hù)車輛的內(nèi)部網(wǎng)絡(luò)，提示任何車內(nèi)網(wǎng)絡(luò)行為的變化，阻止攻擊者進(jìn)一步侵入車內(nèi)網(wǎng)絡(luò)。總而言之，需要有一個(gè)解決方案來保護(hù)所有連接到外部互聯(lián)網(wǎng)的部件，云安全服務(wù)可以在威脅發(fā)生之前檢測(cè)并糾正威脅。它們還可以對(duì)車輛進(jìn)行遠(yuǎn)程更新和實(shí)時(shí)預(yù)測(cè)，這些需要嚴(yán)格一致的行業(yè)標(biāo)準(zhǔn)。

2.3 聯(lián)網(wǎng)醫(yī)療威脅預(yù)測(cè)

2.3.1 2017年行業(yè)狀況

2017年卡巴斯基實(shí)驗(yàn)室的研究曾揭示過聯(lián)網(wǎng)醫(yī)療基礎(chǔ)設(shè)施中儲(chǔ)存的醫(yī)療信息和病人數(shù)據(jù)不受保護(hù)的程度，任何有動(dòng)機(jī)的網(wǎng)絡(luò)罪犯都可以接觸到。例如，我們發(fā)現(xiàn)了大約1500臺(tái)用于處理醫(yī)療影像的設(shè)備未設(shè)訪問權(quán)限。此外我們發(fā)現(xiàn)大量的聯(lián)網(wǎng)醫(yī)療軟件和web應(yīng)用程序包含已公開的漏洞。

網(wǎng)絡(luò)惡棍認(rèn)識(shí)到健康信息的價(jià)值，加上獲取極為容易，何況醫(yī)療機(jī)構(gòu)愿意支付高額贖金等因素，使得風(fēng)險(xiǎn)進(jìn)一步加劇。

2.3.2 2018年預(yù)測(cè)

隨著衛(wèi)生保健機(jī)構(gòu)使用越來越多的聯(lián)網(wǎng)設(shè)備和有漏洞的web應(yīng)用程序，醫(yī)療行業(yè)面臨的威脅只增不減。醫(yī)療聯(lián)網(wǎng)是由多項(xiàng)因素驅(qū)動(dòng)，如對(duì)資源費(fèi)效比的需求、像老年人、糖尿病患者等慢性病對(duì)于遠(yuǎn)程居家護(hù)理需求增長(zhǎng)、消費(fèi)者對(duì)健康生活方式的追求，及醫(yī)療機(jī)構(gòu)之間的數(shù)據(jù)共享和病人監(jiān)測(cè)可以顯著提高醫(yī)療保健的質(zhì)量和有效性。

明年醫(yī)療行業(yè)的威脅趨勢(shì)包括：

以敲詐、惡意中斷或破壞為目的從而對(duì)醫(yī)療設(shè)備的攻擊將會(huì)增加。需要與網(wǎng)絡(luò)相連的專業(yè)醫(yī)療設(shè)備數(shù)量一直在增加，雖然很多網(wǎng)絡(luò)都是內(nèi)網(wǎng)，但只要有一個(gè)與外部網(wǎng)絡(luò)的連接，就足以讓攻擊者入侵并通過“封閉”內(nèi)網(wǎng)傳播惡意軟件。由于以設(shè)備為攻擊目標(biāo)可能會(huì)干擾護(hù)理并可能致命，因此醫(yī)療機(jī)構(gòu)付贖金的可能性非常高。

以竊取數(shù)據(jù)為目標(biāo)的指向攻擊也會(huì)增加。聯(lián)網(wǎng)醫(yī)療系統(tǒng)存儲(chǔ)和處理的醫(yī)療信息和患者數(shù)據(jù)每天都在增多，這些數(shù)據(jù)在黑市上非常有價(jià)值，不僅可以用來直接敲詐勒索，但感興趣的人不僅僅是犯罪分子，受害者的雇主或保險(xiǎn)公司可能出于“關(guān)心”工作崗位或者保費(fèi)而產(chǎn)生“興趣”。

