1、McAfee Labs 2017 年威胁预测 2016 年 11 月 报告 McAfee Labs 2017 年威胁预测，2016 年 11 月 | 2 关于 McAfee Labs McAfee Labs 是威胁研究、威胁情报和网络安全先进理念的 全球领先来源之一。借助来自文件、web、邮件和网络等主要 威胁媒介数百万台传感器提供的数据，McAfee Labs 提供实 时威胁情报、关键分析和专家意见，以增强保护并降低风险。 McAfee 现在是 Intel Security 的一部分。 关注 McAfee Labs 简介 欢迎阅读McAfee Labs 2017 年威胁预测报告。本报告分成

2、两个部分，第一部分将深入探讨三个非常重要的主题，从长远 着眼对每个主题做出预测。 在报告的开头，我们首先概览网络安全领域一些难 以解决的问题，以及安全行业在早期为解决这些问 题付出的努力。本报告汇集了 Intel Security 众多思 想领导者所看到的最紧迫的技术安全挑战。随后， 我们对这些挑战进行了总结和剖析。我们将指出其 中的六大难题。 接下来，我们再讨论云威胁。十一位 Intel Security 思想领导者共同预测了在未来两至四年内将会出现 的云威胁，以及预期将要采取的法律和行业响应措 施。我们预期将会看到哪些威胁和安全违规？地缘 政治问题、法规、监管行动将如何影响这种环境？ 云服

3、务提供商和安全供应商将会采取哪些响应措施？ McAfee Labs 探讨未来一年内 可能会发生的 主要威胁。 McAfee Labs 2017 年威胁预测，2016 年 11 月 | 3 分享本报告 我们最后讨论的是有关威胁和物联网的问题。十 位 Intel Security 思想领导者使用与讨论云威胁 形势相同的方法，对威胁和安全违规、法律和边 界、供应商响应措施进行预测。 第二部分对 2017 年的威胁活动进行了具体预测。我们对未来 一年的预测涵盖了众多威胁，包括勒索软件、所有类型的漏 洞、利用威胁情报改进防御、以及移动设备上的攻击。 此外，我们还： 预测勒索软件将在明年中期达到高峰，但随

4、后开 始衰退。 讨论为什么威胁情报共享将在 2017 年取得重大 进步。 解释为什么物理安全和网络安全行业将更紧密地 融合。 预测黑客行动主义者会将目标瞄准消费者隐私， 并阐述立法者和企业将如何采取响应措施。 讨论为什么安全供应商和执法机构将进行空前密 切的合作，共同打击网络犯罪分子。 详细讨论为什么一些最常用应用程序中的安全漏 洞将在 2017 年持续减少。 描述“假冒”内容的规模 包括产品评论、好 评、广告、安全警告等 如何持续增加，从而削 弱互联网上的信任。 解释为什么机器学习将用于增强社会工程手段 攻击。 我们希望这些主题能够在您制定近期计划和远期策略时为您 提供宝贵的意见。 我们通过

5、自己的威胁报告用户调查不断收到来自读者的宝贵 反馈。如果您愿意分享有关本威胁报告的观点，请单击此处 填写一份只需五分钟时间就能完成的简单调查。 祝您和您的挚友亲朋节日快乐。 Vincent Weafer. McAfee Labs 副总裁 目录 难以应对的安全挑战 5 云威胁、法规和供应商响应措施 11 物联网威胁、法规和供应商响应措施 20 2017 年预测 28 勒索软件将在 2017 年下半年衰退 29 针对 Windows 的漏洞利用降温，而针对其他平台的 漏洞利用愈演愈烈 31 富有经验的攻击者们越来越多地将威胁目标锁定在硬 件和固件 34 “Dronejacking”通过无线方式施加

6、威胁 36 移动威胁将包括勒索软件、RAT、被破坏的应用市场 38 物联网恶意软件打开家的后门 39 机器学习加快了社会工程攻击 41 虚假广告和买“赞”呈爆炸式增长，危及信任 43 广告战升级加剧恶意软件传播 48 黑客行动主义者暴露隐私问题 49 执法机构的打击行动震慑网络犯罪 51 威胁情报分享取得巨大进步 52 行业和执法机构联手打击网络间谍 53 物理安全和网络安全行业通力合作 54 McAfee Labs 2017 年威胁预测 以下思想领导者协同编写了这 份报告： Jonathan Anderson Yuriy Bulygin Peter Bury Torry Campbell D

7、avid Coff ey Carric Dooley Brian Dye Lynda Grindstaff Barbara Kay John Loucaides Scott Montgomery Raj Samani Rick Simon Shishir Singh Martin Stecher Jamie Tischart Ramnath Venugopalan Lori Wigle Candace Worley 2017 年威胁预测的研究及编写 人员： Christiaan Beek Yuriy Bulygin Douglas Frosst Paula Greve Jeannette Ja

