2月4日消息,據國外媒體報道,信息安全和隱私似乎是永恒的熱門(mén)話(huà)題,近幾個(gè)月出現了不少高調的網(wǎng)絡(luò )攻擊和暴行,這導致全世界的中心再次關(guān)注于圍繞數據保護、加密、隱私和監控的話(huà)題。這些占據新聞頭條的事件涉及了政府、企業(yè)和其它組織、家庭和個(gè)人的數據泄露。網(wǎng)絡(luò )安全問(wèn)題近期出現在世界上最顯著(zhù)的平臺之一上——美國年度國情咨文,美國總統奧巴馬表示:“沒(méi)有任何國家或者黑客應該關(guān)閉我們的網(wǎng)絡(luò ),竊取我們的商業(yè)機密或者侵犯美國家庭隱私。我們正在確保政府聯(lián)合情報機構打擊網(wǎng)絡(luò )威脅,正如我們對抗恐怖主義一樣。今晚,我催促?lài)鴷?huì )通過(guò)法案以更好打擊日益猖獗的網(wǎng)絡(luò )攻擊和身份竊盜,保護兒童的隱私信息。如果我們不積極行動(dòng)起來(lái),我們的國家和經(jīng)濟將面臨威脅。但如果我們有所作為,我們就能繼續保護造福于全世界人民的科技。”
那些非法竊取在線(xiàn)信息和通訊的黑客以及試圖保護信息安全的人們已經(jīng)陷入一場(chǎng)軍備競賽。每一年都會(huì )發(fā)生各種黑客攻擊,日益進(jìn)化的網(wǎng)絡(luò )技術(shù)導致安全行業(yè)努力利用現有工具抵抗攻擊,同時(shí)收集有關(guān)新威脅的情報。用戶(hù)也是這一問(wèn)題的一部分,他們粗心或者惡意的網(wǎng)絡(luò )行為讓黑客有機可乘,或者直接導致網(wǎng)絡(luò )漏洞。
2014年頂級安全漏洞
根據電子郵件收發(fā)和網(wǎng)絡(luò )安全解決方案的領(lǐng)先供應商AppRiver,以下是美國2014年的某些主要的安全漏洞:
這還不算全部的名單,但很明顯組織性越來(lái)越強的網(wǎng)絡(luò )罪犯正從企業(yè)和其它公司里竊取大量機密數據。當出現安全漏洞時(shí),公司或組織擔心的并不是丟失寶貴/敏感的數據,而是品牌或者聲譽(yù)遭遇巨大損失,而這需要大量時(shí)間和金錢(qián)來(lái)修復。
2014年最高調的網(wǎng)絡(luò )攻擊是11月索尼影視娛樂(lè )有限公司(Sony Pictures Entertainment,以下簡(jiǎn)稱(chēng)索尼影視)被自稱(chēng)為“和平衛士”(Guardians of Peace,簡(jiǎn)稱(chēng)GOP)的黑客組織竊取公司數據。竊取的100TB數據包含雇員信息(據稱(chēng)包含了47000份社會(huì )保險號)。索尼影視被黑客攻擊也有政治因素,因為GOP黑客組織要求索尼影業(yè)取消電影《刺殺金正恩》的上映,后者是一部有關(guān)密謀刺殺朝鮮領(lǐng)導人金正恩的喜劇。盡管GOP黑客組織的身份目前仍是個(gè)謎,但美國政府將矛頭指向朝鮮,但后者拒絕承認與黑客攻擊有關(guān)。
2015安全預測
供應商、分析師和權威人士每年年初都會(huì )對接下來(lái)12個(gè)月的網(wǎng)絡(luò )安全進(jìn)行預測。盡管有些人對“談?wù)?rdquo;這一話(huà)題饒有興趣,但不可否認,安全和隱私已經(jīng)是企業(yè)、組織、個(gè)體和政府議程中非常重要的一部分。因此我們調查17個(gè)組織發(fā)表的前瞻性文章并將產(chǎn)生的130項預測分為以下幾類(lèi):
