信息來源：FreeBuf

一、2020年5G技術(shù)

據(jù)估計，到2025年，全球數(shù)據(jù)將達(dá)到175zettabytes，高于2010年4G首次在全球部署的1.2zettabytes。

隨著連接設(shè)備數(shù)量和傳輸速度的急劇增加，威脅自然也會被放大。5G內(nèi)眾多系統(tǒng)的演進(jìn)、發(fā)展和連通性為眾多威脅打開了大門，可以總結(jié)如下。

1. 電信服務(wù)和基礎(chǔ)設(shè)施的漏洞

隨著5G創(chuàng)新的普及，5G設(shè)備、客戶框架和政府管理等方面將出現(xiàn)更多的缺陷。這可能使攻擊者破壞或摧毀電信基礎(chǔ)設(shè)施，監(jiān)視客戶端或轉(zhuǎn)移其流量。各國政府需要建立全國性的安全防護(hù)能力，客觀評估5G采用者和供應(yīng)商的安全性，及時發(fā)現(xiàn)故障并規(guī)定修復(fù)措施。

2. 用戶安全和隱私問題

在隱私方面，事情變得更加復(fù)雜。

5G短程技術(shù)的出現(xiàn)將意味著更多的蜂窩通信塔將被部署到商業(yè)中心和建筑中，這也意味著攻擊者可以收集和跟蹤用戶的精確位置。另一個問題是，5G服務(wù)提供商可以訪問用戶設(shè)備發(fā)送的大量數(shù)據(jù)，這些數(shù)據(jù)可以準(zhǔn)確顯示用戶家中發(fā)生的事情，可以通過元數(shù)據(jù)描述他們的生活環(huán)境、內(nèi)部傳感器等數(shù)據(jù)。這些數(shù)據(jù)可能暴露用戶的隱私，或被操縱濫用。服務(wù)提供商也可以將這些數(shù)據(jù)出售給其他服務(wù)公司，如廣告商，以開辟新的收入來源。在某些情況下，漏洞可能導(dǎo)致人身傷害，例如，如果客戶的治療設(shè)備斷開連接且無法運(yùn)行。當(dāng)水和能源設(shè)備等關(guān)鍵基礎(chǔ)設(shè)施組件面臨風(fēng)險時，潛在的威脅將更大。

3. 關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險

5G有助于將通信擴(kuò)展到比目前更多的地理區(qū)域。它還可以為非聯(lián)網(wǎng)設(shè)備配備遠(yuǎn)程監(jiān)控和控制。越來越多的像這樣的連接系統(tǒng)將擴(kuò)大了我們的風(fēng)險范圍。用戶正采用方便和不間斷的通信，但相關(guān)的威脅可能會帶來嚴(yán)重的公共安全風(fēng)險。

4. 行動計劃

5G將對電信產(chǎn)生革命性的影響，因為除了技術(shù)本身，它還將成為其他技術(shù)和的基礎(chǔ)，特別是在智能城市、智能電網(wǎng)和國防設(shè)施領(lǐng)域。5G將能夠容納更多的網(wǎng)絡(luò)連接設(shè)備，并大大提高所有用戶的速度。

然而，5G很可能會引起攻擊者的注意。例如，可能會看到大規(guī)模的DDoS攻擊，或者在保護(hù)連接設(shè)備的復(fù)雜網(wǎng)絡(luò)等問題，其中一個設(shè)備的危害可能導(dǎo)致整個網(wǎng)絡(luò)崩潰。此外，5G正在先前基礎(chǔ)設(shè)施的基礎(chǔ)上開發(fā)技術(shù)，意味著它將繼承先前基礎(chǔ)設(shè)施的漏洞和錯誤配置。

通信信任模型將不同于以前的蜂窩世代。預(yù)計物聯(lián)網(wǎng)和M2M設(shè)備將占據(jù)網(wǎng)絡(luò)的更大一部分。5G網(wǎng)絡(luò)中所有這些設(shè)備的交互將可能引發(fā)產(chǎn)品設(shè)計和設(shè)備行為方面前所未有的問題，零信任網(wǎng)絡(luò)模式和嚴(yán)格的產(chǎn)品質(zhì)量合規(guī)將有助于在技術(shù)采用者和提供商之間建立信任。