8、rvis Eric Peterson Matthew Rosenquist Fernando Ruiz Craig Schmugar Rick Simon Bruce Snell Dan Sommer Bing Sun Adam Wosotowsky 分享反馈意见 难以应对的安全挑战 McAfee Labs 2017 年威胁预测，2016 年 11 月 | 6 分享本报告 难以应对的安全挑战 McAfee Labs 数字信息安全领域始终面临着各种挑战。为了应对攻击者层出不穷的变化，我们持 续不断地推出更新和补丁。主要软件版本在推出了重要新功能的同时，也会带来意 料之外的漏洞。紧急通知和修复在新

9、漏洞攻击被发现之后才会发布。 我们还会遇到一些难以解决的大问题。这些全局性问题无法通过补丁或软件更新得 到解决。解决这些问题需要进行基础研究、新的产品分类、并需要海量时间和工作 量进行开发，以及持续不断的关注，而这些通常需要多个行业参与者通力合作。 过去几年内，随着云服务的快速普及使用，内部网络和外部网络之间的外围边界逐 渐消失，新设备的增长速度令人难以置信，这些因素都对保护所有数字信息的传统 方法提出了挑战。本文将讨论安全行业面临的六大挑战，并提供行业采取行动应对 这些挑战的一些示例。 威胁防御有效性 攻击和防御双方都在不断调整和演进。下图显示了某种类型的防御随着时间推移的 典型演进过程。随

10、着新技术的开发，它的有效性迅速增加，最终可以随时进行部 署。部署之后，它将广泛应用在现实场景下，开发团队可以收到反馈，另外还包括 应用于其他防御中，从而进一步提高有效性。这种防御技术将不断增强，直至到达 一定的有效性级别，促使对手采取响应措施。在这个阶段，攻击者会进行实验，发 现规避这种防御的方法，制定出对策，从而降低了这种防御技术的价值。 难以应对的安全挑战 难以解决的大问题是那些需要进行 基础研究、新的产品分类、并需要 海量时间和工作量进行开发，以及 需要持续关注的问题，而这些通常 需要多个行业参与者通力合作。本 文中，我们讨论了六个此类挑战。 威胁防御有效性 部署整合 对手规避和 制定对

11、策 持续创新 发明和开发 时间 效果 随着新技术的开发，它的有效性迅 速增加。这种防御技术将不断增强， 直至到达一定的有效性级别，促使 对手采取响应措施。攻击者会进行实 验，发现规避这种防御的方法，制定 出对策，从而降低了这种防御技术的 价值。我们需要通过将曲线向右上移 动，提高威胁防御有效性。 McAfee Labs 2017 年威胁预测，2016 年 11 月 | 7 分享本报告 安全行业的挑战是向上向右移动这条曲线，到达红色虚线的位置，从而延长威胁防 御有效性的生命周期。全面影响这种生命周期的行动包括： 降低我们和对手之间的信息不对称。 提高发动攻击的成本，降低从中获得的收益。 提高安全

12、操作的可见性。 发现攻击者对合法工具和凭据的利用。 保护分散数据。 在没有代理的情况下进行检测和保护。 降低信息不对称性 对手掌握的有关我们防御的信息，多于我们掌握的有关他们攻击的信息，这种不对 称性严重影响了威胁防御有效性曲线。对手可以针对安全防御，测试他们的攻击方 法，而不会遭受损失，无论是在实验室中，还是在实际情景中，都可发起针对已部 署系统的攻击。他们可以针对我们进行测试，但我们却察觉不到大部分测试，因而 无法从攻击者一方汲取经验。为了让曲线朝有利于我们的方向移动，我们是否可以 制定相应方法来防止攻击者针对我们进行测试，检测到他们的实验并从中吸取经 验，在可能的情况下误导他们？ 防止攻

13、击者针对我们进行测试是非常困难的，甚至可能是无法解决的问题。但 是，更加广泛地共享有关攻击的信息，是我们可以采取的第一个关键步骤，有助 于消除这种不对称性。当我们共享和汇总有关攻击的信息时，我们可以更好地了 解这些攻击方法，以便找到我们算法中的漏洞。这让我们能够更加快速地调整和 改进防御。 流经各个网元 - 例如云环境、虚拟机、物联网设备 - 的遥测系统中的大量详细数据 有助于我们更好地了解攻击方法。我们正在学习如何将数据科学应用到这些信息 中，以便更好地识别攻击模式，并且更加快速地创建攻击指标。我们还有潜力改变 防御的可预测性，让对手更难发现特定弱点。这需要不同防御层实时协同工作，让 通过某

