透過手機進行支付一款Nest智慧恆溫器亞馬遜的Alexa智慧音箱。駭客攻擊方法和技術不斷精進。

維護網路安全就像一場貓捉老鼠的遊戲——隨著網路安全專家一次次地進行安全升級，駭客也在不斷精進攻擊方法和技術。如果想要了解駭客網路犯罪的策略演變和發展趨勢，那就絕不能錯過每年的黑帽大會和DefCon駭客大會。這兩場一年一度的行業盛會堪稱資訊保安領域的風向標，看客能從中一窺網路安全犯罪的新趨勢。

今年，智慧手機後端攻擊、物聯網攻擊和聲音偽裝攻擊成為三大熱點安全話題。知己知彼，才能更好地防範網路攻擊，下面讓我們來看看駭客的最新招數。

美國當地時間8月4日-9日，一年一度的2018黑帽大會於拉斯維加斯拉開帷幕。在這場公認頂級的全球資訊保安行業盛會上，來自世界各地的資訊保安專家、駭客、政府人員、安全廠商齊聚一堂，共同分享最新的網路安全技術資訊、攻防手法以及網路安全產品與方案。

DefCon駭客大會緊隨其後於10日召開，大會雲集全球知名網路安全機構專家、駭客及政府官員，集中展示最前沿的網路攻擊方式和漏洞防護技術。

在這兩個盛會上，參會者不僅可以一睹最新出現的攻擊手法，還能及時瞭解到防範這些攻擊的最新技術。

今年，智慧手機後端攻擊、物聯網攻擊和聲音偽裝攻擊成為三大熱點安全話題。

如今，移動裝置安全變得尤為重要。隨著手機智慧化程度的提高，我們的生活彷彿與智慧手機繫結在一起——智慧手機可以變身銀行卡、公交卡、門禁卡；透過智慧手機，我們可以監測步數、心跳、進行移動支付、遠端遙控車輛等等。

隨著智慧手機在使用者的生活中佔據越來越重的分量，它們也逐漸引起了駭客的關注。近年來，最常見的一種攻擊方法相當簡單——在第三方應用程式商店中植入假應用程式，使使用者在不經意間安裝惡意軟體。

然而，攻擊智慧手機的技術也正日漸升級。今年，黑帽大會有超過12場關於新的智慧移動裝置威脅的演講，正如演講所述，駭客們正在開發一系列新技術來攻擊智慧手機，特別是透過攻擊後端網路和伺服器，比如攻擊4G網路、基帶、移動裝置管理、移動作業系統、移動銷售點系統等，來實現對智慧手機的攻擊。

想要防範這些後端攻擊，難度要大得多，這意味著企業和個人很容易在不知情的情況下受到損害。

黑帽大會創辦於1997年，被公認為世界資訊保安行業的最高盛會，也是最具技術性的資訊保安會議。會議引領安全思想和技術走向，參會人員包括企業和政府的研究人員，甚至還有一些民間團隊。

隨著電子化、智慧化發展，人們進入萬物互聯時代。如圖中的Nest智慧恆溫器，這款恆溫器整合了ipod、手機以及網際網路中先進且炫酷的科技元素，它可以自動控制暖氣、通風及空氣調節裝置（如空調、電暖器等），透過記錄使用者的室內溫度資料，智慧識別使用者習慣，並將室溫調整到最舒適的狀態。

但是，隨著物聯網連線裝置數量激增，駭客也越來越多地將注意力轉移到這一領域。首先，物聯網裝置內建的安全性薄弱，安全更新時有時無，一些規模較小的製造商生產的裝置更是如此。其次，使用者往往不會主動更新裝置。此外，物聯網裝置存在於網路外圍，導致使用者和企業經常忽視它們。

上述幾點原因為駭客植入惡意軟體提供了可乘之機，透過安裝殭屍惡意軟體，降低裝置處理能力，網路罪犯就可以藉此牟利。

目前，還有很多人沒有認識到這一問題的嚴重性。他們認為惡意軟體只能製造小麻煩，不是真正的威脅。畢竟，惡意軟體沒有試圖竊取資訊，只是減慢它們的速度，降低它們的效能。但事實上，這一觀點是錯誤的，因為這些惡意軟體很可能成為啟動其他攻擊的後門，威脅更多裝置安全。

DefCon駭客大會誕生於1992年，又稱電腦駭客秘密大派對，參會者除來自世界各地駭客，還有全球許多大公司的代表以及美國國防部、聯邦調查局、國家安全域性等政府機構的官員。