政府和行業(yè)領(lǐng)袖應(yīng)聯(lián)手推進(jìn)安全可靠的5G技術(shù)項目，提升智慧城市服務(wù)和生活質(zhì)量。

二、2020年金融機(jī)構(gòu)網(wǎng)絡(luò)威脅

1. 反欺詐系統(tǒng)繞過

在過去的幾年里，網(wǎng)絡(luò)罪犯在繞過反欺詐系統(tǒng)的方法上投入了大量資金，現(xiàn)在僅僅盜取登錄名、密碼和PII是不夠的?，F(xiàn)在需要數(shù)字指紋來繞過反欺詐系統(tǒng)，以便從銀行提取資金。2019年發(fā)現(xiàn)了一個名為Genesis的巨大地下市場，該市場出售全球網(wǎng)上銀行用戶的數(shù)字指紋。

從反欺詐系統(tǒng)的角度來看，用戶的數(shù)字身份是一個數(shù)字指紋：每個設(shè)備獨(dú)有的系統(tǒng)屬性和用戶的個人行為屬性的組合。它包括IP地址、屏幕信息、固件版本、操作系統(tǒng)版本、安裝的瀏覽器插件、時區(qū)、設(shè)備ID、電池信息、字體等。罪犯們一直在尋找通過反欺詐措施的方法，他們試圖用偽造的指紋來代替系統(tǒng)的真實指紋。

Genesis是一個接受在線邀請的私人網(wǎng)絡(luò)犯罪市場，專門出售被盜的數(shù)字指紋。它提供了6萬多個被盜的檔案。這些資料包括瀏覽器指紋、網(wǎng)站用戶登錄和密碼、cookies信息等。

這類攻擊表明，犯罪分子對內(nèi)部銀行系統(tǒng)的工作原理有著深入的了解，防范此類攻擊最好的選擇是始終使用多因素身份驗證。

2. 多因素認(rèn)證(MFA)和生物特征挑戰(zhàn)

MFA對網(wǎng)絡(luò)罪犯來說是一個挑戰(zhàn)。當(dāng)使用MFA時，繞過它最常用的方法是：

利用系統(tǒng)配置中的漏洞和缺陷。例如，罪犯能夠發(fā)現(xiàn)并利用遠(yuǎn)程銀行系統(tǒng)中的一些缺陷來繞過otp(一次性密碼);在講俄語的網(wǎng)絡(luò)罪犯中和亞太地區(qū)使用社會工程;SIMswapping在拉丁美洲和非洲等地區(qū)尤為流行。事實上，短信不再被認(rèn)為是一種安全的2FA，但低運(yùn)營成本意味著它是提供商最常用的方法。

從理論上講，生物識別技術(shù)應(yīng)該能解決很多與雙因素認(rèn)證相關(guān)的問題，但實踐證明，并不是想象中的那么簡單。在過去的一年里，已經(jīng)有幾個案例表明生物識別技術(shù)還遠(yuǎn)遠(yuǎn)不夠完善。

首先，有很多實現(xiàn)問題。例如，Google Pixel 4在使用面部特征解鎖過程中不會檢查您的眼睛是否睜開。另一個例子是，三星(Samsung)等熱門品牌在內(nèi)的多家制造商生產(chǎn)的智能手機(jī)屏可以使用傳感器繞過指紋認(rèn)證。

在拉丁美洲常用的手段是視覺捕捉攻擊。網(wǎng)絡(luò)罪犯安裝了流氓閉路電視攝像機(jī)，并用它們記錄人們用來解鎖手機(jī)的密碼。這樣一種簡單的技術(shù)對于兩種類型的受害者仍然非常有效：使用生物特征識別技術(shù)的受害者和喜歡用PIN而不是指紋或面部識別的受害者。

其次，生物特征數(shù)據(jù)庫出現(xiàn)了幾起泄密事件。Biostar 2數(shù)據(jù)庫的泄露，其中包括超過100萬人的生物特征數(shù)據(jù)。該公司存儲未加密的數(shù)據(jù)，包括姓名、密碼、家庭地址、電子郵件地址，指紋，面部識別模式以及面部的實際照片。美國海關(guān)和邊境巡邏承包商也發(fā)生了類似的泄密事件，超過10萬人的生物特征信息被泄露。生物特征數(shù)據(jù)無法更改，它永遠(yuǎn)伴隨著你。

