专家视点

    2017年15大安全发展趋势
  •     物联“恶意”网。物联网设备已经呈现出涵盖一切之势——包括智能仪表到医疗设备应有尽有,但其同时亦成为僵尸网络中的新晋重要成员。而且由于此类设备计算能力有限,因此其固件往往无法进行补丁安装或者更新。这种情况将在2017年进一步恶化,意味着我们需要提防由其引发的大规模DDoS攻击乃至勒索软件及APT等企业网络攻势。当然,那些能够确保产品安全的物联网厂商则将在2017年借此赢得市场青睐。
        犯罪软件即服务。入门级黑客以及网络攻击活动开始进入主流文化,这意味着这部分群体将越来越多地引发安全隐患。他们会利用现成工具进行网站入侵以及端口扫描,并通过DDoS即服务以及勒索软件即服务(简称RaaS)造成严重破坏。虽然这部分攻击者缺乏入侵后的横向移动能力,但其活动仍会给企业的品牌声誉带来影响。
        DDoS: 大规模阻断型武器。DDoS攻击在2016年实现了火力升级,已经由以往的400 Gbps带宽增长到1 Tbps甚至更高,而这要归功于无数物联网设备的加入。这些攻击活动需要专门的保护举措方可应对,而目前还鲜少有机构具备这种应对能力。事实上,如果集中火力,此类攻击甚至有可能在2017年内攻陷整个国家的关键性基础设施与互联网。
        云计算比重继续增加。随着更多法规、合规性以及安全要求的出现,云环境已经逐渐为金融机构所接受,意味着掌握海量资金的巨头们必须着手进行云环境测试并将部分服务转移至自有数据中心之外。然而,企业还需要转变原有安全关注点,从而切实保护包含用户信息的应用及服务免受勒索软件及其它恶意软件的侵扰。虽然云安全即服务类方案能够有效削减企业在内部防火墙的采购与维护层面的成本,但相信仍将有不少企业出于安全考虑而决定将数据继续保留在“内部环境”中。
       间谍对间谍。网络间谍活动在2016年年内表现得相当猖獗,特别是考虑到中国窃取美国知识产权以及俄罗斯干扰美国总统选举等指控的出现。另外,无人机亦将被广泛应用于间谍及攻击活动,这也将使“无人机劫持”在未来几年内成为热点议题。考虑到2016年年内出现的利用移动浏览器安全漏洞及最新iOS JPEG零日漏洞等事件,相信新的一年中安全行业需要加大力度对抗间谍活动,并开始将取证分析方案全面推向移动系统当中。
        入侵选票系统、选举活动与候选人。通过对SS7以及可能暴露手机位置及对话数据的通话网络进行入侵,预计新的一年中将有更多维基解密式的资料公布行为出现。届时黑客技术将成为反对性研究工作中的常见工具,而从总统选举到众议院、参议院乃至州内选举活动的各类政治行为都将处于其窥探之下。另外,公众人物的位置数据一旦泄露,甚至有可能招致物理攻击甚至人员伤亡。而美国对此的回答将变得更为激进,不仅立足于网络策略,同时亦会将回应思路纳入外交、执法、经济以及其它政策当中。
        网络恐怖活动。想象一下,如果交通指示灯瘫痪、电网中断或者供水停止,其不仅会造成灾难性的破坏,更会危及生命安全。然而,通过数据伪造行为,这些目标完全有可能通过网络达成。作为回应,美国政府可能会采取报复性网络行动。但由于网络攻击往往难于溯源,因此我们几乎没办法突破重重误导找到攻击者的确切身份。
        开源的春天。开源已经凭借着显着的开发成本削减效果、创新推动能力、上市时间压缩以及生产力提升成为全球范围内应用开发的新基础。但是黑客们发现,大多数企业的网络安全体系存在薄弱点,而且即使拥有现成补丁,企业在代码的保护与管理方面仍然做得相当糟糕。这意味着开源漏洞利用项目将带来极高的投资回报,而这一切都将在2017年体现为针对网站、应用及物联网设备的攻击活动。
        依靠保险。根据Gartner公司的统计,全球2016年安全技术投入总额达816亿美元,但数据泄露仍在继续,安全解决方案的投资回报率创历史新低。在这种情况下,购买网络安全保险似乎是更为合理的应对方式。不过保险公司也需要下力气进行产品规划,包括要求企业客户制定更理想的安全策略并部署更有效的事件检测与响应能力,正如重病患者不能购买某些医疗险种一样。
        打击钓鱼活动。长久以来,钓鱼攻击一直是最行之有效的网络入侵手段。而且尽管不少企业已经开始对员工进行培训,但员工毕竟是人,而人总会犯错。因此,企业需要重构网络安全的对应实现方式。另外需要注意的是,谷歌最近开始将纯HTTP站点直接视为非安全,这意味着人们对于这类警告越来越不敏感。这意味着鱼叉式钓鱼或恶意软件也许更容易成功完成入侵。
        勒索软件无处不在。勒索软件将继续增加、发展并以自动化方式对云、医疗设备、关键性基础设施乃至重要服务器进行攻击。其已经成为一种具备先进“经济模式”的犯罪工具,因为企业很清楚其只需要支付相对低廉的价码即可摆脱麻烦,这也让勒索活动的成功率大大提高。然而,勒索攻击者与受害者间的不信任关系亦可能导致付款比例越来越低,而这也许最终会令勒索软件的规模有所收敛。
        跟隐私说再见吧。政府监控行为将愈演愈烈,特别是针对犯罪嫌疑人以及政治异见者群体。在苹果与联邦调查局之间爆发出尖锐冲突后,可以肯定情报机构将进一步加大对现有加密机制的破解力度。2017年将成为过去25年以来信息、隐私及安全领域相关辩论最为激烈的一年。
        攻击面进一步增加。现代车辆当中通常包含超过1亿行代码用以实现各类智能化、自动化以及互联网接入功能,但汽车制造商本身并不清楚其车辆中运行有哪些软件。这意味着其中几乎必然包含存在安全漏洞的组件,黑客们自然不会放过这一好机会。由此可能引发的问题包括锁定车辆并要求支付赎金、自动驾驶型车辆入侵、车辆位置信息泄露、通信劫持、未授权监控及情报收集等等。这意味着软件供应商与汽车制造商之间将因为相关责任而进行旷日持久的诉讼对抗。
        身份伪造。随着验证码、短信以及邮件等验证方式被逐一破解,如今伪造身份的难度已经一降再降。2017年,广告商与广告平台还将利用更为先进的追踪技术收集真实用户行为,这亦让诈骗分子拥有更为丰富的资料可供参考。作为回应,账户注册的审查机制将更为严格,且需要用户提供额外资料以证明新账户的合法性。
        技能短缺?自动化来帮忙。由于安全人才的极度短缺,企业将利用自动化方案确保现有人才不致将精力浪费在定期进行的重复性审查工作上。自动化亦将帮助安全专业人士更为高效地完成自身工作。他们将借此减少接收到的通知数量、确保通知内容更为相关并降低手动操作的强度,这一切都将使其更为主动地发现真正的恶意行为。

        来源:中国网络空间安全网 http://www.cismag.net/Article/Info/1394

  • 发布日期: 2016-12-26  浏览: 1695