名單之首是“新型攻擊媒介和平臺”和“現有網(wǎng)絡(luò )安全解決方案的進(jìn)化”,這兩類(lèi)展示了網(wǎng)絡(luò )安全軍備競賽的現實(shí)。在第一類(lèi),好幾名評論員強調了“廣泛使用的舊代碼里的新漏洞”(卡巴斯基實(shí)驗室),例如Heartbleed/OpenSSL和Shellshock/Bash,而企業(yè)移動(dòng)管理市場(chǎng)領(lǐng)導者Sophos表示IPv6協(xié)議里的漏洞以及UEFI豐富的啟動(dòng)環(huán)境里rootkit和bot可能會(huì )產(chǎn)生新的攻擊媒介。蘋(píng)果是主要被標記的新平臺,例如FireEye認為“蘋(píng)果日益增長(cháng)的企業(yè)足跡意味著(zhù)惡意軟件編寫(xiě)者將適應它們的工具箱”。近期銷(xiāo)售數字只會(huì )更加刺激黑客對蘋(píng)果產(chǎn)品的“垂涎欲滴”。
大部分預測屬于第二類(lèi)(“現有網(wǎng)絡(luò )安全解決方案的進(jìn)化”),包括Immuni Web的觀(guān)點(diǎn):如果單獨使用或者沒(méi)有人為干預“自動(dòng)化安全工具和解決方案將不再高效”。全球性網(wǎng)絡(luò )安全設備供應商Fortinet認為黑客將規避沙盒技術(shù),并通過(guò)“在攻擊中加入不相關(guān)內容阻礙調查者或者蓄意栽贓不相關(guān)的黑客”來(lái)轉移調查者的注意力。同時(shí)互聯(lián)網(wǎng)數據中心(IDC)分析師預測“到2017年,90%的企業(yè)的終點(diǎn)將是利用某種形式的硬件保護以確保企業(yè)的完整性”和“到2018年,25%的之前單獨購買(mǎi)的安全應用程序將直接集成到企業(yè)的應用程序里”。
好幾個(gè)預測類(lèi)型都指出了特定的新攻擊類(lèi)型和平臺,尤其是物聯(lián)網(wǎng)、移動(dòng)科技、社交網(wǎng)絡(luò )、大數據和分析、云服務(wù)、零售終端和支付系統、網(wǎng)絡(luò )技術(shù)、開(kāi)源軟件、第三方攻擊和惡意廣告。這顯示了隨著(zhù)整個(gè)世界通過(guò)網(wǎng)絡(luò )相連,黑客攻擊的機會(huì )越來(lái)越多,例如近期發(fā)現的一個(gè)弱點(diǎn)使得通過(guò)基于Linux的控制軟件就可以劫持無(wú)人機(或者無(wú)人駕駛飛行器)。
在第三類(lèi)IoT里,整合Web、信息和數據安全防護解決方案提供商Websense指出“你的冰箱不是一個(gè)IT威脅,工業(yè)傳感器才是。”也就是說(shuō),網(wǎng)絡(luò )罪犯更可能攻擊自動(dòng)化行業(yè),例如發(fā)電或者油氣開(kāi)采里的M2M通訊,而非試圖“融化你的智能冰箱里的黃油或者煮沸牛奶”。Sophos對此表示贊同,它表示“ICS/SCADA與現實(shí)世界安全之間的差距只會(huì )越來(lái)越大。”在IoT這一欄的另一端,市場(chǎng)調研公司Forrester預測2015年“一個(gè)可穿戴設備的數據泄露會(huì )刺激聯(lián)邦貿易委員會(huì )FTC采取行動(dòng)”——而那些想要實(shí)施基于可穿戴設備的員工健康項目的企業(yè)應該三思了。
很多評論員表示第四類(lèi)的移動(dòng)平臺將日益吸引黑客和網(wǎng)絡(luò )罪犯的注意力,尤其是現在移動(dòng)支付系統,例如Apple Pay已經(jīng)日益成熟。Websense也認為黑客將以移動(dòng)設備為目標,“不僅是為了攻破手機密碼并從設備里竊取數據,更是作為一種媒介獲取設備在云端存儲的日益增多的數據資源”。
