從報稅表詐騙到WordPress漏洞、勒索軟件、商業電子郵件泄露、DDoS攻擊和總統大選被黑疑云——2016簡直就是網絡安全地獄年，而且這還沒完。

根本沒理由相信2017會有所好轉。若說有什么區別的話，那就是會變得更糟糕——因為網絡罪犯會繼續發動社會工程，找到投送惡意軟件的新方法，破解有漏洞的數據庫，利用移動技術來找出打破公司防御咬上目標人物的途徑。

兩位杰出的網絡安全專家：安全訪問軟件公司Bomgar首席執行官馬特·德克斯，安全設備管理和移動安全公司 Cyber adAPT首席技術官斯科特·米里斯，為我們展望了一下2017網絡安全形勢。

1. 口令“成長”

10月21日造成互聯網大面積掉線的DDoS攻擊，至少有部分是因IoT設備上未修改的默認口令被黑客利用而發起的。別覺得自己能幸免，有多少用戶用的是簡單、常見、過時的口令？2017年，更好的口令管理服務，會隨著企業意識到自己防護有多差而引起重視。

有太多特定用途的“啞”設備了，就像前面說過的助力DDoS攻擊的那些路由器，這讓黑客們的工作變得十分容易。

弱口令依然一統江湖的時候，網絡安全人員面對關鍵基礎設施、聯網系統和遠程訪問系統及設備防護任務簡直一籌莫展，而且問題還不只是外部威脅一種。

內部威脅緩解也可以通過更好的口令管理來完成。最佳方式，是實現用戶未知口令安全存儲的解決方案，并定期驗證和輪轉這些口令以確保安全。

這里指的，其實就是憑證保險柜。理想狀況下，用戶不會知道自己的口令，口令由保險柜自動填充，并且每周輪轉和改變。黑客本質上是很懶的，他們也有自己的時間需求。如果你讓他們的破解工作更難，他們就會轉移目標而不是投入時間精力來跟你死磕。

2. 權限受到重視

黑客想要高權限，他們通過瞄準IT員工、CEO和供應商之類的特權用戶來獲得高權限。雖然公司對重要系統、應用和數據采取了安全措施，這些預防性措施顯然已不再足夠。2017年，懂行的公司最終會嚴肅對待特權用戶保護問題，而不僅僅是系統防護，他們會識別、監視特權用戶的訪問，關閉他們不需要的權限。

有人說“我的用戶和外部供應商都只能用VPN來連接，挺好的。”但其實他們根本不知道這些外部人士到底都在讀取些什么！權限管理就像電梯間，根據角色，乘客只能進入某些特定樓層，切實地限制了用戶行為，尤其是在用戶懷有惡意的情況下。即便手握有效口令，只要權限限制了只能訪問第1和第7層，任何試圖闖入第6層的做法都會觸發警報并鎖定電梯。

解決權限問題，同樣需要公司愿意提供關于潛在危險的擴展教育和培訓，尤其是在越來越多的移動辦公人員太喜歡犧牲隱私和個人數據來換取訪問權，而且天真地以為自己的安全會被第三方服務提供商和App作者保護好的情況下。

尤其是最近幾代數字原住民，太愿意給出自己的個人數據來換取App、聯網、信息等等的訪問權了——利用這一點簡直不要太容易！他們幾乎默認這些App開發者、服務提供商會確保他們的安全。天真！危險！綜合考慮如今的網絡安全技術缺口、人才短缺、移動辦公、App為中心的環境、更高級的黑客活動，我們面對的根本就是一場完美風暴。只會更壞，不會更好。

3. 安全責任推卸升溫

現在，安全公司的客戶傾向于連“假如”發生網絡攻擊事件都不提了，直接就問“什么時候”被攻擊？情況會有多糟？這種自己撒手不管，完全依賴安全公司服務的思潮，是十分恐怖的。

