2017年全球8大網路安全威脅趨勢預測
1. 更多的IOT意味著更多的DDOS攻擊
2008年,IBM提議智能城市建設,就是所謂的Smart City。之後,越來越多的科技會議都在探討研究Smart City這個理念。要建設Smart City,首先離不開的就是IOT(Internet of Things)。傳統的網路已經不能滿足人類的需求,因此物聯網時代誕生了。攝像頭要聯網,監控系統要聯網,汽車要聯網,工控設備要聯網,甚至人也要聯網等,而這幾年也是物聯網時代的一個元年。但是,IOT的安全卻不容樂觀。2016年10月,美國DNS服務商遭到大型DDOS攻擊,而這些攻擊流量大部分都是從被入侵的IOT設備發出來的。隨後,德國電信又遭到大型DDOS攻擊,超過90萬台路由器下線,其攻擊流量也是從被入侵的IOT設備中發出的。隨後新加坡等數個東南亞國家相繼遭受到大範圍的DDOS攻擊。2017年,如果IOT廠商和用戶還不注重這方面的安全,那麼
2017年或有可能產生有史以來最大範圍和流量的DDOS攻擊
。
2. 數據盜竊
春節來臨之前,全球眾多廠商的Mongo DB,ES等未做登陸驗證的資料庫遭到黑客入侵。黑客拖下數據備份,並且刪除線上伺服器的數據以此來進行勒索。這只是其中一個例子,2017年,個人數據,金融數據等將是數據盜竊團伙的首要目標。特別是近幾年,大量的廠商開始推行Saas平台,一旦Saas平台遭到入侵,數據盜取量是十分驚人的。2016年,Yahoo以10億數據泄露的代價成為史上最佳數據泄露的互聯網企業,
每年數據泄露的數量都在大幅度上升
。值得慶幸的是《中國國家網路安全法》已經發布,該法案將在2017年6月份開始執行。該法案對於企業和政府安全基礎建設有著極大的推動力。或許在執行該法案後,中國地區數據盜竊量會有所下降。
3. Web程序將遭受到更多的攻擊
雖然WAF發展已經有數年的時間,但是WAF其主要作用還是在DDOS,SQL注入,XSS等常規攻擊上做維護。不過,像許可權繞過,SSRF, CSRF等邏輯漏洞是無法用安全產品來進行維護的。2017年,眾測平台將會有較大的發展,單純靠機器挖掘漏洞已經不能滿足於需求,人工檢測漏洞的服務數量或許會大幅度上升。
4. 網路勒索繼續來襲
2017年,網路勒索的數量和方式會有較大的提升。主要勒索類型為:軟體勒索,數據勒索和DDOS勒索。
勒索軟體將會跨平台進行勒索,除了針對個人PC的勒索外,還有移動端勒索軟體,工控設備勒索,伺服器系統勒索軟體等。這些勒索軟體普遍採用RSA對系統內的文件進行加密,除了暴力破解和付費,別無其它方法。針對這個類型的攻擊,除了用戶和員工的安全意識培養以外,還需要在相關的安全基礎建設外下功夫,比如病毒防火牆,雲查殺,沙箱查殺等。
近幾個月,數據勒索事件也開始增加。2016年年底,大量的ES,Mongo DB數據由於未做驗證,導致黑客可以進行未授權訪問這些資料庫。黑客拖下數據之後做備份,並且刪除了數據伺服器上的一切數據以此來做勒索。應對這種勒索方式,廠商需要提前做好雲備份或者實時備份措施,同時需要對資料庫登陸口令進行檢測,杜絕弱口令和無口令的情況發生。
2016年OVH伺服器供應商遭到了1Tbps的IOT DDOS攻擊。由於市面上大量IOT設備存在諸多漏洞,所以黑客可以擁有一個非常強大並且穩定的肉雞集群。或許在2017年,會有多家互聯網企業遭受DDOS勒索攻擊。
5. 自己都不知道的密碼才是最安全的密碼
千萬防火牆,毀於abc123。互聯網上最大的漏洞不是在於軟體,而是在於人。複雜的密碼記不住,簡單的密碼又容易被破解。2017年,密碼枚舉可以算作十大網路安全問題之一。為了解決這個問題,IDaaS(身份即服務)誕生了,非常可惜的是,洋蔥IDaaS在前不久因為資金問題,宣布解散。目前的安全市場,做IDaaS缺的不是方向,也不是技術,而是時間和成熟的「土壤」,而IDaaS市場的春天預計是在三年後。除了IDaaS以外,還有各式各樣的認證模式也在發展當中,比如二維碼認證,指紋認證,人臉認證等。
