版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
盤點:2015年需要關(guān)注的網(wǎng)絡(luò)安全問題
網(wǎng)絡(luò)安全問題近期出現(xiàn)在世界上最顯著的平臺之一上——美國年度國情咨文,美國總統(tǒng)奧巴馬表示:“沒有任何國家或者黑客應(yīng)該關(guān)閉我們的網(wǎng)絡(luò),竊取我們的商業(yè)機密或者侵犯美國家庭隱私。我們正在確保政府聯(lián)合情報機構(gòu)打擊網(wǎng)絡(luò)威脅,正如我們對抗恐怖主義一樣。今晚,我催促國會通過法案以更好打擊日益猖獗的網(wǎng)絡(luò)攻擊和身份竊盜,保護兒童的隱私信息。如果我們不積極行動起來,我們的國家和經(jīng)濟將面臨威脅。但如果我們有所作為,我們就能繼續(xù)保護造福于全世界人民的科技?!蹦切┓欠ǜ`取在線信息和通訊的黑客以及試圖保護信息安全的人們已經(jīng)陷入一場軍備競賽。每一年都會發(fā)生各種黑客攻擊,日益進化的網(wǎng)絡(luò)技術(shù)導(dǎo)致安全行業(yè)努力利用現(xiàn)有工具抵抗攻擊,同時收集有關(guān)新威脅的情報。用戶也是這一問題的一部分,他們粗心或者惡意的網(wǎng)絡(luò)行為讓黑客有機可乘,或者直接導(dǎo)致網(wǎng)絡(luò)漏洞。2014年頂級安全漏洞根據(jù)電子郵件收發(fā)和網(wǎng)絡(luò)安全解決方案的領(lǐng)先供應(yīng)商AppRiver,以下是美國2014年的某些主要的安全漏洞:這還不算全部的名單,但很明顯組織性越來越強的網(wǎng)絡(luò)罪犯正從企業(yè)和其它公司里竊取大量機密數(shù)據(jù)。當(dāng)出現(xiàn)安全漏洞時,公司或組織擔(dān)心的并不是丟失寶貴/敏感的數(shù)據(jù),而是品牌或者聲譽遭遇巨大損失,而這需要大量時間和金錢來修復(fù)。2014年最高調(diào)的網(wǎng)絡(luò)攻擊是11月索尼影視娛樂有限公司(SonyPicturesEntertainment,以下簡稱索尼影視)被自稱為“和平衛(wèi)士”(GuardiansofPeace,簡稱GOP)的黑客組織竊取公司數(shù)據(jù)。竊取的100TB數(shù)據(jù)包含雇員信息(據(jù)稱包含了47000份社會保險號)。索尼影視被黑客攻擊也有政治因素,因為GOP黑客組織要求索尼影業(yè)取消電影《刺殺金正恩》的上映,后者是一部有關(guān)密謀刺殺朝鮮領(lǐng)導(dǎo)人金正恩的喜劇。盡管GOP黑客組織的身份目前仍是個謎,但美國政府將矛頭指向朝鮮,但后者拒絕承認(rèn)與黑客攻擊有關(guān)。2015安全預(yù)測供應(yīng)商、分析師和權(quán)威人士每年年初都會對接下來12個月的網(wǎng)絡(luò)安全進行預(yù)測。盡管有些人對“談?wù)摗边@一話題饒有興趣,但不可否認(rèn),安全和隱私已經(jīng)是企業(yè)、組織、個體和政府議程中非常重要的一部分。因此我們調(diào)查17個組織發(fā)表的前瞻性文章并將產(chǎn)生的130項預(yù)測分為以下幾類:名單之首是“新型攻擊媒介和平臺”和“現(xiàn)有網(wǎng)絡(luò)安全解決方案的進化”,這兩類展示了網(wǎng)絡(luò)安全軍備競賽的現(xiàn)實。在第一類,好幾名評論員強調(diào)了“廣泛使用的舊代碼里的新漏洞”(卡巴斯基實驗室),例如Heartbleed/OpenSSL和Shellshock/Bash,而企業(yè)移動管理市場領(lǐng)導(dǎo)者Sophos表示IPv6協(xié)議里的漏洞以及UEFI豐富的啟動環(huán)境里rootkit和bot可能會產(chǎn)生新的攻擊媒介。蘋果是主要被標(biāo)記的新平臺,例如FireEye認(rèn)為“蘋果日益增長的企業(yè)足跡意味著惡意軟件編寫者將適應(yīng)它們的工具箱”。