當前位置:聯升科技 > 技術資訊 > 應用安全 >

2021年網絡安全預測:汽車黑客將成熱點

2021-01-15    作者:安全牛    來源:安全牛    閱讀:
網絡安全是難以預測的領域之一,我們能做的是洞察攻擊方法的趨勢、威脅態勢的變化、了解新技術以及暗流涌動的“網絡犯罪經濟”、提供關于未來的最佳“猜測”。是的,雖然標題是預測,但以下更多只是猜測和“拋磚”。

2021年,比量子霸權和機器人崛起更加現實的威脅背景:
2021年全球范圍網絡犯罪造成損失高達6萬億美元,超過全球毒品交易總規模(Cybersecurity Ventures)。網絡犯罪收入超過1.28萬億美元,相當于12個沃爾瑪(達沃斯報告)。
勒索軟件持續變異蔓延。每5秒鐘發生一起勒索軟件攻擊事件,全年勒索軟件造成損失超過200億美元,是2015年的61倍(亞信安全)。
SolarWinds供應鏈攻擊引發全球關鍵基礎設施安全新“冷戰”。
疫情因素導致部分企業IT預算緊縮,技術債累積,被迫向云端遷移導致云安全風險放大。
網絡攻擊和安全漏洞繼續快速增長,安全誤報和遠程辦公/數字化轉型快速遷移將造成部分安全人員壓力上升和過勞倦怠。
2021年,我們將面臨不斷升級的新威脅和新挑戰、新的工具和技術。2020年SolarWinds供應鏈攻擊對關鍵物理設施、國家安全和生命安全的威脅已經驗證,攻防雙方勉強維系的對等和平衡已經被徹底打破,2021年威脅網絡安全“再平衡”甚至將成為一種國防需求。
以下,我們整理了業界對2021年的幾個有代表性的預測:
勒索軟件“勇猛精進”
根據Cybersecurity Adventure的預測,到2021年,企業將每11秒遭受一次勒索軟件攻擊,而2019年為每14秒。這將使勒索軟件成為增長最快的網絡犯罪類型。全球勒索軟件破壞成本預計將達到200億美元,高于2015年的3.25億美元。到2021年,每年所有加密貨幣交易中的70%以上將用于非法活動(目前的比例范圍是包括5種主要加密貨幣的20%以及比特幣的近50%。)
2020年是勒索軟件集體爆發的一年,復雜化、產業化(RaaS)、定制化(針對性)、勒索手段的多樣化組合和贖金價格的不斷飆升是2020年勒索軟件已經呈現出的主要發展趨勢。進入2021年,勒索軟件幾乎肯定會成為攻擊組合的重要組成部分,更多的勒索軟件團伙將在加密數據之竊取數據,來繼續“增加價值”,這種組合勒索方法在醫療行業將引發更為嚴重的問題,例如攻擊者可以利用被盜的患者記錄來勒索患者。
持續攻擊醫療基礎設施可能會導致嚴重后果,2020年,勒索軟件攻擊已經制造了數個命案,2021年,更多人可能會因網絡攻擊死亡。唯一的積極結果是,悲劇性事件已經為醫療行業和執法部門敲響了警鐘。
隨著勒索軟件商業模式的不斷進化,犯罪分子將變得更加大膽,并瞄準更廣泛的行業。2021年,很多以前沒有被視為高風險的公司和行業也會遭遇針對性攻擊,例如金融服務、政府、高等教育或能源部門。
零日攻擊與加密貨幣
針對流行操作系統和應用程序的零日攻擊仍會是一個大麻煩。雖然開發人員總體上已經變得比過去更加謹慎,但是仍有改進的空間。漏洞賞金會有所幫助,但惡意行為者將故技重施,出售漏洞利用程序的犯罪團伙將獲得高額回報。
加密貨幣仍然是一種“流通性”和隱蔽性很強的支付手段,受到隱私保護主義者和罪犯的青睞,而被政府機構所厭惡。從網絡安全防御的角度來看,隨著加密貨幣市場的火爆,挖礦軟件已經成為攻擊者常用載荷,因為受害者的計算資源本身就是一種可供掠奪的“財富”。
各國政府已經在努力規范網絡空間,2021年,我們有望看到更多政府立法試圖控制(即使不是完全禁止)加密貨幣的使用。面對不斷增長的地下網絡犯罪分子,各國執法部門和企業將需要合作建立勒索軟件(及加密貨幣)情報共享機制。同時,勒索軟件犯罪團伙不斷發展壯大的同時,也會使他們更容易成為執法部門的目標。
汽車黑客“崛起”
以電動汽車、自動駕駛和聯網汽車為代表的汽車數字化時代已經到來。2021新年,特斯拉Model Y在中國市場10小時售出10萬臺,相當于傳統汽車廠商熱門車型一年的銷量。
但很少有人注意到,特斯拉也是安全漏洞賞金支出最高的汽車企業。沒有人比馬斯克更清楚,汽車產業數字化和智能化面臨的最大威脅是黑客攻擊。
與家用WiFi路由器和空調傳感器相比,汽車堪稱高動量的“大規模殺傷性武器”,由數百萬聯網冰箱和攝像頭組成的僵尸網絡,可以癱瘓半個美國的互聯網,但卻無法傷及一條人命。但是大量聯網電動汽車一旦成為網絡犯罪分子的獵物,其后果不堪設想。就汽車安全而言,我們討論的將不再是物聯網安全或者消費者隱私問題,而是大規模的恐怖襲擊和創紀錄的勒索贖金。
