2013年曾被安全專家稱為“大規模數據泄露”時代,而2014年發現的嚴重漏洞 Heartbleed和Shellshock也說明安全行業需要不斷保持對新型威脅的高度警惕。所有跡象表明,在即將到來的2015年里,安全行業的緊張局勢將不斷加深,制造新型威脅并利用漏洞和抵御安全威脅的對立雙方之間的戰爭將愈演愈烈。物聯網應用的發展意味著消費者將進一步通過網絡連接設備、數碼配件以及機器等,而這也將導致新一輪的安全隱患。
未來,物聯網是否會引發新一輪的安全攻擊?隨著全球各國逐步推進智慧國家長期發展計劃,大數據將會扮演什么樣的角色?移動安全領域又會面對怎樣的變化?針對亞太地區及日本所面對的網絡安全問題,賽門鐵克最新發布的2015年十大威脅趨勢預測將幫助政府機構、企業以及個人消費者,全面了解未來安全的發展趨勢,以更好應對潛在的安全威脅。
(1)對物聯網 (IoT) 的攻擊將聚焦智能家居自動化
隨著智能家居自動化在亞太地區和日本消費者中的興起,賽門鐵克預測商品化的“即插即用”設備將會被網絡犯罪分子利用,其中包括用于警報、照明和恒溫控制的 CCTV 攝像頭和遠程門禁控制設備。
當前,嵌入式小型設備的應用范圍越來越廣,但鮮有企業在部署這些設備時充分考慮網絡安全因素。這些設備通常不具備一般臺式機的計算能力和內存,并且系統資源有限。
搜索引擎支持用戶在線搜索那些具有網絡功能的設備,從安全攝像頭到汽車、家庭供暖系統等。盡管搜索引擎不會引起漏洞,但卻能夠使網絡犯罪分子更輕松地發現物聯網設備,找到可攻擊目標并加以利用,以近期有關 Insecam.com 的新聞為例,據說該網站建立在俄羅斯,并向全世界“直播”世界各地IP 攝像頭的影像信息。
可以說,我們不會看到利用物聯網的大規模攻擊,但是攻擊者會針對家庭路由器、智能電視和互聯汽車應用等互聯設備進行一次性攻擊,以獲取敏感和隱私信息。
(2) 移動設備將成為更具有吸引力的目標
移動設備將繼續成為網絡攻擊者的完美攻擊目標,尤其是移動設備存儲了大量的用戶個人隱私信息,并且設備一直保持開機狀態。
移動設備的價值正在逐漸增高,尤其是移動運營商和零售提供商正在逐步將支付方式過渡到移動支付。以Apple Pay為例,某些薄弱環節曾經為近期針對PoS系統的攻擊打開了方便之門,雖然Apple Pay的確可以彌補這些薄弱環節,但這不應當成為掉以輕心的理由。賽門鐵克認為,一旦某個攻擊途徑被堵住,攻擊者往往會找尋其他弱點。倘若Apple Pay成為支付方法,攻擊者很可能會針對NFC支付的安全性發起猛烈的攻擊測試。
(3)機器學習將扭轉網絡犯罪斗爭的格局
隨著機器學習和大數據的融合,新一代的業務平臺正在誕生,并將扭轉網絡安全格局。機器學習是一種深度學習形式,可以被看做人工智能的第一步。面對威脅,我們必須保持“主動性”,而不是對威脅作出被動反應。機器學習將使安全廠商比網絡犯罪分子領先一步。機器學習擁有預測網絡攻擊的能力,能夠提升檢測率,這可能是扭轉網絡犯罪趨勢的關鍵點。
(4)移動應用將繼續犧牲用戶的個人隱私
賽門鐵克認為,一些移動用戶將繼續以自己的隱私為代價,交換移動應用的使用。盡管許多互聯網用戶并不愿意在網上分享銀行和個人身份信息,但另一些人卻愿意分享自己的位置信息、移動設備電池壽命、并允許移動應用訪問照片、聯系人列表和健康等信息。