14、一个层的攻击或探测被另一个层终止。 提高发动攻击的成本，降低攻击获得的收益 金钱是大多数网络攻击者的主要动机。我们是否可以提高发动攻击的成本并降低攻 击获得的收益？如果我们能够减少攻击获得的经济收益，降低攻击成功率，提高捕 获的可能性，我们就能降低攻击目标的吸引力。分析一下执法数据，我们将会发 现，网络犯罪的调查和起诉与犯罪严重程度呈反比关系。对于物理犯罪，我们通常 针对最严重的罪行进行起诉。但对于网络犯罪，针对高级别攻击进行调查和起诉更 加困难，因为它们通常跨越多个司法管辖区，犯罪者通常掌握了更多技能和资源， 可以帮助他们规避检测和起诉。针对这种情况，可以采取的一种响应措施是迷惑攻 击者，增

15、加他们花费在特定攻击上的时间，从而更加简单地跟踪、识别、捕获和起 诉这些网络犯罪。 难以应对的安全挑战 对手对我们的防御的了解程度比我 们对对手的攻击了解更深。攻击者 可以对安全防御进行不会遭受惩罚 的攻击测试。我们却察觉不到大部 分测试，因而无法从攻击者一方汲 取经验。我们必须制定相应的方法 防止攻击者针对我们进行测试，检 测到他们的实验并从中吸取经验， 然后尽量误导他们。 网络犯罪的调查和起诉与犯罪严重 程度呈反比关系。我们必须减少攻 击所获得的经济收益，降低攻击成 功率，提高捕获的可能性，从而降 低攻击目标的吸引力。 McAfee Labs 2017 年威胁预测，2016 年 11 月

16、| 8 分享本报告 安全供应商显著加强了他们与执法机构的合作。我们显然能够收集有助于执法和起 诉的信息。专注于防御欺骗行为的安全公司已经进入市场，他们利用诱饵迷惑对 手，将他们的注意力从更有价值的目标引开。与执法机构以往使用标记票据、汽车 跟踪以及其他可跟踪性和恢复工具相似，网络安全也在增加对数字诱饵、报警文件 及其他无法消除的标记的使用，旨在帮助找到攻击者。 提高可见性 通常只有在出现安全违规事件之后，组织才了解到他们的信息资产受保护的情况如 何。在影子 IT、各种类型的云、“自带设备”趋势等因素的影响下，我们更难清楚 了解安全操作的有效性。几十年以来，企业一直在寻找识别和控制所有企业资产的

17、 制胜法宝。事实上，我们对信息资产的控制比较有限，由于信息资产的数量和分布 位置急剧增加，控制级别还在降低。几乎没有任何公司能够宣称他们牢固掌握了信 息资产的位置和控制权。因此，我们需要帮助组织改进安全状况的可见性。 公司和安全供应商的安全操作正将重点从 IT 资产转移到数据资产，从“伪绝对-绝 对”防御覆盖转移到信息灵通的风险管理。我们拥有的工具能够识别和分类数据， 监控数据使用情况，并应用适当的策略，必要时还能阻止数据移动。利用这些工 具，组织能够更加有效地量化他们的风险状况，发现严重的安全缺陷，并且适当地 集中资源。安全意识比较好的组织会将基本统计数据与前一个月的数据进行比较， 与会计账

18、目非常相似。而安全意识更好的组织则会确立地区、国家、行业的基准， 用于进行比较，就像投资者那样。但是，很多常见安全指标并不具有很强的可操作 性。我们认为，要能够对在受保护环境中的威胁行为采取接近实时的操作，我们还 有很多工作要做。 识别披着合法外衣的攻击 很多攻击首先使用盗窃的凭据，然后使用合法的管理工具来攻击目标系统和泄露数 据。传统方法基于文件签名或其他标准来查找恶意或可疑对象，从而检测非法行 为，但在此类情况下，传统方法无法奏效。使用的对象已知是合法的，但被用于恶 意目的。因此我们必须确定操作的意图。它是正常业务登录还是攻击？加密是用于 保护数据还是泄漏数据？这次 PowerShell

19、会话是管理员发起的还是恶意探测？ 合法工具究竟被用于合法目的还是可疑活动？判断两者之间的差异是非常困难的。 我们目前可以使用的唯一方法是行为分析，但它在网络安全领域还处于发展初期。 它是一个良好的开端，但还需要构建一个模型，针对每次活动开展合法性测试，而 不仅是针对文件和凭据。我们需要分析操作和数据移动，试图确定其意图，无论它 们是来自外部操作人员还是未经授权的内部人员。此步骤要求了解有关活动上下文 的大量信息。 我们对信息资产的控制比较有限，由 于信息资产的数量和分布位置急剧增 加，控制级别还在降低。我们需要帮 助组织改进安全状况的可见性。 许多攻击通过使用盗取的凭据开始实 施。合法工具究竟

