不管你是否關注，網絡安全事件正在全球普遍蔓延。過去一年，見證了網絡安全和IT人員需要在諸多情況下注意的各種新興和傳統的威脅。以下是過去這一年八個主要的安全威脅。

更復雜的DDoS

網絡襲擊手段繼續發展并成熟,包括在增加分布式拒絕服務(DDoS)攻擊帶寬上的進步。之前的DDoS攻擊利用了成千上萬臺個人電腦形成一個典型的僵尸網絡群來進攻引擎,然而,新的DDoS巨大乘數效應包括具有更大容量和馬力的受損服務器類設備的僵尸網絡。

2012年,一個典型的DDoS攻擊可能范圍為3或4 Gbps,新攻擊已經突增至超過100 Gbps。許多安全專家在較低的數字水平上設計他們的DDoS策略,認為足以阻止DDoS的威脅;鑒于新威脅呈現的帶寬，許多機構不得不重新架構網絡安全策略。

今年，DoS作為網絡武器的不斷崛起,普華永道關注安全的咨詢實踐主任說， “糟糕的攻擊者不一定要偷你的產品或服務, 他們只需要確保你不能將產品或服務交付給你的客戶,這是一個比直接入侵低劣的手段。”

僵尸網絡的攻擊

殺傷力與DDoS攻擊同級的還有通過網絡系統傳播的僵尸網絡。攻擊者已經能夠使用層次更復雜的網絡釣魚技術將惡意軟件植入大量的個人和服務器類的設備中。

網絡釣魚幾年前充滿了拼寫和語法錯誤,今天的釣魚者已經提高了他們的社會工程技術和增大了可信信息的耦合性。雖然網絡釣魚攻擊已存在多年，但他們仍是“持久的，可惡的，但往往是贏得進入企業立足點的有效途徑。

安全意識培訓計劃可以引起人們對這個問題的注意,但是非安全行業從業者真的不能指望成為企業安全的后盾。

公司可以嘗試認識上的溫和增長，如果我們認為每個員工永遠都不會點擊其電子郵件附件的鏈接的話,那么是在跟自己開玩笑。員工只需要一個點擊即可注入一個惡意程序,鍵盤程序或木馬,黑客將可以非法進入您的環境。很明顯,這是一個保持我們網頁安全的一個大問題。

不容忽視的內部威脅

除了各式各樣的外部威脅，來自企業內部的襲擊也不是不容忽視的一環，但看似可信的威脅者的數量在上升。

很多企業對于網絡安全的關注僅僅停留于外部威脅,其中包括間諜特工,破壞者,和網絡罪犯,然而,企業不斷驚爆各種員工和第三方服務提供商造成的違規。因為這些被信任員工或者服務供應商有訪問敏感信息的最大權限,造成違規的平均成本大于那些外部威脅引起的違規成本。

對員工來說,違規的主要原因就是安全意識和相關培訓、基于角色的訪問控制和活動監測都不足;至于第三方服務提供商,未能盡職調查和沒有足夠的項目監測則是主要原因。

應用存在安全漏洞

2013年正在流行并且2014年將繼續風靡的另一個威脅就是對不安全的應用程序進行生產和分配。

電子商務和移動應用程序的擴散使得許多公司與其客戶保持著更密切的聯系，但是我們還沒有解決由此產生的問題:注入威脅和跨站點腳本的威脅。

考慮到襲擊者的成熟水平，安全專家繼續生產容易攻破的代碼。隨著非關系型數據庫及其他相關注入攻擊的出現,能夠妥協,攻擊面向網絡的應用程序能力很可能繼續增加而非減少。

對網絡安全的擔憂已經轉移到應用程序和在應用中運行的服務上面。內部研發團隊和商業軟件市場都在增加對安全代碼需求的關注。

應用程序程序的安全和用來進入的憑證安全程度只是跟用戶身份審查程序一樣，如果這些證書并沒有提供給正確的個人，那么要求用戶將PIV卡插入一個讀卡器,提供生物識別,并輸入密碼這一切都是沒有用的。

對于信息敏感性的增加和日益增強的應用功能的重要性要求我們給出盡可能多的想法來作為后續訪問控制的身份證明。

數據供應鏈漏洞

數據供應鏈漏洞是一個新興威脅。過去這一年里，很多企業還沒有完全意識到正在處理其數據的所有各方。一些公司已經將一部分數據處理外包出去,卻發現供應商沒有足夠的安全措施到位,或者他們不知道如何處理一個事件,或公司出現問題的時候沒有立刻通知他們。

在多用戶環境中,系統管理員有時會偷工減料。他們可能為每個客戶使用相同的特權帳戶及密碼,他們可能會堅持廣泛的網絡訪問,企業通常不會允許任何人都能使用互聯網。這樣,第三方成為試圖攻擊某特定企業的攻擊者的跳板。

未經授權的前任員工訪問對于很多公司來說將繼續是個安全問題。

未授權的網絡訪問,特別是前雇員,許多公司仍然是一個安全問題,瑞恩說。

我們的發現是,一些公司不能完全切斷所有提供給前雇員的訪問途徑。他的公司通常被稱為前終止的員工,以確保公司有效地終止訪問。

也有這樣的事件，就是我們被召集調查一個沒有被正確終止其訪問路徑的員工,幫助評估被偷了什么以及如何糾正這一問題。

員工訪問這些信息的原因各不相同。有時,它可能是盜竊知識產權—如個人可能會對銷售或使用感興趣的源代碼。或者他們訪問網絡來試圖保證未決訴訟信息的安全。他們可能是訴訟的主題,并試圖收集關于他們終止或相關問題的相關信息。

系統嵌入式漏洞

如今許多非傳統設備越來越多地連接到網絡上了,包括上網相機、數碼錄像機,標記閱讀器和其他具有IP地址的個人計算機設備。

“如果我們只是依靠傳統網絡設備來管理威脅，卻認為自己已將潛在的風險牢牢在握，那么是在自欺欺人。我們必須擴大我們的風險感知能力來覆蓋所有連接到網絡的內容。

比特幣的萌芽

比特幣是使用加密來保證安全交易的開源電子貨幣和支付網絡,具備一套獨特的安全風險。比特幣是數字經濟的預兆,但近期針對比特幣的多個攻擊(從托管網站的攻擊到純加密攻擊)已獲成功。由此，人們不免會質疑針對錢和交易轉移機制的新嘗試,如果僅依靠最簡單的安全措施,那么攻擊簡直輕而易