2019年网络安全趋势

按照惯例，在每年年底，公司会提醒自己，分享他们的成就并发布预测，而幸运的是，这些预测与公司的产品有关。 我不会用两个小的补充来破坏这一传统。 我不会谈论过去一年中的成就； 我可以在我们的公司博客中写这个。 而且根据预测，这种情况并不是那么明显的广告。 在网络安全方面，我们有很多话要说，但我将尝试着重于其他公司通常不提及的内容，但这非常重要，在我的2019年信息安全策略中应考虑哪些内容。 此外，我不会隐藏，我们已经介绍了一些趋势。 除其他外，我们将讨论BGP和CDN的漏洞，网络设备的黑客攻击，即将到来的TLS 1.3和5G网络，API和网络攻击。

通过BGP漏洞捕获流量

最近，BGP Internet路由协议中的漏洞变得更加频繁。 拦截和重定向流量使您可以对其进行分析和处理，从而导致加密货币被盗，机密性受到侵犯以及对警察控制的计算机的控制权得以恢复。 在2018年秋季，发现了一种新方案，网络犯罪分子使用该方案来骗取在线广告。 攻击者的行动称为3ve ，拦截了超过150万个IP地址的流量，并使广告公司认为，数十亿次的互联网横幅印象实际上是真实用户看到的。 是的，这不是英国核武器机构的盗窃行为 。 是的，这不是为了掩饰自己作为MyEtherWallet网站而随后从15万美元加密货币中盗窃而来的 1300个亚马逊地址的流量拦截 。 这并不是对包括MasterCard和Visa（以及Symantec和Verisign）在内的两打金融机构的流量拦截 。 我们都会尝试通过插件和专用软件删除一些烦人的广告。 但是对于广告公司而言，此攻击的成本为2900万美元，这些攻击被“扔进了深渊”，即支付给了使用漏洞和不正确的BGP设置的骗子。



思科的回答 ：为了消除通过BGP实施的随机或恶意威胁，我们不会向您出售任何产品：-)我们仅建议您熟悉我们的手册（ 此处和此处 ）并相应地配置网络设备。 另外，建议使用适当的BGP监视服务监视网络的路由信息​​。

入侵网络设备

截至2018年11月，共发现4.5万台受损路由器。 在数周前发现了一个由100,000个受感染网络设备组成的僵尸网络，这些设备包括Broadcom，Asus，TP-Link，Zyxel，D-Link，Netgear，US Robotics等。 今年5月， 思科Talos在54个国家/地区发现了50万台受损的网络设备。 受影响的供应商包括华硕，D-Link，华为，Ubiquiti，UPVEL，中兴以及Linksys，MikroTik，Netgear和TP-Link。 入侵网络设备已从孤立的案例变成了主流，因为它使攻击者可以访问他们感兴趣的大量信息，这些信息可以以未加密的形式传输。

思科将如何回答 ：如果我们谈论的是思科设备，那么我们就基于Cisco IOS ， IOS XR ， IOS XE操作系统的保护路由器提出了许多建议 ，正确实施这些建议可以多次提高其安全性。 此外，由于受到路由器的攻击，我们是最早受到攻击的国家之一，并且我们开始引入安全启动安全启动机制，内存保护，防止硬件组件欺骗到设备等的保护措施。

其他制造商还应具有有关如何更新和保护它们的适当说明。 此外，优良作法是分析来自网络设备的遥测 ，这使您可以识别网络流量中的异常情况并及时检测网络基础设施级别的危害，这将在2019年继续引起攻击者的兴趣。

供应链攻击

对网络设备的攻击使人想起了一个古老的故事 ，即我们在世界各地的一些客户面临（很少）。 没有设备的服务合同，他们从Internet站点下载了已经停产的路由器线路的新固件，这导致设备感染，信息被拦截，并被提示我们审查网络设备的自卫策略并启动“ 可信赖系统”计划，在此框架内，我们对设备的架构进行了重新设计，并为它们配备了受信任的启动机制，防止执行内存中的恶意代码，防止电子组件欺骗 等