20、被用于合法目的还 是可疑活动？判断两者之间的差异是 非常困难的。我们需要开发可针对每 个活动进行合法性测试的模型。 难以应对的安全挑战 McAfee Labs 2017 年威胁预测，2016 年 11 月 | 9 分享本报告 一种具有争议的可能性是展开用户信誉和预测分析。它的概念是评估特定帐户遭受 入侵和盗窃或被用于未经授权的内部活动的概率。通过收集上下文中的用户行为， 从在不同系统上重用密码的趋势到作业描述和典型工作时间，我们可将不同操作与 一系列预期的合法活动进行比较，并标记超出特定风险级别的活动。这是一个敏感 区域。在这种技术成为主流之前，我们还需要解决所涉及的隐私、道德和法律等重 大问

21、题。 保护分散数据 数据在企业周边之外移动，因而容易出现无意泄露和遭受针对性攻击。数据要移动 到云和个人设备，还要移动到合作伙伴、供应商和客户。我们如何在移动过程中保 护数据，确保它安全到达目的地。虽然组织仅有不足 20% 的数据始终在这种扩展生 态系统中移动，但是 70% 的数据丢失都与这种移动相关。目前，有些机构试图对数 据进行加密，并在单独的邮件中发送密钥，将保护数据的责任移交至链条中的下一 个人，从而保护此种类型的数据移动，这将导致信任范围很小。我们必须找到如何 扩展信任范围，同时又维持更好的控制。 在早期阶段，我们要使用数据分类和丢失防护系统来管理和扩展分散数据的信任 范围。数据在移

22、动过程中始终具有安全性，从而实现持久的策略执行，这是下一 个步骤。我们必须能够在下一次使用过程中保护数据，这一点类似于数字权限管 理机制。 在没有代理的情况下进行检测和保护 过去，很多安全功能要通过在我们保护的设备上运行代理来实现。但在今后的很多 情况下，这种方法将不再可行。物联网设备的存储空间和计算能力非常有限，操作 系统变得更加封闭以提高安全性，各种操作系统和设备类型数量繁多，超出了任何 供应商的研发能力，汽车和关键基础设施等行业的元器件生命周期很长，无法随时 更新。要确保未来的网络安全，解决大部分难以解决的重大问题，必须在无代理的 环境实现安全。 无代理安全技术已经开始演进，早期的解决方

23、案试图从多个方向解决问题。芯片设 计人员正在增强硬件级别安全性、存储器保护、受信任执行环境。行为分析安全产 品从外部进行监控，能够随时隔离和调查存在可疑或异常行为的设备。处理和分析 仍然必须利用某种计算资源来进行，但我们将更多地利用灵活的计算资源，而不是 使用专门的代理。分布式实施点已经出现，它将扩展到由设备组成的整个网络，多 个点之间相互实时通信和协作，以便执行检测和保护操作。 难以应对的安全挑战 数据在企业周边之外移动，因而容 易出现无意泄露和遭受针对性攻 击。数据将移动到云和个人设备， 还会移动到合作伙伴、供应商和客 户。数据移动和到达目的地时，更 需要保护。 在将来的许多实例中，将不能

24、把代 理安装到设备上来保护设备。我们 必须找到其他保护途径。 McAfee Labs 2017 年威胁预测，2016 年 11 月 | 10 总结 提高整个安全行业的威胁防御有效性是遏制对手的关键。多家行业参与者必须协同 工作，共同解决单个补丁或软件更新无法解决的全局性问题，这一点至关重要。我 们需要更加广泛地在业界领先公司之间分享信息，这样不仅能为我们提供更多的详 细遥测数据，而且有助于增强反欺骗技术。通过增加预测性分析的使用，提高组织 资产和分散数据的安全可见性，减少专门代理的使用，我们能够提高威胁防御生命 周期的有效性。 难以应对的安全挑战 云威胁、法规和供应商 响应措施 分享反馈意见

25、McAfee Labs 2017 年威胁预测，2016 年 11 月 | 12 分享本报告 云威胁、法规和供应商响应措施 云威胁、法规和供应商响应措施 您能够外包工作，但不能外包风险 云服务提供商正在建立信任和赢得客户。越来越多的敏感数据和业务关键流程正在 转移至公有云和私有云。攻击者将适应这种转变，继续寻找最简单的方式来获得经 济收益，或者实现他们的目标。在未来两至四年内，我们的重点是云安全的演进。 我们预期将会看到哪些威胁和安全违规？地缘政治问题、法规、监管行动将如何影 响这种环境？我们预测云服务提供商和安全供应商将会采取哪些响应措施？ 威胁和安全违规 云服务不断快速成熟和发展，既为组织和