網(wǎng)絡(luò)犯罪分子獲取用戶完整的數(shù)字指紋繞過反欺詐系統(tǒng)，表明單純依靠生物特征數(shù)據(jù)并不能解決當(dāng)前的問題。

3. 針對金融機(jī)構(gòu)的攻擊集團(tuán)

2018年，歐洲刑警組織和美國司法部宣布逮捕FIN7和Carbanak/CobaltGoblin網(wǎng)絡(luò)犯罪集團(tuán)的頭目。在CobaltGoblin和FIN7的保護(hù)下運(yùn)行的組數(shù)量已經(jīng)增加：有幾個組使用非常相似的工具包和相同的基礎(chǔ)設(shè)施來進(jìn)行網(wǎng)絡(luò)攻擊。

FIN7專門攻擊各種公司獲取金融數(shù)據(jù)或其PoS基礎(chǔ)設(shè)施;CobaltGoblin/Carbanak/EmpireMonkey使用相同的工具包、技術(shù)和類似的基礎(chǔ)設(shè)施，但只針對金融機(jī)構(gòu)和相關(guān)的軟件和服務(wù)提供商;CopyPaste小組，它的目標(biāo)是非洲國家的金融實體和公司。到目前為止，這些組織還沒有使用過任何零日攻擊。

2019年年中FIN7活躍度下降，但年底又帶著新的攻擊和新的工具回到了視野中。與FIN7相比，Cobalt Goblin的活動全年穩(wěn)定，攻擊強(qiáng)度略低于2018年。Cobalt Goblin的策略基本保持不變：他們使用帶有漏洞的文檔，首先加載下載程序，然后加載Cobalt beacon。主要目標(biāo)也保持不變：各國的小銀行。

JS sniffing全年都非常活躍，已發(fā)現(xiàn)成千上萬的電子商務(wù)網(wǎng)站感染了這些腳本。注入腳本的行為方式不同，攻擊者的基礎(chǔ)設(shè)施也大不相同，這表明至少有十幾個網(wǎng)絡(luò)犯罪集團(tuán)使用了這種手段。

Silence組織全年積極將業(yè)務(wù)擴(kuò)展到不同國家。例如，東南亞和拉丁美洲的攻擊。這表明，組織自己擴(kuò)大了行動范圍，或者開始與其他區(qū)域性網(wǎng)絡(luò)犯罪集團(tuán)合作。

4. ATM惡意軟件更有針對性

2019年發(fā)現(xiàn)了一些全新的惡意軟件家庭。最引人注目的是ATMJadi和ATMDtrack。

ATMJadi不使用標(biāo)準(zhǔn)的XFS、JXFS或CSC庫，它使用受害者銀行的ATM軟件Java專有類：惡意軟件只能在一小部分ATM上工作，使得這個惡意軟件非常有針對性(只針對一個特定的銀行)。

另一個惡意軟件是ATMDtrack，它首先在印度的金融機(jī)構(gòu)中被發(fā)現(xiàn)。此外，在研究中心也發(fā)現(xiàn)了類似的間諜軟件，Lazarus APT使用相同的工具從科研機(jī)構(gòu)竊取研究成果。

5. 信息被盜和重復(fù)使用

在這一年里看到了許多針對終端用戶和企業(yè)數(shù)據(jù)的惡意軟件，HydraPOS和ShieldPOS在這一年里非常活躍。

ShieldPOS至少從2017年起就開始活動，之后它演變成了一種MaaS(malware-as-a-service)。表明拉丁美洲的網(wǎng)絡(luò)罪犯對竊取個人銀行數(shù)據(jù)非常感興趣。HydraPOS主要從餐廳、和不同零售店的POS系統(tǒng)中竊取資金。HydraPOS是Maggler攻擊者發(fā)起的攻擊活動，Maggler至少從2016年就開始從事該業(yè)務(wù)。主要區(qū)別在于它不能作為MaaS工作。

6. 2020年預(yù)測

(1) 加密貨幣攻擊

Libra和Gram等加密貨幣的推出會引起犯罪分子的注意，2018年比特幣和altcoins快速增長期間網(wǎng)絡(luò)犯罪活動嚴(yán)重激增，可預(yù)測在Gram和Libra很可能會出現(xiàn)類似的情況。有很多APT集團(tuán)，比如WildNeutron和Lazarus，他們對加密資產(chǎn)很感興趣。