針對(duì)醫(yī)療設(shè)施勒索軟件攻擊將增多。包含數(shù)據(jù)加密和設(shè)備鎖定：聯(lián)網(wǎng)醫(yī)療設(shè)備常常十分昂貴且關(guān)乎生命，這使它們成為攻擊和勒索的首要目標(biāo)。

醫(yī)療機(jī)構(gòu)中清晰定義的網(wǎng)絡(luò)周界將會(huì)被“侵蝕”。醫(yī)療機(jī)構(gòu)中用于聯(lián)網(wǎng)的工作站、服務(wù)器、手持設(shè)備和醫(yī)療設(shè)備將不斷增加，讓網(wǎng)絡(luò)犯罪分子更多機(jī)會(huì)進(jìn)入醫(yī)療網(wǎng)絡(luò)、獲得醫(yī)療信息。對(duì)于醫(yī)療機(jī)構(gòu)的安全團(tuán)隊(duì)來說，每一個(gè)新聯(lián)網(wǎng)設(shè)備都將為攻擊者打開侵入基礎(chǔ)信息架構(gòu)的一個(gè)新入口，持續(xù)防御和保證終端安全的挑戰(zhàn)越來越大。

聯(lián)網(wǎng)的“可穿戴設(shè)備”（含植入）之間傳輸?shù)拿舾泻蜋C(jī)密數(shù)據(jù)，加上這類設(shè)備在醫(yī)療診斷、治療和預(yù)防保健中使用增多，醫(yī)療專業(yè)人員也逐漸成為被攻擊的目標(biāo)，起搏器和胰島素泵就是最典型的例子。

國(guó)家和地區(qū)級(jí)的衛(wèi)生保健信息系統(tǒng)可讓未加密或不安全的患者數(shù)據(jù)在個(gè)體醫(yī)生、醫(yī)院、診所和其他設(shè)施之間進(jìn)行共享，這就成為意圖在公司防火墻之外攔截?cái)?shù)據(jù)的攻擊目標(biāo)。這種情況也出現(xiàn)在醫(yī)療機(jī)構(gòu)和保險(xiǎn)公司之間。

消費(fèi)者使用聯(lián)網(wǎng)的健康和健身設(shè)備更普遍，將為攻擊者提供大量只受到最低限度保護(hù)的個(gè)人數(shù)據(jù)。由于健康意識(shí)提高及聯(lián)網(wǎng)生活方式的普及意味著健身手鐲、計(jì)步器、智能手表等都將攜帶和傳輸更多的個(gè)人數(shù)據(jù)，同時(shí)卻只有基本的安全保護(hù)，網(wǎng)絡(luò)犯罪分子會(huì)毫不猶豫地利用這一點(diǎn)。

無(wú)論是以阻斷服務(wù)（DDOS）的形式，還是通過“勒索軟件”（如WannaCry）來直接破壞數(shù)據(jù)等手段的破壞性攻擊，對(duì)更加數(shù)字化的醫(yī)療機(jī)構(gòu)來說都是日益嚴(yán)重的威脅。支撐著每個(gè)現(xiàn)代組織的越來越多的工作站、電子記錄管理和數(shù)字業(yè)務(wù)流程都在擴(kuò)大著網(wǎng)絡(luò)犯罪的攻擊面，在醫(yī)療保健領(lǐng)域這一威脅則更加緊迫，因?yàn)槿魏我环N破壞都可能關(guān)乎生死。

最后是聯(lián)網(wǎng)義肢、智能生理增強(qiáng)植入、嵌入式AR等新興技術(shù)，這類設(shè)計(jì)可以幫助殘疾人生活，并創(chuàng)造更好、更強(qiáng)、更健康的人類，除非這些設(shè)備在最初設(shè)計(jì)時(shí)就考慮到了安全，否則將為有想法的惡意攻擊者提供新行動(dòng)和傷害機(jī)會(huì)。

2.4 金融服務(wù)和欺詐威脅預(yù)測(cè)