26、国家带来了机会，也为犯罪分子提供了可 乘之机。我们通过讨论做出了以下 11 条预测，在未来两至四年内，这些预测很可能 变成显而易见的现实。 人们对云的信任度会提高，云中的敏感数据和处理将会增多，导致针对云攻击的可 能性增大。 第一条预测非常简单，但它为其他云威胁预测奠定了基础。过去几年内，向云应用 程序、云服务、云存储迁移的速度加快，我们预测这种趋势还将持续。云服务提供 商已经显著改进了安全控制和客户保证，而且还将继续进行改进。如果没有发生影 响到多个企业、国家、经济行业的重大安全违规或中断事件，用户对云服务的信任 将会继续增加。所有类型和规模的组织会将更多处理和数据迁移到云，很多企业将 完全

27、依赖云。攻击将会进行调整，新威胁随之兴起，并发生安全事件。 企业仍将关键功能保留在受信任数据中心和网络。 虽然数据在向云迁移，但大多数企业不会完全外包他们的专有处理和存储功能，他 们将保留对企业非常关键的核心数据和知识产权。具有讽刺意义的是，公共云毫无 疑问比私有云更加安全，因为它们通常拥有更加专业的安全团队，掌握了从芯片到 应用程序等领域的专业知识。构建私有云的公司必须确信能够保护所有层的安全， 从应用程序到操作系统，从硬件到管理程序。当前，公司发现保护关键数据变得日 益困难，因为周边的定义不太明确。随着云服务使用的增加，这一问题将变得更 加突出，公司及其云服务提供商必须明确定义允许哪些数据

28、通过，受到哪种类型的 保护。 Intel 的 11 位思想领导者共同对接 下来两到四年的云威胁和响应进行 了展望。 我们的专家阵容： Yuriy Bulygin Peter Bury David Coffey Carric Dooley John Loucaides Scott Montgomery Raj Samani Rick Simon Shishir Singh Jamie Tischart Candace Worley 本文解答了下面的问题： 我们预计将会看到哪些云威胁和安 全违规？ 地缘政治问题、法律、法规行动将 如何影响云环境？ 我们预测云服务提供商和安全供应 商将会采取哪些响应

29、措施？ McAfee Labs 2017 年威胁预测，2016 年 11 月 | 13 分享本报告 云服务的速度、效率、成本仍将与控制、可见性、安全性产生冲突。 对于尚未积极利用云服务的组织而言，妨碍其得到更广泛采用的第一位障碍 是安全性。（但是，这些组织已经在使用云，因为很多员工的文件都存储在 Google、Dropbox、iCloud、OneDrive 或其他云服务上。）对于已经迁移至云的 组织而言，安全性下跌至第二位或第三位的障碍，位于运营一致性和财务监督之 后。服务提供商必须改进云服务的速度、效率、成本，但另一方面又要兼顾控制、 可见性、安全性，这种矛盾将会反映在云服务中。提供商将选择

30、不同的平衡点，它 们最终会在价格和服务协议中反映出来，为公司提供最合适他们期望的安全状况的 选项。虽然云服务当前大多是存储、服务器、应用程序的虚拟化，但在未来四年 内，我们预期服务将会变得更加精细。云将更多成为事件驱动的容器，而不是基于 服务器的代码。容器的平均生命期要比虚拟机短得多，基于代码和数据运行，随后 消失。这种向更高的速度和效率的转变将会显著增加安全压力，并与安全发生更多 冲突。 我们熟悉的身份验证方案及其控制系统仍将是云保护中的最薄弱技术环节；很多攻 击首先将凭据窃取做为重点。 在可以预见的将来，密码以及创建和使用密码的用户仍将是大多数技术中的最大薄 弱环节。云身份验证也不例外，它

31、为凭据窃取带来很大收益。有些攻击者非常耐心 和老练，他们将会挖掘社交网络、以前失窃的密码以及其他个人身份数据，以图盗 窃凭据，尤其侧重于云管理凭据。目标钓鱼攻击、虚假招聘活动和其他一些手段已 在使用中，而且将继续使用。内部身份验证系统，例如 Active Directory，与云服务 提供商使用的身份验证系统进行交互的能力有限。云应用程序的使用日益广泛，而 且人们喜欢在所有云服务中都使用相同或相似的密码，导致这个问题进一步加剧。 针对管理员帐户的目标凭据盗窃和强力攻击将会增加，攻击者还会密切关注管理员 帐户活动。 攻击将来自所有方向，同时利用“东-西”和“南-北”攻击媒介。 正如我们在 Bla

32、ck Hat 大会和其他安全会议上听到的讨论内容那样，犯罪分子将继续 探索新的攻击媒介，并且成功实施攻击。在传统的系统和网络中，大多数攻击遵循 “南-北”模式，企图在堆栈中上下移动，以增加权限、攻击漏洞、获取对数据或应 用程序的访问。云攻击者将继续使用这种模式，另外还会寻求利用“东-西”攻击的 机会。“东-西”攻击是在虚拟机、容器或其他云项目之间移动，在服务甚至组织之 间跳转。攻击者将利用云的规模和攻击面的增大，广泛扫描寻找漏洞，然后试图攻 击使用同一家云服务提供商的多个组织，或者衍生恶意流程，为后续的监视和泄露 提供立足点。 云威胁、法规和供应商响应措施 云服务的速度、效率、成本仍将与控 制