(2) 轉(zhuǎn)售銀行訪問權(quán)限

2019年專門針對金融機(jī)構(gòu)的攻擊團(tuán)體在銷售rdp/vnc訪問權(quán)限。

2020年預(yù)計非洲和亞洲地區(qū)以及東歐專門銷售網(wǎng)絡(luò)接入的活動將有所增加。他們的主要目標(biāo)是小銀行，以及最近被大公司收購的金融機(jī)構(gòu)，這些公司正在按照母公司的標(biāo)準(zhǔn)重建其網(wǎng)絡(luò)安全系統(tǒng)。

(3) 針對銀行的勒索軟件攻擊

如上所述，小型金融機(jī)訪問權(quán)最合理的貨幣化方式就是勒索。銀行是更可能支付贖金的組織之一，因此預(yù)計此類有針對性的勒索軟件攻擊數(shù)量在2020年將繼續(xù)上升。

(4) 定制工具

反病毒產(chǎn)品以及最新網(wǎng)絡(luò)防御技術(shù)的采用，將推動網(wǎng)絡(luò)犯罪行在2020年回歸定制工具，并投資新的木馬和漏洞利用。

(5) 手機(jī)銀行木馬全球擴(kuò)張

手機(jī)銀行木馬的源代碼已被泄露，預(yù)計宙斯和SpyEye木馬源代碼被泄露的情況將重演：攻擊用戶的嘗試次數(shù)將增加，攻擊地域?qū)U(kuò)展到世界上幾乎每個國家。

(6) 新興投資目標(biāo)

移動投資應(yīng)用在全球用戶中越來越受歡迎。這一趨勢在2020年不會被網(wǎng)絡(luò)罪犯忽視。并非所有人都準(zhǔn)備好應(yīng)對大規(guī)模網(wǎng)絡(luò)攻擊，一些應(yīng)用程序仍然缺乏對客戶賬戶的基本保護(hù)，并且不提供雙因素身份驗證或證書來保護(hù)應(yīng)用程序通信。

(7) 政治不穩(wěn)定導(dǎo)致網(wǎng)絡(luò)犯罪在特定地區(qū)蔓延

一些國家正經(jīng)歷政治和社會動蕩，導(dǎo)致大批人在其他國家尋求難民地位，這些移民潮包括網(wǎng)絡(luò)罪犯。這一現(xiàn)象將導(dǎo)致網(wǎng)絡(luò)攻擊將在一些地區(qū)持續(xù)蔓延。

三、2020醫(yī)療產(chǎn)業(yè)網(wǎng)絡(luò)安全

在Wannacry勒索軟件使全球醫(yī)療設(shè)施和其他組織癱瘓兩年多后，2019年全球受攻擊醫(yī)療設(shè)備(醫(yī)生的電腦、醫(yī)療服務(wù)器和設(shè)備)數(shù)量減少。

統(tǒng)計數(shù)據(jù)顯示，2017年，醫(yī)療機(jī)構(gòu)中30%的計算機(jī)和設(shè)備受到感染，2018年這一數(shù)字下降到28%，今年攻擊幾乎減少了三分之一(19%)。但仍然有一些國家醫(yī)療設(shè)施受到勒索軟件攻擊。造成此類網(wǎng)絡(luò)攻擊的主要原因有兩個：一是對數(shù)字化風(fēng)險缺失，二是醫(yī)療機(jī)構(gòu)工作人員缺乏網(wǎng)絡(luò)安全意識，在醫(yī)療部門員工中調(diào)查顯示，近三分之一的受訪者(32%)從未接受過任何網(wǎng)絡(luò)安全培訓(xùn)。

2020年預(yù)測：

（1）暗網(wǎng)對醫(yī)療記錄需求將會增長。研究中發(fā)現(xiàn)，這種記錄有時甚至比個人銀行信息還要貴。它還開辟了新的欺詐手段：利用某人的醫(yī)療細(xì)節(jié)，詐騙患者或其親屬。

（2）訪問內(nèi)部患者信息不僅可以竊取信息，而且可以修改記錄。這可能導(dǎo)致針對個人的攻擊，從而擾亂診斷。據(jù)統(tǒng)計，診斷失誤是醫(yī)療領(lǐng)域?qū)е禄颊咚劳龅氖滓颉?