當前,物聯網(IoT)設備的安全可視性依然很差,即使被入侵成為“肉雞”也很容易被忽視。與大型設備(例如醫學成像系統)不同,小型物聯網設備將變得無處不在,但是由于物聯網廠商普遍缺乏安全基因,很多設備的漏洞即使不是不可修補的,也將保持脆弱和未打補丁的狀態。不法分子會發現這些物聯網設備有新的和更具“創造性”的用途,而不僅僅是用來發動可怕的DDoS攻擊。
對最新一代聯網車輛的網絡攻擊的號角經吹響。盡管眼下還沒有記錄到針對車載軟件空中更新的攻擊,但隨著越來越多的汽車制造商采用該技術,這一問題將日益引起人們的關注。2021年,我們很可能看到針對自動駕駛系統的多種形式的攻擊。
雖然已經公布的概念驗證攻擊只是欺騙(通過對抗性樣本)人工智能自動駕駛系統誤判障礙物或交通標志,但黑客也有可能對啟用這些技術的傳感器和軟件實施后果嚴重的攻擊。
內部威脅風險加大
無論是“刪庫跑路”還是接受賄賂或泄露賬戶信息,正如2020年我們看到的,隨著疫情和遠程辦公的常態化,2021年的內部威脅風險將加大,內部威脅的攻擊矢量也會增加。
這里所說的內部,還包括那些能夠訪問內部系統的合作伙伴。2021年供應鏈安全將得到越來越多的關注,因為越來越多的攻擊者(包括勒索軟件和高級針對性攻擊)開始選擇從供應鏈中的薄弱環節,例如規模較小安全能力不成熟的企業入手,進而攻擊上游或下游企業。
5G打開安全威脅的潘多拉盒子
2021年,5G網絡安全將成為各國5G戰略的頭等大事。
5G網絡引入的網絡功能虛擬化、網絡切片、邊緣計算、網絡能力開放等關鍵技術,一定程度上帶來了新的安全威脅和風險,對數據保護、安全防護和運營部署等方面提出了更高要求。
2020年5月份特斯拉汽車“失聯”事件表明,5G作為新基建的核心基礎設施,其安全問題如不能在“原生”和“設計”階段消滅在萌芽中,將給電動汽車、智能物聯網、智慧城市等新基建發展埋下嚴重隱患。
如果想避免物聯網安全的悲劇重演,5G設備制造商、系統與服務提供商、運營商、監管機構等需要與包括網絡安全業企業在內的5G生態組織一起做好5G安全的“頂層設計”和“原生設計”。
零信任與XDR構筑新的防御體系
2021年,隨著密碼管理工具和多因素身份驗證(MFA)的普及,通過外部網絡釣魚和數據盜竊來實施攻擊的速度被大大減緩。
這些工具在減少入侵賬戶的威脅方面非常有效,其中基于令牌的MFA在這兩種工具中更有效,但這些年來其應用增長緩慢。但是,2021年廉價的物理密鑰和基于軟件的認證器軟件有助于推動多因素認證的普及。在新的一年里,多因素認證的用戶接受度仍然是一個挑戰,而且可能還會持續數年。
我們還可能看到基于風險的訪問控制技術的增長,越來越多的企業使用安全分析工具來定制合適的身份驗證級別,僅在需要時才進行額外的身份驗證,這將有助于減輕用戶的負擔,減少業務摩擦。此外,通過將行為分析技術綁定到安全工具堆棧中,防御者正在給攻擊者制造更多麻煩。這些都與零信任架構有關,2021年零信任將進入快速發展階段。
安全分析作為一項技術將得到更多的應用,并被整合到現有的安全堆棧中。隨著擴展的檢測和響應(XDR)從最初的以供應商為中心的定義演變為更開放的,與供應商無關的模型,在企業安全領域的地位將進一步提升。行為分析模型將繼續改進,隨著端點代理不斷改進并向堆棧中提供更好的信息/情報,行為分析將提供更準確的結果。
如果幸運的話,我們將看到能夠在物聯網設備上部署的超輕型代理。我們還將看到欺騙技術得到更廣泛的應用。盡管它們無法阻止攻擊,但它們可以作為可靠的預警并補強現有網絡安全解決方案。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】


相關文章

我們很樂意傾聽您的聲音!
即刻與我們取得聯絡
成為日后肩并肩合作的伙伴。

行業資訊

聯系我們

13387904606

地址:新余市仙女湖區仙女湖大道萬商紅A2棟

手機:13755589003
QQ:122322500
微信號:13755589003

江西新余網站設計_小程序制作_OA系統開發_企業ERP管理系統_app開發-新余聯升網絡科技有限公司 贛ICP備19013599號-1   贛公網安備 36050202000267號   

微信二維碼
国产女人高潮抽搐喷水视频免费