2.4.1 2017年行業(yè)狀況

2017年金融服務(wù)中的欺詐、攻擊趨向于以用戶賬戶為中心，客戶數(shù)據(jù)是大規(guī)模欺詐攻擊的關(guān)鍵促成者，頻繁發(fā)生的其他類型攻擊的成功，為網(wǎng)絡(luò)犯罪提供了珍貴的個(gè)人信息，用于進(jìn)行賬戶侵權(quán)或虛假身份攻擊。這些以帳戶為中心的攻擊可能造成包括后續(xù)客戶數(shù)據(jù)和信任損失，因此減輕這一風(fēng)險(xiǎn)不論對(duì)商業(yè)企業(yè)還是金融服務(wù)的客戶來說都同樣重要。

2.4.2 2018年預(yù)測(cè)

2018年將是金融服務(wù)業(yè)創(chuàng)新的一年，這一領(lǐng)域的變革步伐將繼續(xù)加快。隨著更多的渠道和新的金融服務(wù)的出現(xiàn)，威脅也將會(huì)多元化。金融服務(wù)將需要專注于全渠道欺詐預(yù)防，以及成功地識(shí)別從網(wǎng)上賬戶到新渠道中的欺詐行為。隨著新支付方式盈利能力的增加，也將受到更多的攻擊。

（1）實(shí)時(shí)支付挑戰(zhàn)

消費(fèi)者對(duì)實(shí)時(shí)和跨境金融交易的需求不斷增加給快速進(jìn)行風(fēng)險(xiǎn)分析帶來壓力，再加上消費(fèi)者對(duì)無(wú)摩擦付款的預(yù)期使這項(xiàng)任務(wù)更具挑戰(zhàn)性。金融服務(wù)需要重新思考，并使“了解客戶”的流程更加高效。機(jī)器學(xué)習(xí)以及最終的以AI為基礎(chǔ)的解決方案，也將是解決欺詐和快速風(fēng)險(xiǎn)檢測(cè)的關(guān)鍵。

更大的風(fēng)險(xiǎn)在于人們對(duì)超快、簡(jiǎn)易交易（包括即時(shí)跨境支付）需求的增長(zhǎng)，意味著銀行、支付系統(tǒng)等必須更快地對(duì)交易的完整性做出判斷，而這增加了錯(cuò)誤和欺詐的可能性。解決辦法不是減少檢查，而是讓它們?cè)诟行У耐瑫r(shí)更快速。這就是AI /機(jī)器學(xué)習(xí)系統(tǒng)將真正提供幫助的地方。

（2）社會(huì)工程攻擊

金融服務(wù)將需要繼續(xù)專注于經(jīng)過嘗試和測(cè)試攻擊技術(shù)。盡管面臨著更復(fù)雜新興的威脅，社會(huì)工程和網(wǎng)絡(luò)釣魚仍然是最簡(jiǎn)單和最有利可圖的攻擊之一——將人類因素作為最薄弱的環(huán)節(jié)加以利用。應(yīng)該繼續(xù)對(duì)客戶和員工進(jìn)行教育，提高人們對(duì)最新的攻擊和騙局的認(rèn)識(shí)。

（3）移動(dòng)威脅

根據(jù)最新發(fā)布的《卡巴斯基網(wǎng)絡(luò)安全指數(shù)》，在線活動(dòng)越來越多的發(fā)生在手機(jī)上。例如，現(xiàn)在35%的人使用智能手機(jī)接入網(wǎng)上銀行，29%的人使用手機(jī)在線支付系統(tǒng)（前一年分別為22%和19%）。這些手機(jī)先行的消費(fèi)者將日益成為欺詐的首要目標(biāo)。網(wǎng)絡(luò)罪犯將利用之前成功的和新的惡意軟件家族，以創(chuàng)造性的方式盜取用戶的銀行認(rèn)證信息。2017年惡意軟件家族Svpeng的變種已經(jīng)出現(xiàn)，2018年其他移動(dòng)惡意軟件家族將再出現(xiàn)，用新功能攻擊銀行憑證。識(shí)別和消除惡意軟件對(duì)金融服務(wù)機(jī)構(gòu)來說至關(guān)重要。

