1. 更多的IOT意味著更多的DDOS攻擊
2008年,IBM提議智能城市建設,就是所謂的Smart City。之后,越來越多的科技會議都在探討研究Smart City這個理念。要建設Smart City,首先離不開的就是IOT(Internet of Things)。傳統(tǒng)的網(wǎng)絡已經(jīng)不能滿足人類的需求,因此物聯(lián)網(wǎng)時代誕生了。攝像頭要聯(lián)網(wǎng),監(jiān)控系統(tǒng)要聯(lián)網(wǎng),汽車要聯(lián)網(wǎng),工控設備要聯(lián)網(wǎng),甚至人也要聯(lián)網(wǎng)等,而這幾年也是物聯(lián)網(wǎng)時代的一個元年。但是,IOT的安全卻不容樂觀。2016年10月,美國DNS服務商遭到大型DDOS攻擊,而這些攻擊流量大部分都是從被入侵的IOT設備發(fā)出來的。隨后,德國電信又遭到大型DDOS攻擊,超過90萬臺路由器下線,其攻擊流量也是從被入侵的IOT設備中發(fā)出的。隨后新加坡等數(shù)個東南亞國家相繼遭受到大范圍的DDOS攻擊。2017年,如果IOT廠商和用戶還不注重這方面的安全,那么2017年或有可能產(chǎn)生有史以來最大范圍和流量的DDOS攻擊。
2. 數(shù)據(jù)盜竊
春節(jié)來臨之前,全球眾多廠商的Mongo DB,ES等未做登陸驗證的數(shù)據(jù)庫遭到黑客入侵。黑客拖下數(shù)據(jù)備份,并且刪除線上服務器的數(shù)據(jù)以此來進行勒索。這只是其中一個例子,2017年,個人數(shù)據(jù),金融數(shù)據(jù)等將是數(shù)據(jù)盜竊團伙的首要目標。特別是近幾年,大量的廠商開始推行Saas平臺,一旦Saas平臺遭到入侵,數(shù)據(jù)盜取量是十分驚人的。2016年,Yahoo以10億數(shù)據(jù)泄露的代價成為史上最佳數(shù)據(jù)泄露的互聯(lián)網(wǎng)企業(yè),每年數(shù)據(jù)泄露的數(shù)量都在大幅度上升。值得慶幸的是《中國國家網(wǎng)絡安全法》已經(jīng)發(fā)布,該法案將在2017年6月份開始執(zhí)行。該法案對于企業(yè)和政府安全基礎建設有著極大的推動力。或許在執(zhí)行該法案后,中國地區(qū)數(shù)據(jù)盜竊量會有所下降。
3. Web程序?qū)⒃馐艿礁嗟墓?/strong>
雖然WAF發(fā)展已經(jīng)有數(shù)年的時間,但是WAF其主要作用還是在DDOS,SQL注入,XSS等常規(guī)攻擊上做維護。不過,像權限繞過,SSRF, CSRF等邏輯漏洞是無法用安全產(chǎn)品來進行維護的。2017年,眾測平臺將會有較大的發(fā)展,單純靠機器挖掘漏洞已經(jīng)不能滿足于需求,人工檢測漏洞的服務數(shù)量或許會大幅度上升。
4. 網(wǎng)絡勒索繼續(xù)來襲
2017年,網(wǎng)絡勒索的數(shù)量和方式會有較大的提升。主要勒索類型為:軟件勒索,數(shù)據(jù)勒索和DDOS勒索。
勒索軟件將會跨平臺進行勒索,除了針對個人PC的勒索外,還有移動端勒索軟件,工控設備勒索,服務器系統(tǒng)勒索軟件等。這些勒索軟件普遍采用RSA對系統(tǒng)內(nèi)的文件進行加密,除了暴力破解和付費,別無其它方法。針對這個類型的攻擊,除了用戶和員工的安全意識培養(yǎng)以外,還需要在相關的安全基礎建設外下功夫,比如病毒防火墻,云查殺,沙箱查殺等。
近幾個月,數(shù)據(jù)勒索事件也開始增加。2016年年底,大量的ES,Mongo DB數(shù)據(jù)由于未做驗證,導致黑客可以進行未授權訪問這些數(shù)據(jù)庫。黑客拖下數(shù)據(jù)之后做備份,并且刪除了數(shù)據(jù)服務器上的一切數(shù)據(jù)以此來做勒索。應對這種勒索方式,廠商需要提前做好云備份或者實時備份措施,同時需要對數(shù)據(jù)庫登陸口令進行檢測,杜絕弱口令和無口令的情況發(fā)生。