與易丟失、易遺忘且不具備唯一性的傳統密碼不同，隨著語音生物識別技術的愈發成熟，如今，語音已經開始逐步替代傳統密碼，成為身份驗證的重要手段。

比如，使用者可以使用語音指令為自己的銀行賬號進行雙重加密；智慧音箱的出現，使使用者可以透過語音指令點播歌曲、上網購物，或是瞭解天氣預報；同時，它也可以控制智慧家居裝置，比如開啟窗簾、設定冰箱溫度、提前讓熱水器升溫等。

然而，對於網路犯罪者而言，語音服務的興起也為他們提供了一塊便利的灘頭陣地。如果駭客可以克隆或偽裝使用者的聲音，他就可以輕易竊取其銀行賬戶；如果駭客可以向智慧音箱發出隱藏的語音命令，他就可以享受其提供的技術服務，完全控制該裝置，並可能控制連線同一網路的其他裝置。

在黑帽大會上，網路安全專家也就此主題分享了最新研究，包括微軟語音助手“微軟小娜”（Cortana，微軟釋出的全球第一款個人智慧語音助理）的漏洞利用和語音偽裝等。

駭客們一直都在尋找新的攻擊目標，也一直都在改良用於攻破網路防禦的工具。以下是今年需要特別關注的重大網路安全威脅。

更多的海量資料洩漏事件

2017年，信用報告機構Equifax遭到駭客攻擊，導致美國近一半公民的社會保險號、出生日期和其他資料被盜，這一事件分明是在提醒大家，駭客的野心越來越大。2018年，儲存大量敏感資訊的公司可能會成為駭客的下一個攻擊目標。《未來的犯罪》（Future Crimes）一書的作者兼網路安全專家馬克•古德曼（Marc Goodman）認為，那些掌握著大眾個人網頁瀏覽習慣資訊的資料中介公司將會首當其衝。馬克•古德曼稱，“這些公司處於無人監管的狀態，一旦一家公司洩露了資訊，很快就會全軍覆沒。”

勒索雲端

過去的一年裡，勒索軟體氾濫成災，攻擊目標包括英國國家醫療保健服務、舊金山的輕軌網路以及聯邦快遞等大型商業公司。勒索軟體是一種相對較簡單的惡意軟體，攻破網路防禦後，利用強加密手段鎖定計算機檔案。然後駭客會索要贖金，以換取數字金鑰解鎖資料。受害者通常都會支付贖金，尤其是在被加密的資料沒有備份的情況下。

這種軟體在犯罪駭客中大受歡迎，他們通常都喜歡要求受害者支付難以追蹤的加密數字貨幣。諸如WannaCry的這類惡意軟體還可能會破壞成千上萬臺計算機。2018年駭客攻擊的一個重大目標將是雲計算業務，這裡儲存著海量的企業資料。有些駭客還會攻擊消費類服務，如電子郵件和相簿。像谷歌、亞馬遜、IBM這樣的大型雲服務運營商早已聘請了數字安全領域的傑出人才，以防駭客攻入。但小型企業抵禦攻擊的能力比較弱，哪怕是規模不大的攻擊也可能讓發出攻擊的駭客賺個盆滿缽滿。

人工智慧武器化

今年將會出現人工智慧技術驅動的軍備競賽。網路安全公司和研究人員已經在利用機器學習模型、神經網路以及其他人工智慧技術，以實現更好地預測新攻擊並發現正在進行的攻擊行為。駭客也很有可能利用同樣的技術進行反擊。邁克菲公司的首席技術官史蒂夫•格羅伯曼（Steve Grobman）解釋道，“不幸的是，人工智慧成為了駭客攻擊的工具，他們會藉以獲得更高的投資回報率。”

其中一個典型案例就是魚叉式網路釣魚，這種攻擊會定向選擇攻擊目標，利用電子資訊誘導受害者安裝惡意軟體或者共享敏感資料。現在的機器學習模型在撰寫可信的假資訊方面幾乎可以與人工媲美，因此可以不費吹灰之力就炮製出海量資訊。駭客會利用這一技術發動更多的釣魚攻擊行動。而且駭客還可能會利用人工智慧設計出更擅長欺騙“沙盒”的惡意軟體。所謂沙盒是一種安全程式，可以在惡意軟體部署到企業系統裡之前就發現其中的惡意程式碼。

網路物理攻擊

2018年，越來越多的駭客攻擊將會瞄準電網、交通系統以及各國的關鍵基礎設施。一些駭客攻擊可能會立即引起癱瘓，而一些駭客攻擊可能會使用勒索軟體劫持關鍵系統，威脅受害者如果不盡快支付贖金就會造成嚴重破壞。今年，研究專家以及駭客們很可能會在舊飛機、火車、船舶以及其他容易被攻擊的交通工具中發現更多網路防禦系統漏洞。