（4）數(shù)據(jù)泄露

數(shù)據(jù)泄露將繼續(xù)出現(xiàn)在2018年的頭條新聞中，金融機(jī)構(gòu)將受到虛假賬戶和賬戶接管的二次影響。數(shù)據(jù)泄露盡管比針對(duì)客戶的個(gè)人欺詐攻擊更難實(shí)施，但一次攻擊暴露出來的大量客戶數(shù)據(jù)，對(duì)犯罪分子來說還是非常有利可圖的。金融服務(wù)機(jī)構(gòu)應(yīng)該定期測(cè)試它們的防御措施，采用解決方案在早期發(fā)現(xiàn)可疑訪問。

金融機(jī)構(gòu)已經(jīng)告知我們，在數(shù)據(jù)泄露之后，可疑的憑據(jù)檢查和登錄嘗試將會(huì)增加，比如相同的IP或設(shè)備會(huì)多次試圖登錄一系列帳戶。

（5）加密貨幣目標(biāo)

未來將會(huì)有更多的金融機(jī)構(gòu)探索加密貨幣的應(yīng)用，網(wǎng)絡(luò)犯罪將把這些貨幣作為主要的攻擊目標(biāo)。我們已經(jīng)看到了2017年挖礦惡意軟件的增加，2018年將會(huì)有更多。應(yīng)該采用能夠檢測(cè)出最新的惡意軟件家族的解決方案，并將最新的威脅情報(bào)與預(yù)防策略結(jié)合起來。（深入了解這一威脅，請(qǐng)參考加密貨幣威脅預(yù)測(cè)部分內(nèi)容。）

（6）賬戶侵權(quán)

過去10年由于芯片和POS技術(shù)改進(jìn)使得貨幣支付更加安全，使網(wǎng)上欺詐發(fā)生了改變?，F(xiàn)在，通過令牌化、生物識(shí)別技術(shù)和其他技術(shù)手段使得在線支付安全得到了提升，詐騙分子轉(zhuǎn)向賬戶侵權(quán)攻擊。業(yè)內(nèi)人士估計(jì)，隨著詐騙者對(duì)這一高利潤(rùn)的攻擊數(shù)量追求增多，這類欺詐行為損失將會(huì)達(dá)到數(shù)十億美元。金融服務(wù)將需要對(duì)數(shù)字身份進(jìn)行重新考量，并使用創(chuàng)新的解決方案來確認(rèn)客戶身份。

根據(jù)英國(guó)《金融欺詐行為》（Financial Fraud Action）的數(shù)據(jù)，每年，賬戶侵權(quán)攻擊都在增加（例如，2015年至2016年的增長(zhǎng)率為5%）；據(jù)Forrester估計(jì)，賬戶侵權(quán)每年會(huì)造成至少65億美元的損失，這一數(shù)字將在未來幾年繼續(xù)上升。

（7）創(chuàng)新壓力

越來越多的企業(yè)將在2018年涉足支付解決方案和開放銀行服務(wù)。在競(jìng)爭(zhēng)對(duì)手不斷增加的情況下，金融服務(wù)公司要尋求競(jìng)爭(zhēng)優(yōu)勢(shì)，創(chuàng)新是關(guān)鍵。但是，了解復(fù)雜的監(jiān)管就已經(jīng)很難了，更不用說對(duì)新渠道受到攻擊的可能性進(jìn)行評(píng)估。這些新產(chǎn)品將成為欺詐者的目標(biāo)，而且任何不以安全為核心的新方案都很容易被網(wǎng)絡(luò)罪犯攻破。

銀行創(chuàng)新的例子包括在線支付公司Square為客戶提供比特幣交易服務(wù)，以及社交媒體網(wǎng)絡(luò)Facebook在2016年獲得銀行牌照。

（8）欺詐服務(wù)

由于全球地下通信使得網(wǎng)絡(luò)犯罪知識(shí)共享更加迅速，攻擊也會(huì)更快速地在全球范圍內(nèi)擴(kuò)散。暗網(wǎng)上則提供了欺詐服務(wù)，包括機(jī)器人、釣魚翻譯服務(wù)和遠(yuǎn)程訪問工具等各種攻擊方式。網(wǎng)絡(luò)犯罪菜鳥可以購(gòu)買和使用這些工具，意味著金融服務(wù)會(huì)承擔(dān)更多的攻擊，跨部門知識(shí)共享和威脅情報(bào)服務(wù)將是緩解這一問題的關(guān)鍵。