IoT和對安全解決方案提供商越來越重的依賴度，意味著公司企業可能在數據泄露發生時推卸其所有權和事件源頭的責任。誰應該對保護、維護和修復各種技術負責？更糟的是，有沒有產品被接入根本無法打上補丁的內部系統？很多IoT設備經常因為不在IT傳統管轄范圍內而被無視掉，但這確實造成了對威脅的暴露面。

IoT、自動化和云在不斷集成整合，但似乎沒人完全確定到底誰該對維護所有這些不同技術的安全負責：IoT設備制造商？安全服務提供商？內部IT團隊？個人用戶？在安全上，木桶理論完全適用——取決于最不安全的設備或關系。

當數據泄露發生，即便有層次化的安全措施，誰負責、誰有權響應的問題，也將引發激烈的爭執和相互指責。

通過確保IT與業務部門之間的開放溝通，理解潛在威脅、安全選項、公司內部的挑戰和限制，此類責任推卸游戲便可有效杜絕。

部分問題在于：作為CSO、CISO甚或CIO之類安全相關責任人，如果你工作做得超棒，那么你基本上毫無存在感；否則，你將如坐針氈。如果你定出了不錯的策略、規程和安全措施，通常也得交給IT來實施。但如果因為你沒能理解業務需求、預算、各種要求而導致這些措施沒起到效果，那你就真的可有可無了。

4. 勒索軟件將失去控制

自2016年1月起，賽門鐵克安全響應小組見證了每天平均4000+勒索軟件攻擊：比2015年的數據增加了300%。

大多數公司依賴低開銷預防技術來緩解此類威脅，比如防火墻、反病毒解決方案或入侵預防。然而，這些工具并不足以起到完全預防作用，被泄露的數據大軍赤裸裸地昭示著這些檢測和事件響應方法必須改善。

隨著攻擊者繼續使用社會工程和社交網絡來鎖定敏感角色或公司內部人士，全面安全教育的需求變得比以往更加緊迫。

如果安全策略和技術不將此類攻擊方法納入考慮，勒索軟件將持續滲入。還有檢測問題。有些攻擊者能在公司環境中暢游數月之久，而網絡、邊界、終端和數據安全系統及過程之間的隔絕卻限制了公司預防、檢測和響應高級攻擊的能力。

最后，新的攻擊界面，比如說：IaaS、SaaS和IoT。這些東西太新了，公司企業還沒弄清保護它們安全的最佳方法。

5. 駐留時間看不到多大改善

駐留時間——從攻擊成功到被受害者發現的時間間隔，在2017年不會看到任何改善。某些極端案例中，駐留時間甚至能達2年之久，給公司造成數每次泄露百萬美元的損失。

為什么會這么久？原因令人無奈的簡單——幾乎沒有對真正攻擊活動檢測的關注。隨著惡意軟件時代的到來，公司、廠商和個人都繃緊了‘把壞人攔在門外’的弦，整個行業快速成長，專注于兩個基本主題：“深度防御”——用層次化預防戰術讓從外部滲透變得更難；以及“惡意軟件識別”——已證明自身是朝向100%檢測率的軍備競賽。

響應技術和修復能力都有了進步，受害者可以快速隔離和修復攻擊所造成的損害。但是，問題在于，這些技術對減少駐留時間沒什么卵用；除非響應團隊偶然遇到了某些惡意事件，或者意外發現了某個異常。

時至今日，安全人員使用網絡設備日志文件來搜索攻擊是否發生或已成功的線索，但存儲和分析這大量數據是花費巨大且低效的。

大量數據存儲和大規模分析引擎的需求，驅動了新安全信息和事件管理(SIEM)產業。但是，盡管SIEM是個很好的事后鑒證工具，卻依然對發現實時進行中的攻擊毫無效果。分析原始網絡流量以發現攻擊指征或許會有所幫助。在黑客攻擊邊界或設備防護層時，或者在他們作為無辜/惡意內部人士完全繞過防護措施后盡快發現他們，將大幅縮短他們的駐留時間。