33、、可见性、安全性产生冲突。提供 商及其客户将选择不同的平衡点。 我们熟悉的身份验证方案及其控制 系统仍将是云保护中的最薄弱技术 环节。我们预计针对管理员帐户的 定向凭据盗窃和暴力攻击将增多。 McAfee Labs 2017 年威胁预测，2016 年 11 月 | 14 分享本报告 服务层之间脱节、不一致的设置及控制是第二个薄弱环节；攻击者可能成功利用这 些脱节和不一致性。 从基础设施到应用程序，组织分别使用了多家不同类型的云服务提供商。组织并不 能始终清晰地划分云服务提供商和自己之间的责任界限，因而在安全方面留下了可 以利用的漏洞。这并非技术的失败，而是流程的失败。组织拥有工具，知道应该采

34、取哪些措施，但有时他们假定某项工作是由另外一方负责的。此外，如果组织使用 了多家云服务提供商，由于不同或不一致的控制或术语，多家供应商分别负责的安 全状况可能有所不同。出现这种情况的一部分原因是他们使用了大量不同安全标 准，影响到一致性，进而影响到比较能力。这些流程失败和安全控制不一致将为网 络攻击留下可乘之机。要杜绝这种现象，他们必须更好地理解流程，让云安全控制 标准变得更加成熟。 在将计算和数据迁移到云时，可见性和控制仍将是企业面临的关键问题。 云计算能够根据需要移动流程和数据，这会为我们提供极大优势，但也可能导致严 重的安全或隐私问题。我们见过一些案例，有人贿赂员工，以求分享他们的密码。

35、 对于所有类型的组织而言，不知道或无法控制数据存储在何处或执行哪些流程，都 会导致一系列棘手问题。无论这些组织是希望将数据存储在国界范围内，以遵守国 家的隐私法规，还是出于安全原因，限制流程仅在特定的云环境中运行，防止第三 数据或知识产权离开公司本地，或者了解云的使用模式，他们查看和限制数据在云 中和云间的移动的能力都远远落后于需求。如果攻击者利用合法媒介（应用程序、 凭据等）来实现可能非法的目的，我们必须采用基于上下文的行为分析。在可以预 见的未来，这些可见性和控制问题仍将存在。 攻击者，包括雇佣的职业攻击者，将利用云实现规模化、快速以及匿名等目的。 令人遗憾的是，我们没有简单的方法来防止云

36、资源被攻击者利用。一旦发现滥用行 为，它们将被立即终止，但整个过程可能花费长达几个月时间。另外，攻击者还会 利用云资源进行大规模强力攻击，通过多种媒介发起复杂攻击，在多个站点和国家 之间迂回进行攻击以逃避起诉。由于使用云数据存储服务，它也可能构成窃取数据 的仓库，攻击者可以挖掘这个仓库以寻找宝贵的连接和关联。云具有很多特征，包 括持续变化的帐户、IP 地址、服务位置以及短暂存在的容器，这些特征有助于居心 叵测的攻击者更长时间地隐藏身份，让他们更加难以跟踪。在未来两至四年内，这 种状况将无法改变。 各服务层之间脱节、不一致的设置 及控制是第二个薄弱环节。攻击者 将成功利用这些脱节和不一致性。 云

37、威胁、法规和供应商响应措施 McAfee Labs 2017 年威胁预测，2016 年 11 月 | 15 “勒索拒绝服务”将成为针对云服务提供商和依赖云开展运营的组织的常见攻击。 由于一个云可能包含很多租户，因此针对云服务提供商发起拒绝服务攻击具有更大 的诱惑力。大多数服务提供商能够很好地防御传统的拒绝服务攻击。但是，攻击者 将继续努力寻找他们可以利用的漏洞。一旦找到，他们会立即发起攻击。如果组织 完全依赖于云，企业和云之间可能有多个点遭受攻击，让业务陷入停顿。其中包括 互联网连接、DNS 服务和其他基础设施组件。要攻击依赖云开展运营的企业，攻击 者并不需要攻击云服务提供商。相反，攻击者可以

38、干扰企业对云的访问，然后劫持 公司数据，以此进行勒索。 除了基于凭据弱点的数据泄漏之外，成功的公共云数据泄漏事件仍然比较少，但影 响却不断增加。 云服务提供商掌握的云安全专业知识通常远强于他们所服务的公司，因此，除了由 于凭据失窃导致的数据泄漏之外，成功的云数据泄漏事件预期仍会较少。但是，当 数据泄漏能够提供对多家客户的大型数据库的访问时，云服务数据泄漏产生的潜在 后果是非常严重的。云服务提供商或受影响组织是否会受到数据泄漏的严重影响， 很大程度上取决于相应人员是否在其责任范围内付出了合理的努力。 物联网设备的数量和多样性不断增长，将会破坏一些云安全模式，导致攻击者成功 通过这些设备发起进攻。

