2017年15大安全發(fā)展趨勢概述
譯文【51CTO.com快譯】2016年即將過去,我們也該著眼于新的12個月了。通過對數(shù)十家供應(yīng)商及分析企業(yè)的意見進行總結(jié),這里整理出15項與網(wǎng)絡(luò)安全緊密相關(guān)的發(fā)展趨勢。
物聯(lián)“惡意”網(wǎng)
物聯(lián)網(wǎng)設(shè)備已經(jīng)呈現(xiàn)出涵蓋一切之勢——包括智能儀表到醫(yī)療設(shè)備應(yīng)有盡有,但其同時亦成為僵尸網(wǎng)絡(luò)中的新晉重要成員。而且由于此類設(shè)備計算能力有限,因此其固件往往無法進行補丁安裝或者更新。這種情況將在2017年進一步惡化,意味著我們需要提防由其引發(fā)的大規(guī)模DDoS攻擊乃至勒索軟件及APT等企業(yè)網(wǎng)絡(luò)攻勢。。
當然,那些能夠確保產(chǎn)品安全的物聯(lián)網(wǎng)廠商則將在2017年借此贏得市場青睞。
犯罪軟件即服務(wù)
入門級黑客以及網(wǎng)絡(luò)攻擊活動開始進入主流文化,這意味著這部分群體將越來越多地引發(fā)安全隱患。他們會利用現(xiàn)成工具進行網(wǎng)站入侵以及端口掃描,并通過DDoS即服務(wù)以及勒索軟件即服務(wù)(簡稱RaaS)造成嚴重破壞。雖然這部分攻擊者缺乏入侵后的橫向移動能力,但其活動仍會給企業(yè)的品牌聲譽帶來影響。
DDoS: 大規(guī)模阻斷型武器
DDoS攻擊在2016年實現(xiàn)了火力升級,已經(jīng)由以往的400 Gbps帶寬增長到1 Tbps甚至更高,而這要歸功于無數(shù)物聯(lián)網(wǎng)設(shè)備的加入。這些攻擊活動需要專門的保護舉措方可應(yīng)對,而目前還鮮少有機構(gòu)具備這種應(yīng)對能力。事實上,如果集中火力,此類攻擊甚至有可能在2017年內(nèi)攻陷整個國家的關(guān)鍵性基礎(chǔ)設(shè)施與互聯(lián)網(wǎng)。
云計算比重繼續(xù)增加
隨著更多法規(guī)、合規(guī)性以及安全要求的出現(xiàn),云環(huán)境已經(jīng)逐漸為金融機構(gòu)所接受,意味著掌握海量資金的巨頭們必須著手進行云環(huán)境測試并將部分服務(wù)轉(zhuǎn)移至自有數(shù)據(jù)中心之外。
然而,企業(yè)還需要轉(zhuǎn)變原有安全關(guān)注點,從而切實保護包含用戶信息的應(yīng)用及服務(wù)免受勒索軟件及其它惡意軟件的侵擾。雖然云安全即服務(wù)類方案能夠有效削減企業(yè)在內(nèi)部防火墻的采購與維護層面的成本,但相信仍將有不少企業(yè)出于安全考慮而決定將數(shù)據(jù)繼續(xù)保留在“內(nèi)部環(huán)境”中。
間諜對間諜
網(wǎng)絡(luò)間諜活動在2016年年內(nèi)表現(xiàn)得相當猖獗,特別是考慮到中國竊取美國知識產(chǎn)權(quán)以及俄羅斯干擾美國總統(tǒng)選舉等指控的出現(xiàn)。另外,無人機亦將被廣泛應(yīng)用于間諜及攻擊活動,這也將使“無人機劫持”在未來幾年內(nèi)成為熱點議題。
考慮到2016年年內(nèi)出現(xiàn)的利用移動瀏覽器安全漏洞及最新iOS JPEG零日漏洞等事件,相信新的一年中安全行業(yè)需要加大力度對抗間諜活動,并開始將取證分析方案全面推向移動系統(tǒng)當中。
入侵選票系統(tǒng)、選舉活動與候選人
通過對SS7以及可能暴露手機位置及對話數(shù)據(jù)的通話網(wǎng)絡(luò)進行入侵,預(yù)計新的一年中將有更多維基解密式的資料公布行為出現(xiàn)。屆時黑客技術(shù)將成為反對性研究工作中的常見工具,而從總統(tǒng)選舉到眾議院、參議院乃至州內(nèi)選舉活動的各類政治行為都將處于其窺探之下。另外,公眾人物的位置數(shù)據(jù)一旦泄露,甚至有可能招致物理攻擊甚至人員傷亡。
而美國對此的回答將變得更為激進,不僅立足于網(wǎng)絡(luò)策略,同時亦會將回應(yīng)思路納入外交、執(zhí)法、經(jīng)濟以及其它政策當中。
網(wǎng)絡(luò)恐怖活動
想象一下,如果交通指示燈癱瘓、電網(wǎng)中斷或者供水停止,其不僅會造成災(zāi)難性的破壞,更會危及生命安全。然而,通過數(shù)據(jù)偽造行為,這些目標完全有可能通過網(wǎng)絡(luò)達成。