2018年，美国国土安全部分享了一个故事，讲述了未知的黑客如何攻击北美的多家能源公司，并通过所谓的水坑攻击来做到这一点。 攻击的本质是，攻击者不会从攻击受害公司开始他们的攻击的第一步，而是要破坏受害人使用的软件或硬件制造商的站点。 早晚（以当前软件的质量，早早出现），该公司会访问制造商的网站以获取软件和固件更新，并从受信任的资源下载受感染的软件，从而完全信任该软件。 因此，攻击者进入了组织内部并开始扩展桥头堡。 通过这种攻击，您可以一次感染多个公司，而不是一个公司，就像浇水的地方（因此在水坑中）一样，可以访问制造商的网站进行更新。

在2018年8月底，这家英国航空公司面临着一个事实，即数十万客户受到订购机票时在网站上输入的支付卡数据泄露的影响。 在调查过程中，事实证明，黑客组织Magecart攻击了...，不是，不是英国航空公司的网站，而是其承包商的网站，从中下载了受感染的JavaScript，这导致信息泄漏。 在对Ticketmaster票务网站以及许多其他电子商务资源进行攻击时，Magecart采取了类似的策略。 最后，值得注意的是，根据一个版本，不是英国航空公司的主要站点遭到破坏，而是其副本之一，位于互联网提供商的CDN基础设施中，旨在加快从某些位置访问该航空公司网站的速度。 在这种情况下，被黑客入侵的不是公司本身，而是提供其基础架构一部分的交易对手之一。

这些示例以及上述在加密货币盗窃情况下通过BGP拦截流量的情况表明，不仅公司黑客感兴趣的资源，而且服务于其的基础设施都可能受到攻击。 我们认为，此类攻击只会变得更加频繁，这就提出了一个问题，即需要扩大网络安全专家的关注范围，并不仅要为他们自己制定安全策略，而且还要制定监视伙伴，承包商和承包商安全的策略。

思科将回答的问题 ：这里没有通用的配方-一切在很大程度上取决于黑客破解承包商的方式和基础设施。 如果我们谈论的是对BGP的攻击，那么我们需要监视BGP路由。 如果我们正在谈论受到感染的制造商站点上受感染脚本的攻击，那么使用思科伞进行DNS监视将有所帮助；如果我们正在讨论下载欺骗的软件， 则可以使用Cisco Stealthwatch对遥测异常进行分析。 最重要的是将这种威胁列入2019年的相关威胁列表中。

即将推出的TLS 1.3

每个人都听说过TLS协议，它的前身是SSL协议。 最近，在2018年8月，发布了RFC 8446建议，该建议确定了新版本1.3。 新版本的优点包括更高的速度和加密强度。 同时，消除了先前版本的漏洞，并添加了新的有用功能。 如今，TLS 1.3支持许多流行的浏览器和加密库（例如Chrome，Firefox，OpenSSL）。 一切似乎都很好，但可惜。 使用TLS 1.3的延迟主要是因为该版本的协议不允许使用中间设备（NGFW，IDS，代理等）检查流量，这对于许多公司网络安全服务而言是必需的。 许多正在讨论TLS 1.3的公司提议包括一个较弱的密钥交换协议，但是所有这些提议都被拒绝，以确保Internet上的机密性并防止政府干预通信自由。 随着TLS 1.3的积极使用，无法对其进行检查将变得非常严重，第一个问题最早可以在2019年开始。

思科将回答什么 ：在推出新版本的TLS时（特别是因为我们自己在我们的解决方案中实施它），我们不打算阻挠进步，坚持不懈，但是我们建议您考虑是否需要在基础架构中切换到它TLS 1.2是否未被黑客入侵和尚未被禁止？ 但是，尽管如此，迟早会有这样的转变，信息安全专家将面临整个问题：如何监控无法监控的流量？ 答案可能是类似于我们开发的Encrypted Traffic Analytics的技术，它使您无需加密和解密即可了解加密流量中的内容（但无需访问内容本身）。

流量加密

说到加密...在我们的网络安全年度报告（2018思科年度网络安全报告）中，我们注意到过去一年全球55％的网络流量以加密形式传输，比去年增加了12％，恶意程序的数量也有所增加使用加密的三倍。 Gartner在他的一项预测中预测，在“黄土猪年”（是的，这是2019年）中，已经有80％的网络流量被加密了。 在这种情况下该怎么办？ 特别是如果使用上述TLS 1.3对流量进行加密？

