與其試圖搞清將會發生什么,不如處理好現存的各種問題。
每年伊始的時候,廠商和科技預測師之類的總要對IT安全的未來做一番前瞻預言。這是可以理解的,畢竟能幫助人們辨別即將到來的威脅和新興趨勢。但事實真相卻是:對廣大IT用戶而言,當前現有的威脅才是最應該關注的。
網絡犯罪是一門產業,與大多數現代產業一樣,傳播速度和市場大小才是成功的關鍵。這也是為什么漏洞利用工具包,比如Angler、Rig之類的,在2015年大為流行,且將在未來幾年繼續保持廣為傳播勢頭的原因。漏洞利用工具包可以使潛在攻擊者輕易侵入用戶系統。它不是一次性用過即棄的工具,但確實是為了大規模漏洞利用而設計的。而利用的通路,通常,恰是那些已經被受影響的軟件廠商打了補丁的漏洞。
軟件廠商發布了補丁程序未必意味著漏洞就不再被利用。你可以看看那些關于修復率的產業調查報告,無論你看的是哪家的報告或數據,2015(或者隨便哪一年吧)漏洞修復率從未達到過100%,連逼近都稱不上。終端用戶修復從來就不是容易達成的任務。漏洞修復問題不是2016新趨勢,也不是2015或2014的,但卻是任意一年大量數據泄露事件的根源所在。
公平的說,2016年的修復工作應該比前幾年更簡單些。如今,自動更新機制已經成為眾多操作系統和應用程序廠商常用的最佳實踐。其中表現最好的,要數谷歌的Chrome瀏覽器,默認提供自動更新。Adobe的Flash和Acrobat Reader,以及流行開源內容管理系統WordPress同樣提供自動更新。
其他科技公司,比如出品Windows的微軟和帶來OS X和iOS的蘋果,自動更新不是默認設置,但都會以明確的方式通知用戶什么時候該更新了。
但是,仍然有很多應用程序既沒有自動更新系統,也沒有適當地集成進操作系統級的通知。有時候,通過App商店,集成更新問題能夠得以方便地解決。比如,OS X、iOS和Google Play就提供單一界面供用戶更新App。Linux服務器和桌面系統從Linux發行版軟件資料庫安裝更新包也是同樣道理。
若是非自動化的更新,檢查是否有更新的責任就落到了用戶身上。這是老生常談的問題了,2016年也將繼續見證此類威脅。
真正令人驚訝的,是那些已經過時的軟件還在被頻繁使用的程度。這些過時軟件,可以說某種程度上規避掉了自動更新或個人常規進行的更新檢查。
更新問題也不總是歸咎于用戶的不作為。今天的手機世界中,真正的問題是那些不再從手機廠商那里獲取安全更新的安卓手機。進一步的風險,則來自于不跟緊谷歌月度更新周期的那些安卓手機廠商。僅過去6個月里,谷歌就發布了93個安全漏洞補丁包。但,盡管谷歌已經為手機合作商準備好了補丁,卻不是所有的廠商都能及時向全部受影響的設備發放更新。
綜上所述,從桌面系統到手機平臺和App應用,每一年都有大量漏洞曝出,但卻不是所有的漏洞都會被用戶打上補丁。其結果,就是形成了一個任君采擷的巨大果園,讓攻擊者可以攜漏洞利用工具包隨心所欲地采摘。畫面太美,不忍直視。
IT安全里,另一個一直以來讓人無言以對的問題就是:用戶密碼往往是安全防護中最弱的一環。同樣,這不是個新趨勢,是自現代IT誕生的那刻起就一直存在的問題。最近幾年的變化,是雙因子身份驗證(2FA)系統的使用增多。
攻擊者帶著數據庫泄露的用戶名和密碼溜之大吉的情況屢見不鮮。但如果你的賬戶設置了2FA,這些信息基本等于沒用,風險也就相對降低了。這種經驗教訓,不僅僅是2016,而是每年都應該重新警醒一遍的。
2016 IT安全中應該注意的其他重點,與之前十幾年一樣,是常見類型的漏洞。在服務器方面,源源不斷引發數據泄露的老問題,是SQL注入。這個問題能造成應用程序無法恰當地執行數據庫輸入驗證。可供公司企業掃描SQL注入漏洞的工具很多,修復代碼通常也就區區幾行。
當然,新的零日漏洞肯定會出現,2016年也免不了要見證那么幾個。但若說到數據泄露,大部分泄露事件還得歸因于本可以規避掉的已知漏洞。
展望2016的安全,不應該拒絕了解若是回避新的威脅,但更重要的是先要“回頭看”。
京公網安備 11010502049343號