社交網(wǎng)絡(luò )是黑客日益關(guān)注的另一個(gè)焦點(diǎn),正如企業(yè)資安防護技術(shù)全球廠(chǎng)商BigCoat表示:“攻擊工具將從社交網(wǎng)絡(luò )里獲得信息而以更好地方式實(shí)現個(gè)性化攻擊。大多數攻擊目標都有一定的社會(huì )背景,這增加了功效和簡(jiǎn)易性。黑客將利用他們對攻擊目標的了解來(lái)獲取至關(guān)重要的系統和數據。”
至于大數據和分析,商業(yè)軟件廠(chǎng)商Varonis Systems警告salami攻擊(一次只竊取一小部分資產(chǎn))的興起:“即使加密或者匿名化后,通過(guò)社交網(wǎng)絡(luò )、信用卡交易、網(wǎng)絡(luò )攝像頭和數字足跡收集的大量數據可以拼湊成一張令人感到害怕的完整畫(huà)面。這不僅威脅了個(gè)體,也威脅了政府組織、企業(yè)和業(yè)務(wù)合作伙伴……2015年,一個(gè)重要的大數據舉措將受到salami攻擊的阻礙”。而另一個(gè)積極方面便是,美國軟件公司賽門(mén)鐵克預測“機器學(xué)習將成為對抗網(wǎng)絡(luò )犯罪的游戲改變者。”
云服務(wù)是網(wǎng)絡(luò )安全的另一個(gè)戰場(chǎng),Varonis Systems認為“云和基礎設施即服務(wù)(IaaS)公司將就它們管理和保護數據的能力彼此競爭,同時(shí)為顧客提供提高生產(chǎn)率的功能性……無(wú)法提供相同程度的訪(fǎng)問(wèn)控制、數據保護和提高生產(chǎn)率的云公司將無(wú)法獲得顧客最至關(guān)重要的數據”。與此同時(shí),IDC認為安全軟件本身應該進(jìn)入云:“企業(yè)將把安全軟件作為一種服務(wù)(SaaS)。在2015年底,15%的安全保障將通過(guò)SaaS來(lái)提供,到2018年這一比例將達到33%。”
好幾名評論員注意到2014年零售商面臨的大量高調攻擊——這一趨勢預計在2015年將繼續延續:“黑客以零售ATM機為目標(卡巴斯基實(shí)驗室)”;“零售漏洞——2014年只是冰山一角”(Damballa)。因此,Forrester預測“2015年零售安全預算將翻倍”。2015年預測的其它新型攻擊方式包括開(kāi)源軟件和脆弱的第三方,例如供應鏈的連接或者惡意軟件感染的廣告(惡意廣告)。
高調的安全漏洞還將持續成為2015年的新聞熱點(diǎn)(“顯著(zhù)的數據泄露將導致網(wǎng)絡(luò )安全問(wèn)題持續受到關(guān)注”——賽門(mén)鐵克)。然而,Websense尤為關(guān)注健康數據,這主要是考慮到“沒(méi)有任何類(lèi)型的記錄能包含這么詳盡的個(gè)人驗證信息(PII),后者可以被用于一系列的后續攻擊和各種類(lèi)型的詐騙”。
加密和隱私仍出現在2015年的安全預測里。據BlueCoat表示,加密是把雙刃劍:“使用加密將繼續保護顧客隱私。而隱匿在加密之后的惡意軟件將躲避大多數企業(yè)的檢測,這些企業(yè)試圖在員工隱私和加密背后隱藏的攻擊之間找到平衡點(diǎn)”。例如Sophos從政治角度談到:“隨著(zhù)情報局監視以及數據泄露被披露,公眾的安全意識和隱私擔憂(yōu)越來(lái)越強烈,加密最終將變成某種默認狀態(tài)。某些組織,例如法律部門(mén)和情報局可能對此不滿(mǎn),因為他們認為這對安全性將產(chǎn)生有害的影響。”
