2013年曾被安全专家称为“大规模数据泄露”时代,而2014年发现的严重漏洞 Heartbleed和Shellshock也说明安全行业需要不断保持对新型威胁的高度警惕。所有迹象表明,在即将到来的2015年里,安全行业的紧张局势将不断加深,制造新型威胁并利用漏洞和抵御安全威胁的对立双方之间的战争将愈演愈烈。物联网应用的发展意味着消费者将进一步通过网络连接设备、数码配件以及机器等,而这也将导致新一轮的安全隐患。
未来,物联网是否会引发新一轮的安全攻击?随着全球各国逐步推进智慧国家长期发展计划,大数据将会扮演什么样的角色?移动安全领域又会面对怎样的变化?针对亚太地区及日本所面对的网络安全问题,赛门铁克最新发布的2015年十大威胁趋势预测将帮助政府机构、企业以及个人消费者,全面了解未来安全的发展趋势,以更好应对潜在的安全威胁。
(1)对物联网 (IoT) 的攻击将聚焦智能家居自动化
随着智能家居自动化在亚太地区和日本消费者中的兴起,赛门铁克预测商品化的“即插即用”设备将会被网络犯罪分子利用,其中包括用于警报、照明和恒温控制的 CCTV 摄像头和远程门禁控制设备。
当前,嵌入式小型设备的应用范围越来越广,但鲜有企业在部署这些设备时充分考虑网络安全因素。这些设备通常不具备一般台式机的计算能力和内存,并且系统资源有限。
搜索引擎支持用户在线搜索那些具有网络功能的设备,从安全摄像头到汽车、家庭供暖系统等。尽管搜索引擎不会引起漏洞,但却能够使网络犯罪分子更轻松地发现物联网设备,找到可攻击目标并加以利用,以近期有关 Insecam.com 的新闻为例,据说该网站建立在俄罗斯,并向全世界“直播”世界各地IP 摄像头的影像信息。
可以说,我们不会看到利用物联网的大规模攻击,但是攻击者会针对家庭路由器、智能电视和互联汽车应用等互联设备进行一次性攻击,以获取敏感和隐私信息。
(2) 移动设备将成为更具有吸引力的目标
移动设备将继续成为网络攻击者的完美攻击目标,尤其是移动设备存储了大量的用户个人隐私信息,并且设备一直保持开机状态。
移动设备的价值正在逐渐增高,尤其是移动运营商和零售提供商正在逐步将支付方式过渡到移动支付。以Apple Pay为例,某些薄弱环节曾经为近期针对PoS系统的攻击打开了方便之门,虽然Apple Pay的确可以弥补这些薄弱环节,但这不应当成为掉以轻心的理由。赛门铁克认为,一旦某个攻击途径被堵住,攻击者往往会找寻其他弱点。倘若Apple Pay成为支付方法,攻击者很可能会针对NFC支付的安全性发起猛烈的攻击测试。
(3)机器学习将扭转网络犯罪斗争的格局
随着机器学习和大数据的融合,新一代的业务平台正在诞生,并将扭转网络安全格局。机器学习是一种深度学习形式,可以被看做人工智能的第一步。面对威胁,我们必须保持“主动性”,而不是对威胁作出被动反应。机器学习将使安全厂商比网络犯罪分子领先一步。机器学习拥有预测网络攻击的能力,能够提升检测率,这可能是扭转网络犯罪趋势的关键点。
(4)移动应用将继续牺牲用户的个人隐私
赛门铁克认为,一些移动用户将继续以自己的隐私为代价,交换移动应用的使用。尽管许多互联网用户并不愿意在网上分享银行和个人身份信息,但另一些人却愿意分享自己的位置信息、移动设备电池寿命、并允许移动应用访问照片、联系人列表和健康等信息。