作為回應(yīng),美國政府可能會采取報復(fù)性網(wǎng)絡(luò)行動。但由于網(wǎng)絡(luò)攻擊往往難于溯源,因此我們幾乎沒辦法突破重重誤導(dǎo)找到攻擊者的確切身份。
開源的春天
開源已經(jīng)憑借著顯著的開發(fā)成本削減效果、創(chuàng)新推動能力、上市時間壓縮以及生產(chǎn)力提升成為全球范圍內(nèi)應(yīng)用開發(fā)的新基礎(chǔ)。但是黑客們發(fā)現(xiàn),大多數(shù)企業(yè)的網(wǎng)絡(luò)安全體系存在薄弱點,而且即使擁有現(xiàn)成補丁,企業(yè)在代碼的保護與管理方面仍然做得相當糟糕。這意味著開源漏洞利用項目將帶來極高的投資回報,而這一切都將在2017年體現(xiàn)為針對網(wǎng)站、應(yīng)用及物聯(lián)網(wǎng)設(shè)備的攻擊活動。
依靠保險
根據(jù)Gartner公司的統(tǒng)計,全球2016年安全技術(shù)投入總額達816億美元,但數(shù)據(jù)泄露仍在繼續(xù),安全解決方案的投資回報率創(chuàng)歷史新低。在這種情況下,購買網(wǎng)絡(luò)安全保險似乎是更為合理的應(yīng)對方式。
不過保險公司也需要下力氣進行產(chǎn)品規(guī)劃,包括要求企業(yè)客戶制定更理想的安全策略并部署更有效的事件檢測與響應(yīng)能力,正如重病患者不能購買某些醫(yī)療險種一樣。
打擊釣魚活動
長久以來,釣魚攻擊一直是最行之有效的網(wǎng)絡(luò)入侵手段。而且盡管不少企業(yè)已經(jīng)開始對員工進行培訓(xùn),但員工畢竟是人,而人總會犯錯。
因此,企業(yè)需要重構(gòu)網(wǎng)絡(luò)安全的對應(yīng)實現(xiàn)方式。另外需要注意的是,谷歌最近開始將純HTTP站點直接視為非安全,這意味著人們對于這類警告越來越不敏感。這意味著魚叉式釣魚或惡意軟件也許更容易成功完成入侵。
勒索軟件無處不在
勒索軟件將繼續(xù)增加、發(fā)展并以自動化方式對云、醫(yī)療設(shè)備、關(guān)鍵性基礎(chǔ)設(shè)施乃至重要服務(wù)器進行攻擊。其已經(jīng)成為一種具備先進“經(jīng)濟模式”的犯罪工具,因為企業(yè)很清楚其只需要支付相對低廉的價碼即可擺脫麻煩,這也讓勒索活動的成功率大大提高。
然而,勒索攻擊者與受害者間的不信任關(guān)系亦可能導(dǎo)致付款比例越來越低,而這也許最終會令勒索軟件的規(guī)模有所收斂。
跟隱私說再見吧
政府監(jiān)控行為將愈演愈烈,特別是針對犯罪嫌疑人以及政治異見者群體。
在蘋果與聯(lián)邦調(diào)查局之間爆發(fā)出尖銳沖突后,可以肯定情報機構(gòu)將進一步加大對現(xiàn)有加密機制的破解力度。2017年將成為過去25年以來信息、隱私及安全領(lǐng)域相關(guān)辯論最為激烈的一年。
攻擊面進一步增加
現(xiàn)代車輛當中通常包含超過1億行代碼用以實現(xiàn)各類智能化、自動化以及互聯(lián)網(wǎng)接入功能,但汽車制造商本身并不清楚其車輛中運行有哪些軟件。這意味著其中幾乎必然包含存在安全漏洞的組件,黑客們自然不會放過這一好機會。
由此可能引發(fā)的問題包括鎖定車輛并要求支付贖金、自動駕駛型車輛入侵、車輛位置信息泄露、通信劫持、未授權(quán)監(jiān)控及情報收集等等。這意味著軟件供應(yīng)商與汽車制造商之間將因為相關(guān)責(zé)任而進行曠日持久的訴訟對抗。
身份偽造
隨著驗證碼、短信以及郵件等驗證方式被逐一破解,如今偽造身份的難度已經(jīng)一降再降。2017年,廣告商與廣告平臺還將利用更為先進的追蹤技術(shù)收集真實用戶行為,這亦讓詐騙分子擁有更為豐富的資料可供參考。
作為回應(yīng),賬戶注冊的審查機制將更為嚴格,且需要用戶提供額外資料以證明新賬戶的合法性。
技能短缺?自動化來幫忙
由于安全人才的極度短缺,企業(yè)將利用自動化方案確保現(xiàn)有人才不致將精力浪費在定期進行的重復(fù)性審查工作上。
自動化亦將幫助安全專業(yè)人士更為高效地完成自身工作。他們將借此減少接收到的通知數(shù)量、確保通知內(nèi)容更為相關(guān)并降低手動操作的強度,這一切都將使其更為主動地發(fā)現(xiàn)真正的惡意行為。
原文標題:Top 15 security predictions for 2017,作者: Taylor Armerding
【51CTO譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】