近期銷售數(shù)字只會更加刺激黑客對蘋果產(chǎn)品的“垂涎欲滴”。大部分預(yù)測屬于第二類(“現(xiàn)有網(wǎng)絡(luò)安全解決方案的進化”),包括ImmuniWeb的觀點:如果單獨使用或者沒有人為干預(yù)“自動化安全工具和解決方案將不再高效”。全球性網(wǎng)絡(luò)安全設(shè)備供應(yīng)商Fortinet認(rèn)為黑客將規(guī)避沙盒技術(shù),并通過“在攻擊中加入不相關(guān)內(nèi)容阻礙調(diào)查者或者蓄意栽贓不相關(guān)的黑客”來轉(zhuǎn)移調(diào)查者的注意力。同時互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)分析師預(yù)測“到2017年,90%的企業(yè)的終點將是利用某種形式的硬件保護以確保企業(yè)的完整性”和“到2018年,25%的之前單獨購買的安全應(yīng)用程序?qū)⒅苯蛹傻狡髽I(yè)的應(yīng)用程序里”。好幾個預(yù)測類型都指出了特定的新攻擊類型和平臺,尤其是物聯(lián)網(wǎng)、移動科技、社交網(wǎng)絡(luò)、大數(shù)據(jù)和分析、云服務(wù)、零售終端和支付系統(tǒng)、網(wǎng)絡(luò)技術(shù)、開源軟件、第三方攻擊和惡意廣告。這顯示了隨著整個世界通過網(wǎng)絡(luò)相連,黑客攻擊的機會越來越多,例如近期發(fā)現(xiàn)的一個弱點使得通過基于Linux的控制軟件就可以劫持無人機(或者無人駕駛飛行器)。在第三類IoT里,整合Web、信息和數(shù)據(jù)安全防護解決方案提供商Websense指出“你的冰箱不是一個IT威脅,工業(yè)傳感器才是?!币簿褪钦f,網(wǎng)絡(luò)罪犯更可能攻擊自動化行業(yè),例如發(fā)電或者油氣開采里的M2M通訊,而非試圖“融化你的智能冰箱里的黃油或者煮沸牛奶”。Sophos對此表示贊同,它表示“ICS/SCADA與現(xiàn)實世界安全之間的差距只會越來越大?!痹贗oT這一欄的另一端,市場調(diào)研公司Forrester預(yù)測2015年“一個可穿戴設(shè)備的數(shù)據(jù)泄露會刺激聯(lián)邦貿(mào)易委員會FTC采取行動”——而那些想要實施基于可穿戴設(shè)備的員工健康項目的企業(yè)應(yīng)該三思了。很多評論員表示第四類的移動平臺將日益吸引黑客和網(wǎng)絡(luò)罪犯的注意力,尤其是現(xiàn)在移動支付系統(tǒng),例如ApplePay已經(jīng)日益成熟。Websense也認(rèn)為黑客將以移動設(shè)備為目標(biāo),“不僅是為了攻破手機密碼并從設(shè)備里竊取數(shù)據(jù),更是作為一種媒介獲取設(shè)備在云端存儲的日益增多的數(shù)據(jù)資源”。社交網(wǎng)絡(luò)是黑客日益關(guān)注的另一個焦點,正如企業(yè)資安防護技術(shù)全球廠商BigCoat表示:“攻擊工具將從社交網(wǎng)絡(luò)里獲得信息而以更好地方式實現(xiàn)個性化攻擊。大多數(shù)攻擊目標(biāo)都有一定的社會背景,這增加了功效和簡易性。黑客將利用他們對攻擊目標(biāo)的了解來獲取至關(guān)重要的系統(tǒng)和數(shù)據(jù)?!敝劣诖髷?shù)據(jù)和分析,商業(yè)軟件廠商VaronisSystems警告salami攻擊(一次只竊取一小部分資產(chǎn))的興起:“即使加密或者匿名化后,通過社交網(wǎng)絡(luò)、信用卡交易、網(wǎng)絡(luò)攝像頭和數(shù)字足跡收集的大量數(shù)據(jù)可以拼湊成一張令人感到害怕的完整畫面。這不僅威脅了個體,也威脅了政府組織、企業(yè)和業(yè)務(wù)合作伙伴。。。2015年,一個重要的大數(shù)據(jù)舉措將受到salami攻擊的阻礙”。