挖掘加密數字貨幣

一直以來，駭客們，包括據稱來自北韓的駭客在內，都在以比特幣以及其他數字貨幣的持有者為攻擊目標。但在2018年，最大的威脅並不是加密數字貨幣被竊取，而是計算機處理能力被竊取。

挖掘加密數字貨幣需要強大的計算能力解決複雜的數學問題。正如我的同事邁克•奧克特（Mike Orcutt）所指出的，這種方式簡直就是在鼓勵駭客侵入上百萬臺電腦，讓它們為自己挖掘加密貨幣。最近的此類攻擊事件也並不鮮見，從攻擊阿根廷星巴克公共Wi-Fi到攻擊俄羅斯石油管道公司計算機，無一不是如此。隨著數字貨幣挖掘機器的增加，在此誘惑下駭客們也會對計算機網路發動更多攻擊。如果駭客的攻擊目標是醫院、機場以及其他敏感場所，那由此帶來的間接損失將引人深憂。

攻擊大選（又來！）

各國大選面臨的威脅並非只有假新聞，還包括駭客對投票系統的攻擊。我們現在已經知道在2016年美國總統大選之前，俄羅斯駭客的確曾對美國多個州的投票系統進行攻擊。隨著美國11月中期選舉的時間越來越近，政府官員一直在努力修補系統漏洞。但認準了目標的駭客們依然有許多其他的攻擊方向，比如電子選民名單、投票機以及用於核對和審計結果的軟體等。

2018年，各種網路安全威脅愈加增多，與之相應的，對於未能有效應對網路攻擊的企業，懲罰也會越來越重。5月25日，歐盟《一般資料保護條例》將會在歐洲生效。這是20多年來該地區首次對資料保護規則進行重大的全面改革。《一般資料保護條例》規定企業要向監管機構上報資料洩漏事件，通知消費者他們的資訊被竊取，而且必須是在發現洩漏的72小時之內。未能遵守規定的企業將會面臨高達2000萬歐元或者佔公司全球收入4%的罰款，取兩者中金額較高的一個。

今年，網際網路安全格外引人注目。不管是“永恆之藍”肆掠全球，還是大陸首部《網路安全法》的出臺，都讓安全變得更加重要。一方面，各種網路攻擊越來越複雜，危害性更大，另一方面網路安全也變得有法可依。

　　日前，全球著名的資訊保安廠商卡巴斯基釋出了一份安全公告——《2018威脅預測》。在這份長達44頁的報告中，卡巴斯基介紹了領先的持續安全預測、行業和技術預測，包括自動化威脅預測、連線健康的威脅預測、金融服務威脅預測和工業安全預測等等。

　　在前言中，該報告表示，“2017年，各種複雜的威脅行為層出不窮，涉及到政治動機和盜竊。但是，2018年這樣的事件將以不同的方式出現，並再次成為媒體關注的焦點。在今年5月和6月份的勒索軟體攻擊浪潮中，網路安全、軟體漏洞以及員工意識上的疏漏被暴露出來。一些企業的最終成本已經達到了數億美元。”

　　那麼，根據卡巴斯基釋出的安全報告，2018年有哪些威脅值得注意？

　　1. 更多的供應鏈攻擊

　　卡巴斯基全球研究和分析團隊跟蹤了100個APT(高階持續性威脅)組織，發現一些組織不僅擁有廣泛的武器庫，包括零日漏洞、無文字攻擊工具等，並將傳統的駭客攻擊複雜化去實現資料滲透的目的。

　　在APT攻擊中，常有高階威脅行為者試圖破壞某個目標，卻不斷失敗的案例。這是因為他們的攻擊目標使用了強大的網路安全防護體系，對員工進行了良好的安全教育，或者遵循了諸如澳洲的DSD TOP35之類的防禦策略。

　　一般來說，高階APT攻擊租住的威脅行為者不會輕易放棄，他們會一直尋找入侵的方法。

　　當一切嘗試都失敗時，他們可能會退一步，重新評估形勢。在重新評估中，威脅行為者會發現“供應鏈攻擊”比直接攻擊更加有效。

　　即使攻擊目標使用了第三方軟體，構建了全球最好的網路防禦系統，這也無濟於事。因為第三方軟體是一個更好的目標，攻擊者可以利用它們來攻擊受保護的企業。

　　在2017年，卡巴斯基實驗室發現了幾個事例，包括但不限於：

　　Shadowpad

　　CCleaner

　　ExPetr/NotPetya

　　這些攻擊極難發現和鑑別。例如，在Shadowpad的案例中，攻擊者成功地利用Netsarang軟體攜帶惡意軟體程式包，在世界各地傳播，尤其是銀行、大型企業和其他垂直行業。