39、 大多数身份验证都需要用户和设备之间的交互，或两部设备之间的交互。随着更多 物联网设备和服务的推出，这些设备将与多部其他物联网设备进行通信，并以机器 速度做出信任决定。企业严重缺乏安全架构、受信任证书颁发机构以及对这种通信 的控制，因而导致数据泄漏，产生可能被利用的漏洞。云服务提供商努力将当前模 式推行到这种新环境中，但这样会产生很高的延迟和复杂度，而它们都是引发安全 故障的因素。我们已经看到过攻击者通过无安全保护的物联网成功入侵企业网络的 情况，他们的下一个攻击目标是云。 法律和边界 云威胁和数据泄漏事件将会导致来自政治和法规的双重响应。技术进步的高速度妨 碍了有效的立法，而立法的滞后又妨碍

40、了技术进步。各个国家/地区制定了不同甚至 相互矛盾的法规，让消费者、企业、云服务提供商很难找到法律依据。 云威胁、法规和供应商响应措施 McAfee Labs 2017 年威胁预测，2016 年 11 月 | 16 分享本报告 法律将无法跟上技术进步的速度。法规将使用诸如“尽职调查”和“合理努力”之 类的字眼，让云服务提供商及其客户面临遭受起诉的风险。 法律无法跟上技术革新的步伐，这并非新闻。有关云中数据保护和消费者隐私的法 律也不例外。在提及云数据安全时，司法机构将会使用诸如“尽职调查”和“合理 努力”之类的字眼，以确保立法保持有效性，而不会立即过时。遗憾的是，他们需 要一定的时间和很多的诉

41、讼，才能通过法律程序来足够详细地定义这些术语。对于 系统和数据的网络安全，通常无法应用简单的“是或否”测试，特别是在云安全领 域，多个实体必须协同提供保护。同时，云服务提供商及其客户，还有新兴的网络 保险行业，将会作为原告和被告，经历多年的诉讼，辩论他们是否付出了“合理努 力”。因为遭受云威胁的公司将努力证明他们采取了能够做到的一切来保护客户， 公众认知将在其中扮演重要角色。 数据出入司法辖区的移动将成为长期挑战。保护消费者的法规将限制云利用。 为了保护消费者的隐私，政府机构将通过法规，要求组织将其收集的个人数据存储 在公民所属国家/地区的边界范围内。这会向企业挑出挑战，要求他们必须识别和 分

42、类数据。而对于云服务提供商而言，则必须为数据和流程移动提供更加精细的控 制。如果位于某个国家的大型数据中心受到攻击影响，而最近的备份位于边界之 外，服务协议如何对此做出规定？跨国公司如何将客户数据、销售数据、产品数据 分离开，以便根据新法律实施控制？此类挑战将会限制云利用，因为组织可能被迫 在某些国家/地区建立自己的数据中心，或者确定在这些国家/地区开展业务是否成 本过高。 有些司法辖区将对云服务提供商及其关联企业提出最低运营要求，并且进行认证和/ 或审计。 如果云服务提供商破产，数据如何处理？如何保护企业和消费者，以防止犯罪分子 或某些国家创建以数据收集为主要目标的恶意云服务？云服务提供商与

43、其分包商或 关联企业之间的责任划分应遵守什么法律要求？对于这些问题，政府机构可能采取 的另一个应对措施是对在他们国家/地区运营的云服务提供商提出最低运营要求，进 行独立认证，或者提出审计条件。定义这些条款和关系层是一个严峻的挑战，将在 业界形成对立的观点，并且引发激烈讨论。无论法律如何规定，数据泄漏的风险和 最严重后果将由服务提供商承担，而不由分包商或关联企业承担。 云威胁、法规和供应商响应措施 法律将无法跟上技术进步的速度。 云服务提供商、其客户和新兴网络 保险行业要经过多年的诉讼，才能 明确建立正确的行为。 McAfee Labs 2017 年威胁预测，2016 年 11 月 | 17 分

44、享本报告 供应商的响应措施 威胁、数据泄漏和相关立法将促使云服务和安全供应商在技术和服务方面采取响应 措施。他们将会增强身份验证系统，开展企业级别的控制，实现安全功能的自动 化，从而减少差距和不一致，另外威胁情报共享将会改进检测。以下是我们预期供 应商将在未来两至四年内针对云威胁采取的十大响应措施。 生物识别、多级别身份验证、行为分析将帮助保护服务提供商及其客户的数据。 密码必须被更安全的身份验证系统取代，但这些系统不能过度妨碍登录过程。短期 内，我们预计将会看到多要素身份验证的增加，通常使用手机或“质询-响应”系 统。这种技术首先将应用于管理员，因为管理员凭据失窃带来的后果是最严重的。 我们