2016年OVH服務器供應商遭到了1Tbps的IOT DDOS攻擊。由于市面上大量IOT設備存在諸多漏洞,所以黑客可以擁有一個非常強大并且穩(wěn)定的肉雞集群。或許在2017年,會有多家互聯(lián)網(wǎng)企業(yè)遭受DDOS勒索攻擊。
5. 自己都不知道的密碼才是最安全的密碼
千萬防火墻,毀于abc123。互聯(lián)網(wǎng)上最大的漏洞不是在于軟件,而是在于人。復雜的密碼記不住,簡單的密碼又容易被破解。2017年,密碼枚舉可以算作十大網(wǎng)絡安全問題之一。為了解決這個問題,IDaaS(身份即服務)誕生了,非常可惜的是,洋蔥IDaaS在前不久因為資金問題,宣布解散。目前的安全市場,做IDaaS缺的不是方向,也不是技術,而是時間和成熟的“土壤”,而IDaaS市場的春天預計是在三年后。除了IDaaS以外,還有各式各樣的認證模式也在發(fā)展當中,比如二維碼認證,指紋認證,人臉認證等。
6. Flash?算了吧
每年Flash都會給我們各種0day大禮包。2015年,Hacking Team泄露了三個flash的漏洞,2016年,又爆出了CVE-2016-1019和CVE-2016-4117。這兩年來,F(xiàn)lash的漏洞總是被CVSS定義為高危漏洞。特別是前幾個月,方程式小組被Shadow Brokers 入侵,不知道里面的0day會不會有Flash的。 2017年,估計還會有新的Flash漏洞爆出來。
感謝Adobe給我們提供Flash那么多年,但是它真的老了,可以退休了。2017年,棄Flash,保平安。
7. 日防夜防,家賊難防
現(xiàn)有的安全產(chǎn)品,主要是針對外部的網(wǎng)絡攻擊,但是針對內(nèi)部威脅的安全產(chǎn)品卻非常少。早在2007年,就有人提出內(nèi)部威脅成跨國公司網(wǎng)絡安全最大挑戰(zhàn)。 2016年,中國某科研人員偷賣90項國家絕密情報被判死緩。隨著安全市場的飛速發(fā)展,目前外部入侵需要花費很大的成本和精力,從內(nèi)部攻擊則有很大的優(yōu)勢。內(nèi)部威脅,有些是隨機性的,有些是計劃性的,有些是遠程性的。要對內(nèi)部威脅做防護,最大的痛點不是在于系統(tǒng),而是在于人,管理人比管理系統(tǒng)還要復雜得多。因此,2017年,內(nèi)部威脅將是安全市場的一大挑戰(zhàn)。
8. 安全人才缺口巨大
2016年,中國網(wǎng)絡安全人才缺口在50萬左右,預計到2020年這個數(shù)字會增長到140萬。但是近三年來,全國高校只輸出了3萬左右的安全人員。現(xiàn)有的安全人才數(shù)量遠遠跟不上市場的需求量。沒有人,任何安全維護都是空談。安全人才短缺是一個全球性的問題,美國也是如此。2015年開始,美國各大企業(yè)已經(jīng)和眾多高校合作,建立人才培養(yǎng)基地,培養(yǎng)持續(xù)網(wǎng)絡教育的環(huán)境,并且針對安全人才提供穩(wěn)定就業(yè)機會和發(fā)展空間。根據(jù)Security Intelligence的調(diào)查,在硅谷網(wǎng)絡安全人才的失業(yè)率目前保持在百分之零。2017年,中國安全市場最大的挑戰(zhàn)不在于技術,而是在于安全人才的培養(yǎng)。
總結(jié)
2016年很危險,2017年會更危險。
網(wǎng)絡安全,任重道遠。
祝大家新的一年,繼續(xù)加油!
* 本文作者:耿浩然@彩云安全(企業(yè)帳號),轉(zhuǎn)載請注明來自FreeBuf.COM