思科将回答的问题 ：在我们自己的基础架构中，我们也遇到了这个问题，并提出了许多建议，我们准备与您分享。 首先，请勿打折可以终止隧道并检查解密流量（至少达到TLS 1.3版本）的中间设备（例如Cisco NGFW或Cisco WSA ）。 如果担心网络安全设备的性能会“下降”，则可以将终止加密流量的功能分配给外部设备，例如Radware Alteon。 无法解析加密的通道，请不要绝望。 您可以使用可渗透加密流量而不对其进行解密的机器学习技术（例如Cisco ETA ），或者检测与命令服务器或Internet上其他恶意资源的交互。 在Cisco产品组合中， Cisco Umbrella将帮助解决此问题。 最后，不要忘记在某个地方，即使加密的流量也已被解密-这些是终端设备-工作站和服务器，您可以在（并且需要）安装适当的安全功能。 但是传统的防病毒软件在这里不起作用-您需要比80年代后期开发的解决方案更现代的产品。 在思科，此解决方案被称为Cisco AMP for Endpoints ，我们在笔记本电脑上自己使用它（并非所有安全开发人员都可以吹嘘它），但是您当然也可以使用其他EDR（端点检测和响应）解决方案。

无文件攻击

防病毒保护技术出现在80年代后期，从那时起，它们在很大程度上没有发生太大变化。 有一个恶意程序，它被病毒分析人员研究，开发签名并配备其产品。 有一个签名-恶意软件已被捕获。 无签名-未捕获。 攻击者的任务之一是尽可能长的时间不被注意，为此，他们继续与安全卫士一起积极地与猫和老鼠玩耍。 有些增强了他们检测恶意和异常活动的能力，而另一些增强了他们尽可能长时间保持隐身的潜力。 不断增长的趋势之一是使用无文件攻击，这些攻击以合法计算机用户的身份主动利用OS和PowerShell中的内置命令。

思科将回答的问题 ：由于我们仅在谈论终端设备，因此我们有两个旨在保护和控制无文件攻击的解决方案- 端点思科AMP和思科AnyConnect。 第一个解决方案属于EDR类，它使您能够进行软件清单检查，包括对其漏洞的分析，阻止漏洞利用（包括在内存中启动的漏洞），通过不断更新的危害指标（IOC）分析活动，以及进行调查和搜索威胁（威胁搜寻） ） 具有集成NVM（网络可见性模块）的Cisco AnyConnect使您能够以Netflow自适应格式在主机上收集活动数据，以将其与在Cisco Stealthwatch网络层接收的数据相关联。 此外，Cisco Umbrella将提供更高级别的保护，它可以监视与恶意软件命令服务器（包括无文件服务器）的通信。

集成，自动化和API

Cisco AnyConnect与Cisco Stealthwatch的集成并不是制造商的心血来潮，而是迫切的需求，这是由不断变化的威胁格局和以多种不同方式穿透公司和部门网络的多矢量攻击的出现所决定的-通过Web门户的漏洞，抛出的闪存驱动器，Waterhole攻击，通过易受攻击的漏洞由经理或承包商等感染笔记本电脑带来的Wi-Fi。 没有一个单独的信息安全解决方案能够应对现代威胁。 等待消费者开始将获取的信息安全产品彼此集成在一起太长且不可靠。 我们必须把这个过程掌握在自己手中。 根据思科的统计，许多公司使用数十种不同的安全功能，这些功能不知道如何进行交互，同时会产生虚假的安全感。 今天，在网络内未检测到恶意活动的平均时间约为200天。 所有这一切都是因为保护手段像巴尔干国家一样工作，彼此之间是相互独立的（出现“互联网的巴尔干化”一词并非偶然，因为它是创建互联网的国家部分的同义词）。 但是情况将会改变，这已经可以从相同的思科及其举措（ 例如pxGrid ，ACI， 思科安全技术联盟）的例子中看出来，该联盟聚集了数百家开发公司，共同抵御日益复杂和加速的攻击。