而另一個積極方面便是,美國軟件公司賽門鐵克預(yù)測“機器學(xué)習(xí)將成為對抗網(wǎng)絡(luò)犯罪的游戲改變者?!痹品?wù)是網(wǎng)絡(luò)安全的另一個戰(zhàn)場,VaronisSystems認(rèn)為“云和基礎(chǔ)設(shè)施即服務(wù)(IaaS)公司將就它們管理和保護數(shù)據(jù)的能力彼此競爭,同時為顧客提供提高生產(chǎn)率的功能性。。。無法提供相同程度的訪問控制、數(shù)據(jù)保護和提高生產(chǎn)率的云公司將無法獲得顧客最至關(guān)重要的數(shù)據(jù)”。與此同時,IDC認(rèn)為安全軟件本身應(yīng)該進入云:“企業(yè)將把安全軟件作為一種服務(wù)(SaaS)。在2015年底,15%的安全保障將通過SaaS來提供,到2018年這一比例將達到33%?!焙脦酌u論員注意到2014年零售商面臨的大量高調(diào)攻擊——這一趨勢預(yù)計在2015年將繼續(xù)延續(xù):“黑客以零售ATM機為目標(biāo)(卡巴斯基實驗室)”;“零售漏洞——2014年只是冰山一角”(Damballa)。因此,F(xiàn)orrester預(yù)測“2015年零售安全預(yù)算將翻倍”。2015年預(yù)測的其它新型攻擊方式包括開源軟件和脆弱的第三方,例如供應(yīng)鏈的連接或者惡意軟件感染的廣告(惡意廣告)。高調(diào)的安全漏洞還將持續(xù)成為2015年的新聞熱點(“顯著的數(shù)據(jù)泄露將導(dǎo)致網(wǎng)絡(luò)安全問題持續(xù)受到關(guān)注”——賽門鐵克)。然而,Websense尤為關(guān)注健康數(shù)據(jù),這主要是考慮到“沒有任何類型的記錄能包含這么詳盡的個人驗證信息(PII),后者可以被用于一系列的后續(xù)攻擊和各種類型的詐騙”。加密和隱私仍出現(xiàn)在2015年的安全預(yù)測里。據(jù)BlueCoat表示,加密是把雙刃劍:“使用加密將繼續(xù)保護顧客隱私。而隱匿在加密之后的惡意軟件將躲避大多數(shù)企業(yè)的檢測,這些企業(yè)試圖在員工隱私和加密背后隱藏的攻擊之間找到平衡點”。例如Sophos從政治角度談到:“隨著情報局監(jiān)視以及數(shù)據(jù)泄露被披露,公眾的安全意識和隱私擔(dān)憂越來越強烈,加密最終將變成某種默認(rèn)狀態(tài)。某些組織,例如法律部門和情報局可能對此不滿,因為他們認(rèn)為這對安全性將產(chǎn)生有害的影響?!焙脦醉楊A(yù)測主要是監(jiān)管、承諾和網(wǎng)絡(luò)保險的聯(lián)合。在安全泄露通知法律問題上,VaronisSystems強調(diào)了中部-大西洋分化:“在歐盟的數(shù)據(jù)將更安全(這多虧了數(shù)據(jù)保護條例),但是在美國呢?”這一問題再次強調(diào)了Nephapsis的預(yù)測“一家美國公司將卷入重大的歐盟數(shù)據(jù)泄露事件”。顧客信息泄露后“上百萬美金的罰款和起訴”的前景導(dǎo)致Forrester預(yù)測”1億美金的網(wǎng)絡(luò)保險將成為規(guī)范,“這一觀點得到了FireEye的回應(yīng)。好幾名評論員也提到了組織安全策略的進化。FireEye認(rèn)為“越來越少的企業(yè)會運行自己的安全運營中心(SOC)”,企業(yè)應(yīng)該“從和平時期轉(zhuǎn)向戰(zhàn)時心態(tài)”,雖然網(wǎng)絡(luò)安全問題導(dǎo)致IDC預(yù)測“截止2018年,75%的首席安全官CSO和首席信息安全官CISOs將向公司CEO,而非首席信息官CIO直接匯報”。FireEye和Damballa也重點強調(diào)了高級隱形網(wǎng)絡(luò)攻擊的情報偵測及預(yù)防,這倆家公司致力于為這一領(lǐng)域提供專業(yè)的解決方案。