好幾項預測主要是監管、承諾和網(wǎng)絡(luò )保險的聯(lián)合。在安全泄露通知法律問(wèn)題上,Varonis Systems強調了中部-大西洋分化:“在歐盟的數據將更安全(這多虧了數據保護條例),但是在美國呢?”這一問(wèn)題再次強調了Nephapsis的預測“一家美國公司將卷入重大的歐盟數據泄露事件”。顧客信息泄露后“上百萬(wàn)美金的罰款和起訴”的前景導致Forrester預測”1億美金的網(wǎng)絡(luò )保險將成為規范,“這一觀(guān)點(diǎn)得到了FireEye的回應。
好幾名評論員也提到了組織安全策略的進(jìn)化。FireEye認為“越來(lái)越少的企業(yè)會(huì )運行自己的安全運營(yíng)中心(SOC)”,企業(yè)應該“從和平時(shí)期轉向戰時(shí)心態(tài)”,雖然網(wǎng)絡(luò )安全問(wèn)題導致IDC預測“截止2018年,75%的首席安全官CSO和首席信息安全官CISOs將向公司CEO,而非首席信息官CIO直接匯報”。
FireEye和Damballa也重點(diǎn)強調了高級隱形網(wǎng)絡(luò )攻擊的情報偵測及預防,這倆家公司致力于為這一領(lǐng)域提供專(zhuān)業(yè)的解決方案。FireEye認為企業(yè)將資金轉向投入“高級監測、響應和取證”,而Damballa表示2014年下半年組織投資了“威脅監測和響應”并預測這一趨勢將在2015年延續。
國家贊助以及政治驅使的攻擊類(lèi)型也被一些評論員提及:“黑客們將坐在電腦前開(kāi)展新型的網(wǎng)絡(luò )戰”(Websense);“間諜軟件(espionageware)的崛起”(BlueCoat);“網(wǎng)絡(luò )間諜攻擊將會(huì )繼續并且以更高頻率發(fā)生”(McAfee);“以政治報復為目的的黑客將會(huì )攻擊普通公民”(Neohapsis);Websense提醒網(wǎng)絡(luò )戰爭/恐怖主義將會(huì )更多地由所謂的無(wú)附屬單位的個(gè)體所主導,他們雖然與政府無(wú)關(guān),但卻打著(zhù)支持民族國家事業(yè)的口號。
勒索軟件(Ransomware),一種黑客用于劫持用戶(hù)資產(chǎn)或資源并以此為條件向用戶(hù)勒索錢(qián)財的惡意軟件,被預測在未來(lái)將以更大的范圍和更高的頻率出現。BlueCoat預測勒索軟件將會(huì )對受感染的用戶(hù)要價(jià)更高。Lancope認為未來(lái)將出現勒索軟件膨脹;賽門(mén)鐵克預計詐騙份子將繼續開(kāi)發(fā)這種以敲詐勒索為目的的軟件;McAfee更是認為勒索軟件會(huì )在攻擊手段、加密方法以及目標用戶(hù)選擇上更智能。
剩余的預測類(lèi)型包括生物測定學(xué)、多因素認證、網(wǎng)絡(luò )犯罪和網(wǎng)絡(luò )安全技能,令人驚訝的是后者只被提到了一次,Sophos表示“全球技能的間隔將繼續增大,其中應急響應和教育是關(guān)鍵重心”。
展望
有關(guān)網(wǎng)絡(luò )安全有一件事是肯定的:公司只依賴(lài)防火墻和安裝殺毒軟件來(lái)保護網(wǎng)絡(luò )安全是遠遠不夠的。首席安全官和首席信息安全官需要持續監測進(jìn)化的威脅,將“如果我們被攻擊”的觀(guān)點(diǎn)轉變?yōu)?ldquo;當我們被攻擊了”的狀態(tài)。
公司組織的社會(huì )、移動(dòng)、大數據、云服務(wù)以及其它數字化轉換策略毫無(wú)疑問(wèn)將面臨新型網(wǎng)絡(luò )攻擊,后者將不斷的測試目前的網(wǎng)絡(luò )安全工具箱——防火墻、殺毒軟件、VPN、入侵檢測/保護系統、高級威脅防護等等。如果這些還不夠,那么需要投資新的防護措施、技能熟練的員工來(lái)操作它們以及投資網(wǎng)絡(luò )保險。
