2017年全球8大網絡安全威脅趨勢預測。
1. 更多的IOT意味著更多的DDOS攻擊
2008年,IBM提議智能城市建設,就是所謂的Smart City。之后,越來越多的科技會議都在探討研究Smart City這個理念。要建設Smart City,首先離不開的就是IOT(Internet of Things)。傳統的網絡已經不能滿足人類的需求,因此物聯網時代誕生了。攝像頭要聯網,監控系統要聯網,汽車要聯網,工控設備要聯網,甚至人也要聯網等,而這幾年也是物聯網時代的一個元年。但是,IOT的安全卻不容樂觀。2016年10月,美國DNS服務商遭到大型DDOS攻擊,而這些攻擊流量大部分都是從被入侵的IOT設備發出來的。隨后,德國電信又遭到大型DDOS攻擊,超過90萬臺路由器下線,其攻擊流量也是從被入侵的IOT設備中發出的。隨后新加坡等數個東南亞國家相繼遭受到大范圍的DDOS攻擊。2017年,如果IOT廠商和用戶還不注重這方面的安全,那么 2017年或有可能產生有史以來最大范圍和流量的DDOS攻擊 。
2. 數據盜竊
春節來臨之前,全球眾多廠商的Mongo DB,ES等未做登陸驗證的數據庫遭到黑客入侵。黑客拖下數據備份,并且刪除線上服務器的數據以此來進行勒索。這只是其中一個例子,2017年,個人數據,金融數據等將是數據盜竊團伙的首要目標。特別是近幾年,大量的廠商開始推行Saas平臺,一旦Saas平臺遭到入侵,數據盜取量是十分驚人的。2016年,Yahoo以10億數據泄露的代價成為史上最佳數據泄露的互聯網企業, 每年數據泄露的數量都在大幅度上升 。值得慶幸的是《中國國家網絡安全法》已經發布,該法案將在2017年6月份開始執行。該法案對于企業和政府安全基礎建設有著極大的推動力。或許在執行該法案后,中國地區數據盜竊量會有所下降。
3. Web程序將遭受到更多的攻擊
雖然WAF發展已經有數年的時間,但是WAF其主要作用還是在DDOS,SQL注入,XSS等常規攻擊上做維護。不過,像權限繞過,SSRF, CSRF等邏輯漏洞是無法用安全產品來進行維護的。2017年,眾測平臺將會有較大的發展, 單純靠機器挖掘漏洞已經不能滿足于需求,人工檢測漏洞的服務數量或許會大幅度上升 。
4. 網絡勒索繼續來襲
2017年,網絡勒索的數量和方式會有較大的提升。主要勒索類型為: 軟件勒索,數據勒索和DDOS勒索。
勒索軟件將會跨平臺進行勒索,除了針對個人PC的勒索外,還有移動端勒索軟件,工控設備勒索,服務器系統勒索軟件等。這些勒索軟件普遍采用RSA對系統內的文件進行加密,除了暴力破解和付費,別無其它方法。針對這個類型的攻擊,除了用戶和員工的安全意識培養以外,還需要在相關的安全基礎建設外下功夫,比如病毒防火墻,云查殺,沙箱查殺等。
近幾個月,數據勒索事件也開始增加。2016年年底,大量的ES,Mongo DB數據由于未做驗證,導致黑客可以進行未授權訪問這些數據庫。黑客拖下數據之后做備份,并且刪除了數據服務器上的一切數據以此來做勒索。應對這種勒索方式,廠商需要提前做好云備份或者實時備份措施,同時需要對數據庫登陸口令進行檢測,杜絕弱口令和無口令的情況發生。
2016年OVH服務器供應商遭到了1Tbps的IOT DDOS攻擊。由于市面上大量IOT設備存在諸多漏洞,所以黑客可以擁有一個非常強大并且穩定的肉雞集群。或許在2017年,會有多家互聯網企業遭受DDOS勒索攻擊。
5. 自己都不知道的密碼才是最安全的密碼
千萬防火墻,毀于abc123。互聯網上最大的漏洞不是在于軟件,而是在于人。 復雜的密碼記不住,簡單的密碼又容易被破解。 2017年,密碼枚舉可以算作十大網絡安全問題之一。為了解決這個問題,IDaaS(身份即服務)誕生了,非常可惜的是,洋蔥IDaaS在前不久因為資金問題,宣布解散。目前的安全市場,做IDaaS缺的不是方向,也不是技術,而是時間和成熟的“土壤”,而IDaaS市場的春天預計是在三年后。除了IDaaS以外,還有各式各樣的認證模式也在發展當中,比如二維碼認證,指紋認證,人臉認證等。
6. Flash?算了吧
每年Flash都會給我們各種0day大禮包。2015年,Hacking Team泄露了三個flash的漏洞,2016年,又爆出了CVE-2016-1019和CVE-2016-4117。這兩年來,Flash的漏洞總是被CVSS定義為高危漏洞。特別是前幾個月,方程式小組被Shadow Brokers 入侵,不知道里面的0day會不會有Flash的。 2017年,估計還會有新的Flash漏洞爆出來。
感謝Adobe給我們提供Flash那么多年,但是它真的老了,可以退休了。 2017年,棄Flash,保平安。
7. 日防夜防,家賊難防
現有的安全產品,主要是針對外部的網絡攻擊,但是針對內部威脅的安全產品卻非常少。早在2007年,就有人提出內部威脅成跨國公司網絡安全最大挑戰。 2016年,中國某科研人員偷賣90項國家絕密情報被判死緩。隨著安全市場的飛速發展,目前外部入侵需要花費很大的成本和精力,從內部攻擊則有很大的優勢。內部威脅,有些是隨機性的,有些是計劃性的,有些是遠程性的。要對內部威脅做防護,最大的痛點不是在于系統,而是在于人,管理人比管理系統還要復雜得多。 因此,2017年,內部威脅將是安全市場的一大挑戰。
8. 安全人才缺口巨大
2016年,中國網絡安全人才缺口在50萬左右,預計到2020年這個數字會增長到140萬。但是近三年來,全國高校只輸出了3萬左右的安全人員。現有的安全人才數量遠遠跟不上市場的需求量。沒有人,任何安全維護都是空談。安全人才短缺是一個全球性的問題,美國也是如此。2015年開始,美國各大企業已經和眾多高校合作,建立人才培養基地,培養持續網絡教育的環境,并且針對安全人才提供穩定就業機會和發展空間。根據Security Intelligence的調查,在硅谷網絡安全人才的失業率目前保持在百分之零。 2017年,中國安全市場最大的挑戰不在于技術,而是在于安全人才的培養。
總結
2016年很危險,2017年會更危險。
網絡安全,任重道遠。
祝大家新的一年,繼續加油!
看文倉www.kanwencang.com網友整理上傳,為您提供最全的知識大全,期待您的分享,轉載請注明出處。
歡迎轉載:http://www.kanwencang.com/bangong/20170214/101307.html
文章列表
留言列表