45、还将看到行为分析技术被用于检测帐户登录中的异常活动。长远来看，我们预 期生物识别技术的采用将会大幅增加，此类设备的外形尺寸让用户感觉舒适和易 用。指纹将被其他唯一特征取代或结合使用，比如面部、心跳或视网膜，这些技术 的实施在商业上具有可行性。 企业级别的可见性和控制将帮助管理影子 IT 的信息向云的移动，并协调在云中执行 的工作的复杂度和规模。 在云服务提供商的帮助下，企业的业务部门能够将工作负载移动到云，而无需 IT 人 员介入。在很多公司，安全或 IT 团队不能知道这些业务部门何时将数据或流程移动 到云，这种情况有可能波及整个企业。他们请求供应商提供工具，以增加可见性和 数据控制，从而满足

46、这种需求。我们预期数据丢失防御和策略协调工具将会更加适 合云使用。下一个步骤将是支持云的扩展，它让企业能够直接通过云服务提供商应 用安全控制和策略。 安全自动化有助于解决人才短缺问题。 安全技能缺乏将是对云服务提供商的一大威胁，但也为他们提供了机遇。要将这种 威胁转化为机遇，必须将安全经验融入自动化工具中，以简化云安全控制，让更多 用户能够有效地设置和监控他们的保护。在安全评估、身份验证、风险减轻、云审 计这些方面，自动化能够更充分地利用专家经验，增加环境感知，将功能扩展到业 务管理人员。 云访问安全代理不断成熟，提供更出色的安全性、更高的可见性、更多的控制。 制定策略并将其应用于云服务身份验

47、证，对于保护组织仍将非常重要。云访问安全 代理 (CASB) 是制定和实施策略的一种很好方式，但无法解决身份验证的核心问题。 数据是最有价值的资产，也将更多成为保护重点，CASB 将日臻成熟，并与其他安 全系统协调或集成，以确定云中的哪些数据需要安全保护，以及如何实施保护。 云威胁、法规和供应商响应措施 密码必须被更安全的身份验证系统 取代，但这些系统不能过度妨碍登 录过程。生物识别、多级别身份验 证、行为分析将帮助保护服务提供 商及其客户的数据。 安全评估、身份验证、风险减轻、 云审计是自动化可以弥补人类专家 存在不足之处，并帮助解决人手不 足的部分领域。 McAfee Labs 2017

48、年威胁预测，2016 年 11 月 | 18 分享本报告 增加对数据在静态或流通状态下的保护，将成为一些云服务提供商的竞争优势。 一些基础云服务，例如存储或处理器租赁，将会逐渐商品化。为了在竞争中占据优 势，有些云服务提供商将为在他们的系统中存储、处理和传输的数据提供额外保 护。这些高级服务不仅提供加密，还包括完整性检查、实时监控和增强型数据丢失 防护技术，为他们提供长期竞争优势。 对云服务提供商操作的审计和可见性将成为常态。 在四年内，实时审计和可见性将成为大多数云服务提供商的标准服务，这可能是客 户要求、竞争压力、行业法规导致的结果。无论是领先还是标准的云服务组件，都 将能够回答客户提出的

49、问题“我们数据在什么地方？”。静态审计和历史记录视图 不足以确保高价值数据和工作流程达到足够的保护级别。 安全解决方案供应商将开始使用机器学习来预测和中止攻击，预先防止危害。 保护云基础设施本身的安全解决方案将变得极其关键，因为如果基础设施遭到威 胁，攻击者将能直接访问多个客户的应用程序和数据。此类事件将会大量发生， 因此供应商也将持续开发先进的自动化工具，用于快速诊断和解决事件。安全解 决方案基于使用机器学习和 Big Data 分析的技术构建，将变得更有预测性和规定 性，帮助检测新兴威胁，在它们危及系统之前终止攻击。 多家云服务提供商将合作建立威胁情报共享组织，它们将改进身份标识，缩短对攻 击的反应时间。 目前，很多组织和云服务提供商尚未认识到威胁情报共享的益处。今后几年内，在 法规或威胁攻击的驱使下，企业和云服务提供商之间将进行更多的威胁情报共享， 其益处也将变得愈加明显。虽然这种共享可能有时令人为难，但组织将认识到，实 时共享有关成功和失败攻击的情报的益处远大于弊端。 云安全的技术和保证标准将继续加强。 Cloud Security Alliance 等组织已经制定了有关云服务管理的各种标准、准则、认 证和最佳实践。迄今为止，他们的重