FireEye認(rèn)為企業(yè)將資金轉(zhuǎn)向投入“高級監(jiān)測、響應(yīng)和取證”,而Damballa表示2014年下半年組織投資了“威脅監(jiān)測和響應(yīng)”并預(yù)測這一趨勢將在2015年延續(xù)。國家贊助以及政治驅(qū)使的攻擊類型也被一些評論員提及:“黑客們將坐在電腦前開展新型的網(wǎng)絡(luò)戰(zhàn)”(Websense);“間諜軟件(espionageware)的崛起”(BlueCoat);“網(wǎng)絡(luò)間諜攻擊將會繼續(xù)并且以更高頻率發(fā)生”(McAfee);“以政治報復(fù)為目的的黑客將會攻擊普通公民”(Neohapsis);Websense提醒網(wǎng)絡(luò)戰(zhàn)爭/恐怖主義將會更多地由所謂的無附屬單位的個體所主導(dǎo),他們雖然與政府無關(guān),但卻打著支持民族國家事業(yè)的口號。勒索軟件(Ransomware),一種黑客用于劫持用戶資產(chǎn)或資源并以此為條件向用戶勒索錢財?shù)膼阂廛浖?,被預(yù)測在未來將以更大的范圍和更高的頻率出現(xiàn)。BlueCoat預(yù)測勒索軟件將會對受感染的用戶要價更高。Lancope認(rèn)為未來將出現(xiàn)勒索軟件膨脹;賽門鐵克預(yù)計詐騙份子將繼續(xù)開發(fā)這種以敲詐勒索為目的的軟件;McAfee更是認(rèn)為勒索軟件會在攻擊手段、加密方法以及目標(biāo)用戶選擇上更智能。剩余的預(yù)測類型包括生物測定學(xué)、多因素認(rèn)證、網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)安全技能,令人驚訝的是后者只被提到了一次,Sophos表示“全球技能的間隔將繼續(xù)增大,其中應(yīng)急響應(yīng)和教育是關(guān)鍵重心”。展望有關(guān)網(wǎng)絡(luò)安全有一件事是肯定的:公司只依賴防火墻和安
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 福建師范大學(xué)《復(fù)變函數(shù)與積分變換》2023-2024學(xué)年第一學(xué)期期末試卷
- 福建師范大學(xué)《勞動和社會保障法》2022-2023學(xué)年第一學(xué)期期末試卷
- 2024-2030年全球與中國元素雜質(zhì)分析市場運營現(xiàn)狀及前景趨勢預(yù)測報告
- 涉企經(jīng)營許可事項告知承諾書(印刷經(jīng)營許可證核發(fā)及變更事項審批)
- 幼兒進餐入廁睡眠觀察記錄表
- 2024屆新疆阿克蘇市第一師高級中學(xué)高三第二次聯(lián)考數(shù)學(xué)試題文試題
- 2024年蘭州道路客運輸從業(yè)資格證培訓(xùn)資料
- 2024年北京客運資格證的要求
- 2024年南京客運考試模擬題及答案詳解
- 2024年呼和浩特客運資格證實操考試題目內(nèi)容是什么
- 國有企業(yè)共青團創(chuàng)新工作方法研究
- 建筑行業(yè)(建筑工程)建設(shè)項目設(shè)計方案規(guī)模劃分表.doc
- 辦理營業(yè)執(zhí)照委托書
- 集裝箱設(shè)計PPT課件
- 道路交通標(biāo)志與標(biāo)線PPT課件
- 實習(xí)實訓(xùn)報告-墊片復(fù)合沖壓模具的設(shè)計
- 35kv變電所電氣部分設(shè)計(有設(shè)計源圖)
- 編寫標(biāo)準(zhǔn)必備文件 國家標(biāo)準(zhǔn) 地方標(biāo)準(zhǔn) 行業(yè)標(biāo)準(zhǔn) 企業(yè)標(biāo)準(zhǔn) 格式模板大全
- 全面預(yù)算實施方案(共8篇)
- 天津市南開中學(xué)2020-2021學(xué)年高一上學(xué)期期中考試物理試題含答案
- 建設(shè)工程施工勞務(wù)分包合同(地坪)(完整版)
評論
0/150
提交評論