　　而CCleaner，它造成了超過200萬臺計算機受感染，成為2017年最大的攻擊之一。

　　2018年，卡巴斯基實驗室預計，將會出現更多的供應鏈攻擊，包括髮現的和攻擊到位的。在特定區域和垂直行業上使用木馬化專業軟體，將變成類似於“水坑攻擊”的戰略性選擇。

　　2. 更多高階的移動惡意軟體

　　2016年8月，CitizenLab和Lookout公司公佈了一份名為“Pegasus”的移動間諜平臺的分析報告。據悉，Pegasus是一款所謂的“合法攔截”軟體套件，被一家名為“NSO Group”的以色列公司出售給政府和其他實體企業。

　　2017年4月，谷歌釋出了其對Android版本Pegasus間諜軟體的分析報告，該軟體名為“Chrysaor”。

　　除了Pegasus和Chrysaor等“合法監視”間諜軟體之外，許多其他APT組織也開發了專屬的移動惡意軟體。

　　目前，由於遙測技術的缺陷，使得一些移動惡意軟體難以被發現和根除。所以，目前存在的移動惡意軟體比公佈的要高。

　　卡巴斯基實驗室預計，2018年將會出現更多針對移動裝置的高階APT惡意軟體。隨著安全檢測技術的改進，移動惡意軟體也會更高階。

　　3. 更多類似BeEF的web框架分析工具

　　隨著越來越多的安全和緩解技術被預設部署在作業系統中，零日漏洞的價格在2016和2017年急劇上升。例如，世界著名漏洞軍火商Zerodium最近表示願意出價150萬美元購買一套完整的iPhone(iOS)持續性攻擊的遠端越獄漏洞，即在沒有任何使用者互動的情況下，遠端感染目標裝置。

　　類似於Turla、ofacy和Newsbeef這樣的APT組織已把這類分析技術運用得相當熟練，其他的APT組織也以其自定義的分析框架而聞名，比如多產的Scanbox。

　　由於分析框架的普遍性和零日漏洞的高昂代價，我們可以估計在2018年使用“BeEF”之類的分析工具包將會增加，更多的駭客團隊可能採用公共框架，或者自己開發工具包。

　　4. 先進的UEFI和BIOS攻擊

　　UEFI (統一可擴充套件韌體介面)是一種軟體介面，是現代pc機與作業系統之間的媒介。由英特爾在2005年開發，正在迅速取代傳統的BIOS標準。這是因為BIOS缺乏一些高階特性：例如，安裝並執行可執行檔案、網路功能、加密、CPU獨立架構和驅動程式等能力。

　　而UEFI可以彌補BIOS缺乏的這些能力，這使得UEFI成為一個有吸引力的平臺，攻擊者也在其中找到許多在BIOS平臺上並不存在的新漏洞。例如，執行自定義可執行模組的能力使得它能夠建立惡意軟體，而由UEFI直接執行就能繞過任何反惡意軟體解決方案。

　　從2015年開始，商業級的UEFI惡意軟體就已經存在了。但是， 到目前為止仍然缺少針對這類惡意軟體的成熟的、可靠的檢測方法。

　　我們預計，在2018年，將會看到更多基於UEFI的惡意軟體。

　　5. 破壞性攻擊將持續

　　在2016年11月，卡巴斯基實驗室觀察到一波針對中東地區多個目標的“雨刷攻擊”。在新的攻擊中所使用的惡意軟體是臭名昭著的Shamoon蠕蟲病毒的變種，該蠕蟲病毒在2012年襲擊了Saudi Aramco和Rasgas公司。

　　在2016年11月，又發生了Shamoon 2.0攻擊事件，此次目標是沙烏地阿拉伯多個關鍵部門和經濟部門。就像之前的變種一樣，Shamoon 2.0“雨刮器”的目標是對組織內部系統和裝置進行大規模破壞。

　　在2018年，我們預計破壞性攻擊活動將持續上升，或許還會在網路戰中佔據極大地位。

　　6. 更多的加密系統被顛覆

　　在2017年3月，美國國家安全域性開發的IOT加密方案提議遭到了Simon和Speck異體ISO認證的質疑，這兩項提案被撤回並推遲了。

　　2016年8月，瞻博網路宣佈在他們的NetScreen防火牆中發現了兩個神秘的後門。可能是Dual_EC隨機數生成器所使用的常量發生了細微的變化，使得攻擊者能夠從NetScreen裝置解密VPN流量。