6. 手機作為切入點的數據泄露將持續上升

2017年，至少會有1起(大概會更多)重大企業數據泄露事件由手機導致。波耐蒙研究所一份報告發現，對一家企業而言，手機數據泄露的經濟風險可高達2640萬美元。該項調查中67%的受訪企業報告稱，曾因員工使用手機訪問公司的敏感和機密信息而導致數據泄露。

當今世界的人員及其手機都流動得太快太頻繁了，老一套網絡安全策略很難起效。而且，隨著用戶對其所選手機權利意識的增長，漏洞利用形勢堪稱成熟。

很多用戶覺得自己能在對公司和個人服務的持續訪問中保護好自身隱私。還有很多人絲毫不覺得自己是安全事件責任人；如果他們能規避“安全”以改善用戶體驗，他們會的。CISO、CIO和CEO將之視為實現企業安全策略的復雜挑戰，而且是不能用通過SSL發送電子郵件和日程安排到單一指定OS能解決的。

手機支付，也將成為安全責任的一方面。MasterCard的“自拍支付”和英特爾的人臉識別解鎖軟件 True Key 只是冰山一角。個人應當明白，自身生物特征數據應像其他財務和私密數據一樣得到妥善保護。而這，又落到了教育和培訓的身上。

公共WiFi接入提供商像香煙盒上印制“吸煙有害健康”標語一樣豎起互聯網安全警示牌或許會比較好。比如說，“警告：本公共接入連接不安全，您收發的信息有可能被罪犯偷看、收集并用以盜取您的資產、身份或私密信息。”

7. IoT = 威脅網？

IoT漏洞和攻擊還會繼續增長，對各類安全措施的標準化需求亦然——今年DefCon上的黑客展示了47個新漏洞，影響21個廠家的23種設備。

還有，今年10月讓包含推特、Netflix、Reddit和英國政府網站在內世界主要站點掉線的大規模DDoS攻擊，據說也是由不安全IoT設備組成的Mirai僵尸網絡造成的。

投放到“智能設備”上的大量關注正好印證了IoT日益擴張的影響力。現實卻是，聯網設備未必是智能設備。聯網的“東西”，通常因其簡單性而是“即發即棄”沒有后續維護的，或者干脆就是我們根本不知道的一些內置功能或工具——就像Mirai僵尸網絡中使用的那些路由器。這導致了一種無視這些“啞”設備的思維，根本沒注意到這些設備雖然“悶不吭聲”，卻是連接到聯通全球的互聯網上的。

這還不僅僅是小型消費級設備，甚或智慧家居或智慧汽車的問題。更令人不安的，是對廣泛使用的大型基礎設施系統的攻擊，比如電網、航空電子設備或鐵路系統。

聯網噴頭忽冷忽熱都是小問題，2017年遭遇電網或交通系統大型黑客事件的極高可能性才令人擔憂。這些來自50或60年代的技術依然在為關鍵基礎設施系統服務，而且幾乎完全沒有防護，這才是實實在在一點就爆的“啞”IoT。

其實這是個認知問題。普羅大眾似乎不認為這些系統與他們日益頻繁使用的IoT設備類似——甚至手機都能落入該分類范疇。

就像之前的智能手機，IoT設備被認為是新的、獨立的一類東西，不屬于老一代技術范疇，不受過往技術的限制。但這種想法很是荒謬：智能手機根本是最常見最廣泛的互聯網設備。IoT則是下一個大規模風行的東西。有些公司這次稍微前瞻了一點點，試圖摒除掉IoT上類似手機當前面臨的那些安全問題。目前為止，采取的行動還是又落回了預防上，但每個設備/連接都是可被攻擊的。縮短駐留時間和保護IoT安全，取決于能否盡快以最高置信度報出這些不可避免的攻擊所發生的時間。