赛门铁克对2015年以及后网上安全形势的预测(亚太及日本地区)
责任编辑:盈高科技 时间:2015-11-11 浏览次数:3709
2013 年被安全分析师称为“数据大泄露之年”,而 2014 年的严重漏洞Heartbleed 和 Shellshock
也表明安全行业绝不能躺在过去的功劳上停止不前。2015年物联网的发展意味着消费者将加大设备、工具和机器之间的连接,而这种连接也将招致一系列全新的
安全隐患 。
赛门铁克发布的 2015 年亚太及日本地区安全形势预测探讨了将影响该地区个体消费者、企业和政府机构的安全问题:
1.对物联网 (IoT) 的攻击将瞄准智能家居自动化:随着智能家居自动化在亚太及日本地区消费者中渐趋流行,赛门铁克预测,商品化
“即插即用”消费设备将被网络罪犯利用,其中包括用于警报、照明和气候控制的 CCTV
摄像头和远程门禁控制设备等。人们可借助搜索引擎对可连接互联网的设备进行在线搜索,包括安保摄像头、汽车、家庭供暖系统等。
虽然搜索引擎不会暴露漏洞,但会使网络罪犯更容易发现物联网设备,继而加以攻击和利用。以近期有关 Insecam.com
的新闻为例,这个据说来自俄罗斯的网站向全世界播放全球各地 IP
摄像头的监控画面。也就是说,我们不会看到利用物联网的大规模攻击,但是攻击者会针对家庭路由器、智能电视、互联汽车应用程序等互联设备进行一次性攻击,
以获取敏感和隐私信息。
2.移动设备将更容易成为攻击目标:移动设备将继续是网络攻击者的目标,因为移动设备存储了大量用户个人隐私信息,并
且设备一直保持开机状态。随着移动运营商和零售商店陆续转向移动支付,移动设备将越来越有价值。例如,Apple Pay
就解决了一些导致近期发生的销售点 (PoS) 系统被攻击的漏洞。
3.机器学习将扭转对网络犯罪的打击能力:随着机器学习和大数据的融合,新一代的业务平台正在形成,并将扭转网络安全
格局。机器学习是一种深度学习形式,可视为人工智能的第一步。面对威胁,我们必须保持“主动性”,而不是对威胁作出被动反应。机器学习将有助于安全厂商比
网络罪犯领先一步。机器学习预测网络攻击的能力可提高检测率,可能正是扭转网络犯罪趋势的关键。
4.要使用移应用程序就必须分享分人隐私为代价的问题将继续存在:我们认为,某些移动用户仍会为了使用移动应用程序,
而甘愿以分享个人隐私为代价。虽然很多互联网用户并不愿意在网上分享银行信息和个人身份信息,但也有不少用户为了使用移动应用程序,愿意分享自己的所在位
置和移动电池寿命,并允许移动应用程序访问照片、通讯录、健康等信息。此外,很多消费者在下载移动应用程序时根本不清楚自己所同意的条款内容。例
如,Norton
Reseach显示,尽管新生代用户自认为他们知道应用程序可以访问哪些内容,但事实上,在用个人信息交换应用程序时,他们对自己同意的条款内容知之甚
少。
5.诈骗者将继续通过勒索软件牟利:根据赛门铁克发布的《互联网安全威胁报告》,在2014年下半年,勒索软件的攻击
次数增加了5倍,攻击方式更趋恶劣。在很大程度上,这种增长势头是拜Ransomcrypt(又名Cryptolocker)的成功所赐。仅仅在2013
年10月,就有55%的勒索软件威胁来自于这种凶猛的勒索软件。勒索软件会加密用户文件,然后要求用户提供赎金来解密文件。勒索软件对企业的危害更大,因
为被加密的不仅仅是受害者自己的文件,还包括网络共享或网络附加硬盘上的文件。
6.2014年的主要数据泄露事件将使网络安全在2015年继续勒索受到高度关注:鉴于全球互联网和云基础的互联性,跨境数据传输不可避免,并且需要妥当对待。2015年将见证个人数据保护法的进一步发展,尤其是亚太地区,这是因为它切实影响到人们的生活。个人数据保护法的演进将确保个人和企业对网络安全和网络犯罪形成正确的防范意识。
7.分布式拒绝服务(DDoS)的威胁将更趋严重:2014年出现的另一趋势是,受攻击的UNIX服务器数量以及在
DDoS攻击中被占用的带宽资源不断上升。攻击者的动机各式各样,而主要原因包括黑客行动主义、利益和争端。考虑到进行大规模DDoS攻击并不困难,赛门
铁克预测DDoS攻击将在今年继续增长。遭受短暂而密集DDoS攻击的可能性正在上升。
8.仅靠密码已经无法保证安全,所以,用户行为将成为关注的焦点:由于密码系统频频遭遇网络罪犯的黑手,安全厂商和提
供商正面临日趋严峻的挑战:一方面要在兼顾密码复杂性的同时满足对便利性的需求,另一方面还要提供用户所需的无缝体验。采用一次性密码、虹膜和指纹扫描等
多因素身份验证技术可能是备选的安全保护方法,但这些方法并不见得是最安全的选择。保护重要信息的真正解决之道在于用户行为,而用户行为归根结底在于我们
如何保护个人在线资产和身份信息免受威胁。
9.“云”将引领我们踏入无限广阔的空间:2015年,越来越多的数据将托管在云端。然而,在实施这一举措时,企业需
要加进对数据的监管,并确保先将数据处理妥当后再托管到云端。不受管理的遗留数据将持续累积,对企业来说,这将是一个长期无法解决的问题。而对消费者而
言,2015年的云计算意味着将有海量的个人信息进入远程托管,而围绕访问权限、控制和保护云端私有数据等话题的辩论也将继续升级。
10.更加紧密的行业协作将增强网络安全防线:孤军奋战无法取得打击网络犯罪的胜利。世界各地的安全行业、电信供应商和政府部门正在联手打击网络犯罪。安全行业是世界上少数几个存在“敌对行业”的行业之一,这些敌对者不断企图击垮这个行业。正因如此,对抗网络犯罪的战斗需要采取不一样的制胜策略。
2015年,攻击者将继续寻找新的漏洞以“黑翻全球”,开源平台将继续通过更加紧密的行业协调、协作和响应来应对这些漏洞。赛门铁克认为,这是一个积极的现象,并且相信开源的未来必定会更加美好。