隨著欺詐監(jiān)控系統(tǒng)的改進(jìn)和攻擊者創(chuàng)造力和攻擊手段的增加，威脅的多樣化將成為主要趨勢(shì)。攻擊者在地下討論的話題越來越多，包括如何建立假帳戶或繞過特定銀行的安全措施等。

（9）ATM攻擊

自動(dòng)取款機(jī)將持續(xù)吸引許多網(wǎng)絡(luò)犯罪者的注意?？ò退够鶎?shí)驗(yàn)室的研究人員在2017年發(fā)現(xiàn)了一些針對(duì)ATM系統(tǒng)的攻擊，這些攻擊涉及新的惡意軟件、遠(yuǎn)程控制和無(wú)文件攻擊，在暗網(wǎng)上公開以幾千美元的價(jià)格出售一個(gè)名為“Cutlet Maker”軟件，這一軟件是專門針對(duì)ATM的惡意軟件，并附送了詳細(xì)使用指南。卡巴斯基實(shí)驗(yàn)室曾發(fā)表過一篇關(guān)于未來針對(duì)ATM認(rèn)證系統(tǒng)的攻擊場(chǎng)景報(bào)告。

2.5 工業(yè)安全威脅預(yù)測(cè)

2.5.1 2017年行業(yè)狀況

2017年發(fā)生了很多影響工業(yè)系統(tǒng)信息安全的事件，安全研究人員發(fā)現(xiàn)了數(shù)百個(gè)新的漏洞，研究了針對(duì)ICS和工業(yè)流程的新威脅向量，收集并分析了工業(yè)系統(tǒng)意外感染的統(tǒng)計(jì)數(shù)據(jù)，檢測(cè)出了針對(duì)工業(yè)企業(yè)的攻擊（具體就是Shamoon 2.0/StoneDrill）。自從震網(wǎng)（Stuxnet）發(fā)現(xiàn)以來，第一次發(fā)現(xiàn)并分析了針對(duì)物理系統(tǒng)的惡意軟件工具集“CrashOverride/Industroyer”，一些專家將其歸為“網(wǎng)絡(luò)武器”。

然而，2017年工業(yè)系統(tǒng)面臨的最大威脅是加密勒索軟件。根據(jù)卡巴斯基實(shí)驗(yàn)室ICS CERT的數(shù)據(jù)，2017年上半年，全球63個(gè)國(guó)家的工業(yè)信息系統(tǒng)遭到了多次加密勒索軟件攻擊，這些惡意軟件分別來自33個(gè)惡意軟件家族。WannaCry和ExPetr破壞性勒索軟件攻擊似乎永遠(yuǎn)地改變了工業(yè)企業(yè)對(duì)保護(hù)重要生產(chǎn)系統(tǒng)的觀念。

2.5.2 2018年預(yù)測(cè)

（1）常規(guī)和意外惡意軟件感染增多

除了少數(shù)特例外，網(wǎng)絡(luò)犯罪集團(tuán)目前還沒有簡(jiǎn)單而且可靠實(shí)施工業(yè)信息系統(tǒng)攻擊的方案。針對(duì)企業(yè)網(wǎng)絡(luò)的傳統(tǒng)的網(wǎng)絡(luò)犯罪目標(biāo)的“普通”（常規(guī)）惡意代碼意外引起的工業(yè)網(wǎng)絡(luò)感染和事故將在2018年持續(xù)。與此同時(shí)我們很可能會(huì)看到這些情況使工業(yè)應(yīng)用環(huán)境產(chǎn)生更嚴(yán)重的后果。盡管安全群體一再發(fā)出警告，但如何在企業(yè)網(wǎng)絡(luò)中進(jìn)行工業(yè)系統(tǒng)的定期更新的問題仍然無(wú)法解決。