　　但是這組不同的常量並不能改變什麼，一些APT攻擊者仍會攻擊Juniper，他們會將這些常量更改為一個可以控制和利用的內容來解密VPN流量。

　　2017年10月，新聞報道了英飛凌技術股份公司(Infineon Technologies)在他們使用的硬體晶片加密庫中的一個缺陷。雖然這一漏洞似乎是無意的，但它確實讓我們對“智慧卡、無線網路或加密Web流量等日常生活中使用的基礎加密技術的安全性”產生了質疑。

　　在2018年，我們預測將會發現更加嚴重的加密漏洞，並希望無論是加密演算法標準本身還是在具體的實踐中出現的漏洞都能被修補。

　　7. 電子商務領域的身份認證危機

　　過去幾年，越來越多的個人可識別資訊(PII)洩露事件層出不窮。

　　最近的個人資訊洩露事件要數Equifax公司。根據訊息，該公司有1.45億的美華人的資訊被洩露。雖然許多人對這些資料已麻木，但是規模化的PII資訊洩露可能會危及電子商務的基礎，以及使用網際網路辦公的政府機構的安全。

　　目前，欺詐和身份盜用已經成為一個長期存在的問題，但是當基本的識別資訊洩露如此氾濫時，以至於根本根本不可靠呢？商業和政府機構將面臨一個選擇，即縮減採用網際網路運營的舒適度，或是採用其他多因素安全解決方案。

　　到目前為止，像ApplePay這樣有彈性的替代方案將成為一種很好的方式，但同時，我們看到，為了讓繁瑣的官僚程式現代化和降低運營成本，網際網路的關鍵作用正在放緩。

　　8. 更多的路由器和調變解調器攻擊

　　另一個很有價值卻經常被忽視的是路由器和調變解調器。不管是在家裡，還是企業，這些硬體幾乎無處不在，但是硬體上執行的專有硬體卻又處於無補丁或無人看管的狀態。

　　一些攻擊者正是利用這一點，獲取到網路持久和隱蔽性訪問權。而最新的研究結果顯示，某些情況下，攻擊者甚至可以模擬不同的網際網路使用者，將蹤跡轉移到不同的網路連線地址中。

　　2018年，可以預計，攻擊者對誤導和虛假標誌的興趣正不斷增加，對這些裝置進行更嚴格的審查將會有更多的發現。

可以從下面幾個角度採取相應措施，防止再次出現嚴重的損失。

1.採用防火牆技術是解決網路安全問題的主要手段。計算機網路中採用的防火牆手段，是透過邏輯手段，將內部網路與外部網路隔離開來。他在保護網路內部資訊保安的同時又組織了外部訪客的非法入侵，是一種加強內部網路與外部網路之間聯絡的技術。防火牆透過對經過其網路通訊的各種資料加以過濾掃描以及篩選，從物理上保障了計算機網路的資訊保安問題。

2.對訪問資料的入侵檢測是繼資料加密、防火牆等傳統的安全措施之後所採取的新一代網路資訊保安保障手段。入侵檢測透過從收集計算機網路中關鍵節點處的資訊，加以分析解碼，過濾篩選出是否有威脅到計算機網路資訊保安性的因素，一旦檢測出威脅，將會在發現的同時做出相應。根據檢測方式的不同，可將其分為誤入檢測系統、異常檢測系統、混合型入侵檢測系統。

3.對網路資訊的加密技術是一種非常重要的技術手段和有效措施，透過對所傳遞資訊的加密行為，有效保障在網路中傳輸的資訊不被惡意盜取或篡改。這樣，即使攻擊者截獲了資訊，也無法知道資訊的內容。這種方法能夠使一些保密性資料僅被擁有訪問許可權的人獲取。

4.控制訪問許可權也是對計算機網路資訊保安問題的重要防護手段之一，該手段以身份認證為基礎，在非法訪客企圖進入系統盜取資料時，以訪問許可權將其阻止在外。訪問控制技能保障使用者正常獲取網路上的資訊資源，又能阻止非法入侵保證安全。訪問控制的內容包括：使用者身份的識別和認證、對訪問的控制和審計跟蹤。

目前，市場上有一些產品已經能夠從上面的多個方面進行資料安全保護了，比如燕麥企業雲盤，就結合了加密技術和訪問許可權。