许多消费者在下载应用时根本不知道自己同意了什么条款。例如,诺顿调查显示,尽管千禧一代用户可能认为自己了解允许移动应用可访问的内容,但事实上,在用个人信息交换应用使用方面上,用户其实并不清楚自己同意了什么条款。
(5)诈骗分子将继续通过有利可图的勒索软件进行诈骗
赛门铁克《互联网安全威胁报告》显示,在2013 年下半年,勒索软件的攻击次数增加了 5 倍并显现出愈演愈烈的趋势。很大程度上,这种快速增长是由Ransomcrypt,也被称为Cryptolocker的恶意软件造成的。在10月份,55%的威胁都是由这种攻击力迅猛的勒索软件造成的。这种勒索软件会加密用户文件,然后要求用户提供赎金来解密文件。勒索软件对企业的危害更大,这不仅仅是因为受害人的文件会被加密,共享或关联网络驱动器上的文件也会被加密。
挟持加密文件以索取赎金并非是全新的伎俩,但事实证明,对于诈骗分子而言,如何得到赎金是一个难题。近期的勒索软件制造者已经开始利用网络和电子支付系统解决以上问题。例如,通过使用Bitcoins、Webmoney、Ukash、 greendot (MoneyPak) 等即时可用的途径,诈骗分子利用电子支付的相对匿名性和便利性,使企业和消费者面临丢失数据、文件或宝贵记忆等更大风险。
(6)2014年发生的大型数据泄露事件让网络安全继续成为 2015 年的关注重点
鉴于全球互联网和云基础结构的互联性特点,跨境数据传输不可避免,并且需要得到妥善的解决。2015年将迎来“个人数据保护法”的改进,尤其在亚太地区,这是因为该法案对人们的生活产生了实际影响,使个人和企业对网络安全和网络犯罪拥有正确的防范意识。
(7)分布式拒绝服务 (DDoS) 的威胁将更趋向严重
2014 年还呈现出另外一种趋势,即受攻击的 Unix 服务器的数量以及在DDoS攻击中被占用的带宽资源不断上升。攻击者的动机各不相同,主要原因包括黑客行为、利益和争端。考虑到大规模DDoS攻击的轻易程度,赛门铁克预测未来面向DDoS攻击将继续增长,遭遇短而密集的 DDoS攻击的可能性将会增加。
(8)安全性超越密码范畴,用户行为将成为焦点
由于密码系统频繁遭到网络犯罪的攻击,安全厂商和提供商正在面临日趋严峻的挑战——在为用户提供无缝体验的同时,平衡便利性和复杂度。采用一次性密码或虹膜、指纹扫描等多因素身份验证技术可以成为安全维护的替代方法,但这些方法也并非是最安全的选择。保护重要信息的真正解决方案在于用户行为,而最终问题更在于我们如何保护个人在线资产和身份信息免受入侵威胁。
(9)云将为我们打开无限广阔的空间
2015年,我们将看到越来越多的云托管数据。在发生这一转变时,企业需要更加严密地监管数据,并在执行云托管之前,确保数据经过处理。除此之外,脱离管理的遗留数据将持续累积,对企业或将构成长期威胁。对消费者而言,在2015年,云代表了远程托管的海量个人信息,围绕访问权限、控制和保护云中私有数据等话题所展开的讨论也将继续升级。
(10)通过加强企业联合协作,强化网络安全防线
孤军奋战是无法在对抗网络犯罪的战役中取胜的。世界各地的安全行业、电信服务运营商和政府部门正在联手打击网络犯罪。安全行业是世界上拥有“对抗行业”的少见行业之一,前者坚持不懈地要击垮后者。这也是为什么在对抗网络犯罪的战役中,获得胜利需要采取不同的方法和举措。2015 年,攻击者将继续寻找新的漏洞以“占领阵地”,开源平台将继续通过更紧密的行业协调、协作和响应来应对这些漏洞。赛门铁克认为,这是一个积极的现象,开源平台的未来将会更加美好。