（2）有針對(duì)性的勒索軟件攻擊風(fēng)險(xiǎn)增加

WannaCry和ExPetr攻擊使安全專家和網(wǎng)絡(luò)犯罪分子知道，攻擊運(yùn)營(yíng)技術(shù)（OT）系統(tǒng)可能比IT系統(tǒng)更有利可圖，且運(yùn)營(yíng)技術(shù)系統(tǒng)同樣可以通過互聯(lián)網(wǎng)進(jìn)行訪問。此外，惡意軟件在OT網(wǎng)絡(luò)中造成的損害，可能會(huì)比相應(yīng)的企業(yè)網(wǎng)絡(luò)損害還大，而在OT中，“救火”則要困難得多。工業(yè)企業(yè)已經(jīng)展示了一旦它們的OT基礎(chǔ)設(shè)施遭到網(wǎng)絡(luò)攻擊時(shí)，其員工組織糟糕和無(wú)效率，所有這些因素都會(huì)使工業(yè)系統(tǒng)成為理想的攻擊目標(biāo)。

（3）更多的工業(yè)網(wǎng)絡(luò)間諜事件

針對(duì)工業(yè)公司的有組織的勒索軟件攻擊不斷增多，還可能會(huì)引發(fā)另一種相關(guān)網(wǎng)絡(luò)犯罪：準(zhǔn)備和實(shí)施有針對(duì)性（包括勒索軟件）攻擊從而偷竊工業(yè)信息系統(tǒng)中的數(shù)據(jù)。

（4）地下市場(chǎng)出現(xiàn)針對(duì)工業(yè)系統(tǒng)的新板塊

近年來，在黑市上對(duì)針對(duì)ICS的零日漏洞的需求旺盛，提醒我們犯罪分子正準(zhǔn)備進(jìn)行有針對(duì)性的攻擊活動(dòng)。我們認(rèn)為在2018年這一領(lǐng)域的攻擊活動(dòng)將更加猖獗，這可能會(huì)導(dǎo)致新的細(xì)分領(lǐng)域出現(xiàn)，并集中在從工業(yè)企業(yè)竊取的ICS配置數(shù)據(jù)和ICS憑證，還有可能包括帶有“工業(yè)”節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)。對(duì)于針對(duì)物理對(duì)象和系統(tǒng)的高級(jí)網(wǎng)絡(luò)攻擊，其設(shè)計(jì)和實(shí)現(xiàn)都需要有ICS和相關(guān)行業(yè)的專業(yè)知識(shí)。對(duì)這類專業(yè)技術(shù)的需求預(yù)計(jì)將推動(dòng)這些領(lǐng)域中如“惡意軟件服務(wù)”、“攻擊向量設(shè)計(jì)服務(wù)”、“攻擊活動(dòng)服務(wù)”以及其他與工業(yè)企業(yè)攻擊有關(guān)服務(wù)的增長(zhǎng)。

（5）新類型的惡意軟件和惡意工具

新的惡意軟件很可能被用來攻擊工業(yè)網(wǎng)絡(luò)和資產(chǎn)，其功能可能包括在IT網(wǎng)絡(luò)中隱藏和保持非活躍狀態(tài)的能力，從而避免被發(fā)現(xiàn)，只在較不安全的OT基礎(chǔ)設(shè)施中活動(dòng)。另一種可能是針對(duì)現(xiàn)場(chǎng)ICS設(shè)備和物理資產(chǎn)（如泵、電閘等）的勒索軟件的出現(xiàn)。

（6）國(guó)家監(jiān)管的變化

2018年部分國(guó)家在工業(yè)自動(dòng)化系統(tǒng)的新規(guī)管措施將會(huì)生效，新規(guī)的施行將迫使擁有關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)資產(chǎn)的公司在網(wǎng)絡(luò)安全評(píng)估中投入更多。因此，我們將在工業(yè)系統(tǒng)中發(fā)現(xiàn)新的漏洞，以及工業(yè)企業(yè)發(fā)生的事件和以前不為人知的攻擊也將暴露出來。