6. Flash?算了吧
每年Flash都會給我們各種0day大禮包。2015年,Hacking Team泄露了三個flash的漏洞,2016年,又爆出了CVE-2016-1019和CVE-2016-4117。這兩年來,Flash的漏洞總是被CVSS定義為高危漏洞。特別是前幾個月,方程式小組被Shadow Brokers 入侵,不知道裡面的0day會不會有Flash的。 2017年,估計還會有新的Flash漏洞爆出來。
感謝Adobe給我們提供Flash那麼多年,但是它真的老了,可以退休了。 2017年,棄Flash,保平安。
7. 日防夜防,家賊難防
現有的安全產品,主要是針對外部的網路攻擊,但是針對內部威脅的安全產品卻非常少。早在2007年,就有人提出內部威脅成跨國公司網路安全最大挑戰。 2016年,中國某科研人員偷賣90項國家絕密情報被判死緩。隨著安全市場的飛速發展,目前外部入侵需要花費很大的成本和精力,從內部攻擊則有很大的優勢。內部威脅,有些是隨機性的,有些是計劃性的,有些是遠程性的。要對內部威脅做防護,最大的痛點不是在於系統,而是在於人,管理人比管理系統還要複雜得多。因此,2017年,內部威脅將是安全市場的一大挑戰。
8. 安全人才缺口巨大
2016年,中國網路安全人才缺口在50萬左右,預計到2020年這個數字會增長到140萬。但是近三年來,全國高校只輸出了3萬左右的安全人員。現有的安全人才數量遠遠跟不上市場的需求量。沒有人,任何安全維護都是空談。安全人才短缺是一個全球性的問題,美國也是如此。2015年開始,美國各大企業已經和眾多高校合作,建立人才培養基地,培養持續網路教育的環境,並且針對安全人才提供穩定就業機會和發展空間。根據Security Intelligence的調查,在矽谷網路安全人才的失業率目前保持在百分之零。2017年,中國安全市場最大的挑戰不在於技術,而是在於安全人才的培養。
總結
2016年很危險,2017年會更危險。
網路安全,任重道遠。
祝大家新的一年,繼續加油!
* 本文作者:耿浩然@彩雲安全(企業帳號),轉載請註明來自FreeBuf.COM
※基於WAVSEP的靶場搭建指南
※安全廠商間真的能「數據共享,協同合作」嗎?
※使用Burpsuite代理和pypcap抓包進行搶紅包的嘗試
※勒索軟體終結者:勒索軟體,今天叔叔要教導你一些做人的道理!| 原創工具
※攻擊者使用「非惡意軟體」也能識別,來看看這個即將在RSA 2017上發布的新技術
TAG:FreeBuf |
※2017 年四大網路安全趨勢
※2017年網路安全五大趨勢
※2017全球網路安全指數:中國排名第32
※2017年加拿大C-59號國家安全法案:關於網路安全的部分
※全球最大5G網路!中國預計在7年內投入1800億美元
※2017年全球網路高危埠暴露指數,我國排名第21位
※IDC報道:到2020年全球網路安全市場每年平均增速達9%
※2017網路安全生態峰會
※網路安全市場調查:2017年Top15數據榜單
※網路安全法將於2017年6月1日起施行
※7年斥資1800億!中國要建全球最大5G網路
※上半年全球發生918起網路安全入侵事件 20億數據受影響
※429首都網路安全日之:CSA2017 吸睛新元素
※預計2017年美國網路旅遊銷售額接近1900億美元
※2017年網路高端展
※2017中國網路廣告市場年度綜合分析
※2017年全球企業網路最強大10家公司,華為第四名!
※上半年全球發生918起網路安全入侵事件,20億數據受影響
※預計2017年印度網路旅遊銷售額達到225.2億美元