許多消費者在下載應用時根本不知道自己同意了什么條款。例如,諾頓調查顯示,盡管千禧一代用戶可能認為自己了解允許移動應用可訪問的內容,但事實上,在用個人信息交換應用使用方面上,用戶其實并不清楚自己同意了什么條款。
(5)詐騙分子將繼續通過有利可圖的勒索軟件進行詐騙
賽門鐵克《互聯網安全威脅報告》顯示,在2013 年下半年,勒索軟件的攻擊次數增加了 5 倍并顯現出愈演愈烈的趨勢。很大程度上,這種快速增長是由Ransomcrypt,也被稱為Cryptolocker的惡意軟件造成的。在10月份,55%的威脅都是由這種攻擊力迅猛的勒索軟件造成的。這種勒索軟件會加密用戶文件,然后要求用戶提供贖金來解密文件。勒索軟件對企業的危害更大,這不僅僅是因為受害人的文件會被加密,共享或關聯網絡驅動器上的文件也會被加密。
挾持加密文件以索取贖金并非是全新的伎倆,但事實證明,對于詐騙分子而言,如何得到贖金是一個難題。近期的勒索軟件制造者已經開始利用網絡和電子支付系統解決以上問題。例如,通過使用Bitcoins、Webmoney、Ukash、 greendot (MoneyPak) 等即時可用的途徑,詐騙分子利用電子支付的相對匿名性和便利性,使企業和消費者面臨丟失數據、文件或寶貴記憶等更大風險。
(6)2014年發生的大型數據泄露事件讓網絡安全繼續成為 2015 年的關注重點
鑒于全球互聯網和云基礎結構的互聯性特點,跨境數據傳輸不可避免,并且需要得到妥善的解決。2015年將迎來“個人數據保護法”的改進,尤其在亞太地區,這是因為該法案對人們的生活產生了實際影響,使個人和企業對網絡安全和網絡犯罪擁有正確的防范意識。
(7)分布式拒絕服務 (DDoS) 的威脅將更趨向嚴重
2014 年還呈現出另外一種趨勢,即受攻擊的 Unix 服務器的數量以及在DDoS攻擊中被占用的帶寬資源不斷上升。攻擊者的動機各不相同,主要原因包括黑客行為、利益和爭端。考慮到大規模DDoS攻擊的輕易程度,賽門鐵克預測未來面向DDoS攻擊將繼續增長,遭遇短而密集的 DDoS攻擊的可能性將會增加。
(8)安全性超越密碼范疇,用戶行為將成為焦點
由于密碼系統頻繁遭到網絡犯罪的攻擊,安全廠商和提供商正在面臨日趨嚴峻的挑戰——在為用戶提供無縫體驗的同時,平衡便利性和復雜度。采用一次性密碼或虹膜、指紋掃描等多因素身份驗證技術可以成為安全維護的替代方法,但這些方法也并非是最安全的選擇。保護重要信息的真正解決方案在于用戶行為,而最終問題更在于我們如何保護個人在線資產和身份信息免受入侵威脅。
(9)云將為我們打開無限廣闊的空間
2015年,我們將看到越來越多的云托管數據。在發生這一轉變時,企業需要更加嚴密地監管數據,并在執行云托管之前,確保數據經過處理。除此之外,脫離管理的遺留數據將持續累積,對企業或將構成長期威脅。對消費者而言,在2015年,云代表了遠程托管的海量個人信息,圍繞訪問權限、控制和保護云中私有數據等話題所展開的討論也將繼續升級。
(10)通過加強企業聯合協作,強化網絡安全防線
孤軍奮戰是無法在對抗網絡犯罪的戰役中取勝的。世界各地的安全行業、電信服務運營商和政府部門正在聯手打擊網絡犯罪。安全行業是世界上擁有“對抗行業”的少見行業之一,前者堅持不懈地要擊垮后者。這也是為什么在對抗網絡犯罪的戰役中,獲得勝利需要采取不同的方法和舉措。2015 年,攻擊者將繼續尋找新的漏洞以“占領陣地”,開源平臺將繼續通過更緊密的行業協調、協作和響應來應對這些漏洞。賽門鐵克認為,這是一個積極的現象,開源平臺的未來將會更加美好。