（7）犯罪分子將對(duì)安全研究人員發(fā)布的威脅分析加以利用

在2017年，研究人員發(fā)現(xiàn)并公開了針對(duì)工業(yè)資產(chǎn)和基礎(chǔ)設(shè)施的各種新的攻擊向量，并對(duì)所發(fā)現(xiàn)的惡意工具進(jìn)行了深入分析。這一切都有利于工業(yè)設(shè)施的安全，然而，犯罪分子也同樣可以利用這些信息。例如，黑客可以利用CrashOverride / Industroyer工具的公開，對(duì)電力系統(tǒng)發(fā)起阻斷式服務(wù)攻擊（denial-of-service，DoS）；他們同樣可能會(huì)開發(fā)有針對(duì)性的勒索軟件，甚至可能會(huì)想辦法從阻斷（blackout）中獲利。PLC蠕蟲的概念可能會(huì)激發(fā)犯罪分子在真實(shí)世界中創(chuàng)造PLC間傳播的惡意蠕蟲，有些人則可能試圖用PLC的某種標(biāo)準(zhǔn)編寫語(yǔ)言實(shí)施惡意軟件，還有一些威脅者甚至有可能試圖用信息安全研究人員演示的方法來開發(fā)低層級(jí)的PLC惡意軟件，后兩種情形可能會(huì)給安全解決方案的開發(fā)人員帶來嚴(yán)重困擾。

（8）工業(yè)網(wǎng)絡(luò)保險(xiǎn)可用性和投資增加

網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)正在成為工業(yè)企業(yè)風(fēng)險(xiǎn)管理的重要組成部分，就算最近與網(wǎng)絡(luò)安全事故相關(guān)的風(fēng)險(xiǎn)還被排除在保險(xiǎn)合同之外，實(shí)則上保險(xiǎn)公司將它們等同于恐怖襲擊。但情況正在改變，網(wǎng)絡(luò)安全公司和保險(xiǎn)業(yè)的主要參與者都推出了新舉措。在2018年工業(yè)自動(dòng)化系統(tǒng)審計(jì)/安全評(píng)估的數(shù)量將增加，更多的網(wǎng)絡(luò)安全事件將會(huì)被記錄在案并調(diào)查。

2.6 加密貨幣風(fēng)險(xiǎn)預(yù)測(cè)

2.6.1 2017年行業(yè)狀況

如今加密貨幣不只為計(jì)算機(jī)極客和IT專業(yè)人士所用，它對(duì)人們的日常生活的影響超出預(yù)期，從而加密貨幣對(duì)網(wǎng)絡(luò)罪犯的吸引力也急劇上升。一些電子支付中的網(wǎng)絡(luò)威脅也擴(kuò)散到了加密貨幣領(lǐng)域，比如在交易中改變目的錢包的地址，以及竊取電子錢包等。加密貨幣為惡意行為的貨幣化開辟了前所未有的方式。

在2017年全球用戶面臨的主要威脅是勒索軟件：為了恢復(fù)被攻擊者加密的文件和數(shù)據(jù)，受害者被要求用加密貨幣支付贖金。在2017年的前8個(gè)月中卡巴斯基實(shí)驗(yàn)室產(chǎn)品保護(hù)了165萬(wàn)用戶免受惡意加密貨幣挖礦工具的攻擊，到2017年年底，我們預(yù)計(jì)這一數(shù)字將超過200萬(wàn)。此外，在2017年，我們也看到了隱匿數(shù)年的比特幣小偷的回歸。

2.6.2 2018年預(yù)測(cè)

隨著加密貨幣的數(shù)量、使用和市值的不斷攀升，它們不僅吸引了網(wǎng)絡(luò)罪犯，而且還將吸引人們使用更先進(jìn)的技術(shù)和工具來創(chuàng)造更多的加密貨幣。網(wǎng)絡(luò)罪犯?jìng)兒芸炀蜁?huì)把注意力轉(zhuǎn)向最賺錢的計(jì)劃，因此，2018年很可能是惡意網(wǎng)絡(luò)挖礦軟件的一年。

（1）勒索軟件攻擊將迫使用戶購(gòu)買加密貨幣

因?yàn)榧用茇泿攀袌?chǎng)不受監(jiān)管且近乎匿名，網(wǎng)絡(luò)犯罪分子將繼續(xù)要求使用加密貨幣付贖金：無(wú)須與任何人共享任何數(shù)據(jù)，沒有人能屏蔽地址，沒有人能抓到你，而且?guī)缀鯚o(wú)法被追蹤。與此同時(shí)，貨幣化流程的進(jìn)一步簡(jiǎn)化，將使加密機(jī)得到廣泛傳播。