思科将回答的问题是：我们的答案是渗透到我们所有产品中的自动化和API，以便将它们组合成一个安全系统并获得这种协同效应，从而使您将威胁检测过程从数百天加速到4个半小时。 这可以通过交换威胁数据，自动生成特征码，从外部入侵源入侵指标，访问安全工具之间的命令等来实现。

在路障两边使用人工智能的兴起

人工智能是炒作。 与机器学习不同，机器学习已经成为一种规范，并且不是信息安全性的例外。 日常任务的自动化，缓慢流程的加速，已经缺乏合格人员的替换。 这里只是在信息安全中使用机器学习的一些好处。 如今，它可用于检测恶意代码和恶意域以及Internet IP地址，网络钓鱼攻击和漏洞，提高认识并识别内部人员。 但是，人工智能不仅有益于人类，而且有害。 攻击者使用机器学习来选择漏洞，这些攻击者使用机器学习来搜索漏洞和实施网络钓鱼攻击，绕过生物识别技术并在社交网络上创建伪造的个人资料，创建恶意软件，选择密码并绕过CAPTCHA机制。 在2018年，提出了非常有趣的项目，包括创建伪造的主指纹，合成语音，更改视频图像上的面孔，将嘴唇移动与叠加在视频流中其他人图像上的合成语音同步。 我毫不怀疑它们也会很快被攻击者采用，这将在2019年给信息安全专家提出许多新问题，以打击AI的恶意使用。

思科将回答的问题 ：我们将继续努力 ，在网络安全产品中开发新的并改进现有的机器学习机制。 此类模型已经内置于Cisco AMP for Endpoints ， Stealthwatch ， CloudLock ， Umbrella ， Cognitive Threat Analytics中，并且此列表只会扩展。 同时，我们可以为您提供访问我们的站点的信息 ，该站点致力于在思科解决方案中使用人工智能。

多因素验证

您可以命名几个认证因素？ 一二三 如果您考虑过？ 以下是可以识别您身份的简短列表：

• 您知道的一些信息（是的，这是经典密码）
• 您有的东西（是的，这是令牌）
• 您拥有的东西（是的，是生物识别）
• 你做的事
• 你失去的东西
• 你忘了什么
• 你发现的东西
• 你和你所看到的东西
• 你所在的地方
• 你创造的东西
• 你毁了的东西
• 你所牺牲的东西
• 你偷的东西。

实际上，过去五年来最流行的旧密码已成为过去，并已由两因素和多因素身份验证取代，这可以显着提高用户访问公司和个人，企业和个人的各种服务和数据的安全性，存储在公司数据中心内以及云端之外。而且我们已经习惯了通过Facebook或Yandex使用外部服务的入口，我们将习惯于使用双重身份验证，然后再进行多重身份验证。我认为，2019年意识将发生一定变化，许多安全防护人员将考虑如何替换不可靠的密码。是的，由于生物识别技术与其他多因素身份验证方法相比成本较高，并且缺乏针对其的威胁模型的开发，因此不太可能成为此类替代技术。

思科将如何回答：2018年，我们收购了多因素身份验证市场的领导者Duo，并将在俄罗斯市场上推出该产品。

数据中心

每个人都在逐渐放弃边界，离开云层，并逐渐引入BYOD。没人在乎您的网络是否被黑（好吧，或者几乎没有人）。但是，如果您的数据泄漏，脏乱不堪，监管机构就会来找您，他们将用媒体冲洗您，指控您无法照顾客户和员工。您是否想知道有多少人遭受其个人和身份数据泄露的困扰？我允许我自己做一个简短的列表，而对于有多少数据泄漏到Internet（以百万计的条目），我感到有些惊讶：

• Exactis-340
• 脸书-50
• Equifax-145
• 喜达屋-500
• Yahoo — 3000
• Under Armor — 150
• Adult FriendFinder — 412
• MySpace — 164
• Ebay — 145
• Target — 110
• Heartland Payment Systems — 130
• LinkedIn — 117
• Rambler — 98
• TJX — 94
• AOL — 92
• Quora — 100
• VK — 100
• Deep Root Analytics — 198
• JP Morgan Chase — 78
• Mail.ru — 25
• Anthem — 80
• Dailymotion — 85
• Uber — 57
• Tumblr — 65
• Dropbox — 68
• Home Depot — 56
• Adobe — 38
• Sony PSN — 77
• RSA Security — 40.