（3）在醫(yī)療服務(wù)領(lǐng)域剛剛開始數(shù)字化進(jìn)程的國家，醫(yī)療設(shè)施設(shè)備的攻擊數(shù)量明年將大幅增長。

（4）針對從事創(chuàng)新研究的醫(yī)學(xué)研究機(jī)構(gòu)和制藥公司的攻擊越來越多。醫(yī)學(xué)研究非常昂貴，一些專門從事知識產(chǎn)權(quán)盜竊的APT組織將在2020年更頻繁地攻擊此類機(jī)構(gòu)。

（5）從未在野看到過對植入醫(yī)療設(shè)備的攻擊，但事實上，在這些設(shè)備中存在許多安全漏洞。

四、2020年企業(yè)組織安全

1. 向云端移動

云服務(wù)越來越受歡迎，攻擊者也正在利用這一趨勢，2020年預(yù)計將出現(xiàn)以下趨勢。

攻擊者將更難將目標(biāo)公司的資源與云提供商的資源分開。對于公司來說，在初始階段發(fā)現(xiàn)對其資源的攻擊將更加困難。向云的過渡模糊了公司基礎(chǔ)設(shè)施的邊界。因此，精確的瞄準(zhǔn)一個組織的資源變得非常困難，實施攻擊將變得更加困難，攻擊者的行動將變得更加復(fù)雜更加頻繁。另一方面，公司也很難在早期確定攻擊。

調(diào)查事件將變得更加復(fù)雜。在安全事故方面，時間至關(guān)重要。討論記錄哪些數(shù)據(jù)以及如何備份這些數(shù)據(jù)是非常重要的。云基礎(chǔ)設(shè)施安全的意識并沒有隨著云服務(wù)的普及而快速增長，因此調(diào)查事件的復(fù)雜性將會增加，事件響應(yīng)的有效性將會降低。

當(dāng)公司將數(shù)據(jù)給云提供商進(jìn)行存儲或處理時，他們還需要考慮該提供商是否具備必要的網(wǎng)絡(luò)安全級別，這需要信息安全方面的專業(yè)知識水平，不是所有技術(shù)人員都具備。

罪犯們將移居云端，攻擊者在云中部署基礎(chǔ)設(shè)施，這將減少攻擊的復(fù)雜性，增加攻擊的次數(shù)和頻率。提供商將不得不考慮審查安全程序并更改其服務(wù)策略和基礎(chǔ)設(shè)施。

2. 內(nèi)部威脅

到企業(yè)和組織的總體安全水平有所提高，對基礎(chǔ)設(shè)施的直接攻擊變得越來越昂貴，攻擊者需要越來越多的技能和時間，2020年預(yù)計將出現(xiàn)以下趨勢。

使用社會工程方法的攻擊數(shù)量增長。尤其是對公司員工的網(wǎng)絡(luò)釣魚攻擊。由于人的因素仍然是安全方面的一個薄弱環(huán)節(jié)，隨著其他類型的攻擊變得更加難以實施，社會工程的攻擊數(shù)量將增加。

內(nèi)部人員滲透。由于其他攻擊成本不斷增加，攻擊者將有愿意向內(nèi)部人員提供大量資金。可以通過多種方式招募此類內(nèi)部人員：在論壇上發(fā)布一個提議，并為某些信息提供獎勵。攻擊者會掩飾自己的行為，以免員工意識到自己的行為違法。例如，向潛在的受害者提供一份簡單的工作，提供信息，同時保證數(shù)據(jù)不敏感，事實上可能與銀行客戶個人賬戶中的資金數(shù)額或目標(biāo)電話號碼有關(guān)。

企業(yè)網(wǎng)絡(luò)勒索將增加。敲詐公司員工，收集有關(guān)公司員工的泄露信息(如犯罪證據(jù)、個人記錄等個人數(shù)據(jù))的網(wǎng)絡(luò)敲詐集團(tuán)也將更加活躍。通常情況下，攻擊者收集泄漏的電子郵件和密碼，找到他們感興趣的目標(biāo)用于勒索。