（2）運(yùn)用有針對(duì)性的攻擊安裝挖礦工具

我們預(yù)計(jì)為了安裝挖礦工具，攻擊者可能會(huì)針對(duì)企業(yè)開展定向攻擊。雖然勒索軟件有潛力一次性提供巨額收入，挖礦卻可以給攻擊者帶來小額長(zhǎng)期收益，我們將會(huì)知道明年攻擊者到底更喜歡什么。

（3）挖礦工具將繼續(xù)盛行，攻擊者群體擴(kuò)張

明年挖礦將繼續(xù)在全球范圍內(nèi)蔓延、吸引更多的人。新挖礦者的參與將取決于他們能否獲得免費(fèi)且穩(wěn)定的電力來源。因此，我們將看到更多“內(nèi)部挖礦者”的出現(xiàn)：更多政府組織員工將開始使用公有計(jì)算機(jī)進(jìn)行挖掘，而更多的制造企業(yè)員工將開始使用公司設(shè)備進(jìn)行挖礦。

（4）網(wǎng)頁(yè)挖礦

網(wǎng)頁(yè)挖礦是一種加密貨幣挖礦技術(shù)，它在web頁(yè)面上安裝一個(gè)特殊的腳本因此直接在瀏覽器中使用。攻擊者已經(jīng)證明，他們可以很容易的將這樣的腳本上傳到一個(gè)受攻擊的網(wǎng)站上，使訪問者的電腦參與挖掘，填滿犯罪分子的錢包。明年網(wǎng)頁(yè)挖礦將會(huì)極大地影響互聯(lián)網(wǎng)的性質(zhì)，開創(chuàng)網(wǎng)站貨幣化的新途徑。其中一種挖掘方法將取代廣告：如果用戶訂閱付費(fèi)內(nèi)容，網(wǎng)站將永久刪除挖礦腳本功能。另外電影等不同類型的娛樂內(nèi)容可以免費(fèi)提供，只有用戶參與挖礦。另一種方法建立在網(wǎng)站安全檢查系統(tǒng)的基礎(chǔ)上，將人類與機(jī)器人區(qū)分開來的驗(yàn)證碼將被網(wǎng)頁(yè)挖礦模式所取代，至于訪問者是機(jī)器還是人將不再重要，因?yàn)樗鼈兌紝⑼ㄟ^挖礦來“回報(bào)”網(wǎng)站。

（5）ICO（初始數(shù)字貨幣發(fā)行）熱潮的消退

ICO是指通過加密貨幣進(jìn)行眾籌。2017年，這一方法的發(fā)展迅猛，各項(xiàng)目總共募集到了超過30億美元的資金，大部分項(xiàng)目都和區(qū)塊鏈有關(guān)。明年ICO的熱潮將會(huì)消退，伴隨著一系列的失敗（無(wú)法創(chuàng)造出可進(jìn)行ICO的產(chǎn)品），人們也會(huì)更謹(jǐn)慎地選擇投資項(xiàng)目。一些不成功的ICO項(xiàng)目可能會(huì)對(duì)加密貨幣（比特幣、以太幣等）的兌換率產(chǎn)生負(fù)面影響，在2017年這一兌換率漲幅驚人。因此，針對(duì)ICO、智能合約和電子錢包的網(wǎng)絡(luò)釣魚和黑客攻擊數(shù)量將會(huì)減少。

3 結(jié)語(yǔ)

聯(lián)網(wǎng)技術(shù)有能力讓生活變得更好、更安全，但它們也帶來了新的漏洞，而且網(wǎng)絡(luò)攻擊者會(huì)迅速利用。正如本報(bào)告一開始就指出的，這些預(yù)測(cè)基于的是我們的專家、學(xué)者在過去一年內(nèi)獲得的經(jīng)驗(yàn)和知識(shí)，預(yù)測(cè)觀點(diǎn)不一定就變?yōu)楝F(xiàn)實(shí)。但是，準(zhǔn)備只是成功的一半，我們作為安全行業(yè)的積極參與方，將繼續(xù)提供針對(duì)網(wǎng)絡(luò)犯罪的最新工具和技術(shù)，更好地收集威脅情報(bào)、開發(fā)安全解決方案，讓世界更加安全。