恐怕不敢相信，但是我认为整个互联网中超过一半的数据已经分开（顺便说一句，我的数据也在那里不止一次）。请注意，泄漏超过一千万条记录的事件数不再以单位或数十来衡量。情况将会恶化。我们过于专注于保护外围，而忘记了安全性已成为以数据为中心而不是外围。这不仅是数据事件的问题，而且还增加了与数据保护相关的监管负担。 GDPR，大量用户数据（这是新法案的主题），对第152号联邦法的修正案和其他法规正等着明年俄罗斯人张开双臂。



思科将如何回答：我们不会出售使您符合法律要求的项目（尽管在欧洲，我们有许多关于GDPR的项目）。而且，我们没有数据分类或泄漏控制（DLP）的手段。但是我们在构建公司网络安全系统方面拥有丰富的经验，我们已经在Cisco SAFE项目中积累了丰富的经验-一套实用的建议，可保护公司或部门网络的各个部分。它不仅涉及外围，还涉及数据中心，云，Wi-Fi，统一通信，工业网络等。只有保护所有组件，才能保护数据免受泄漏，同时满足法律要求。

使用5G网络作为攻击的桥头堡

在美国，几个城市宣布它们已经使用第五代（5G）网络覆盖了其领土，这使您可以以高达10 Gb / s的速度在Internet上工作。这将消除路由器所面对的“中介”，而路由器如今已积累了大部分连接。在5G网络中，情况可能会发生变化，这将大大增加攻击范围，并使对物联网的攻击更加普遍。因为事实上，将物联网用作攻击的跳板（我认为Mirai的5G时代即将来临），这可以显着提高DDoS攻击的能力。停下但是在俄罗斯，5G的推出被推迟到2021年底。那么黄色土猪的走势是什么？是的，这里是对的。 我只是想展示我的知识，对于俄罗斯，我们有关保护新一代网络的建议和解决方案尚不重要。但是，至少值得记住这个机会。

赛博

您已经厌倦了阅读我对2019年等待我们所有人的看法，因此我将继续讨论。我想结束最后的观察，它已经成为一种趋势，并且只会在明年加剧。我们正在谈论网络课程，它使您可以检查确保网络安全的特定过程中的弱点，并制定消除它们的计划。与提供知识和培训的授权课程不同，这些知识和培训可以使您开发使用某些产品的非常特定的技能，而网络锻炼则可以模拟与现实情况类似的各种情况（搜索威胁的痕迹，事件信息的泄漏）。媒体，带有恶意代码的闪存驱动器等），并制定出阻止它们的方法。通常，在此类网络订单的框架中，在纸上描述的过程以及在使用特定产品时获得的技巧中都可以找到所有弱点，而这些并非总是适用于现实生活。

在2018年，网络订单在公司，州和州际一级都变得非常受欢迎。我碰巧进行或参与了数十次此类网络订单，可以肯定地说，这正在成为公司信息安全服务的趋势，从而可以测试其专家承受各种事件和紧急情况的技能。

思科将如何回答：俄罗斯的这一趋势正在变得如此，除非没有我们的帮助。几年前，当我们在莫斯科Cisco Connect为我们的客户举办了数次免费会议时，我们开始了第一个Cisco Cyber​​ Range网络订单。然后，我们再次取得了Cyber​​ Range的成功，并希望在4月重新执行这些网络订单，作为Cisco Connect的一部分在莫斯科。的确，在Cisco Connect上，我们正在执行轻量级版本，减少了4个小时的密集实践工作。实际上，我们提供三天或五天的网络订单，在这些订单中，我们发展了处理来自现实生活中的数百种定期更新的各种攻击方案的技能。除“网络范围”外，我们还开始在办公室积极开展为期一天的思科威胁狩猎研讨会网络订单，参与者在其中尝试查找各种​​威胁的痕迹（您可以与您的Cisco经理一起查看下一次网络订单的日期）。此外，我们还有许多其他在线网络订单可通过Cisco dCloud交互式演示服务提供给我们的合作伙伴和客户。

以下是我们要讨论的趋势列表，我们认为这些趋势将在2019年等待着大家！ 新年快乐！