2011年10大安全威脅 國家資助的黑客攻擊占首位
原創【51CTO 獨家翻譯】全球著名應用程序和數據安全解決方案廠商Imperva公布了2011年十大安全威脅趨勢的預測,將有助于IT安全專業人員幫助組織抵御下一波網絡安全攻擊。
1、國家資助的黑客攻擊:APT趨向產業化
國家贊助的黑客通常會實施有針對性的網絡攻擊,混合了商業黑客行業的觀念和技術,這種攻擊和傳統的以金錢利益為目的的攻擊有所不同,但使用的技術都差不多,這些高級持續性威脅(Advanced Persistent Threat[APT])攻擊會使用諸如自動化和病毒傳播技術,使它們更加強大,攻擊成功的可能性更大,大家還記得Stuxnet吧,它就是這樣的例子,Stuxnet不是為了獲得你的銀行卡密碼,相反它是為了獲得你基礎設施的控制權。
這兩種攻擊(商業黑客產業和APT)使用相同的技術,因此有些安全保護措施可以適用于兩者,從積極的一面來看,你可能還沒有被網絡黑手黨發現,因此不會受到APT攻擊威脅,因為APT是持續的,如果一個攻擊不成功,另一個馬上就會開始,傳統的安全保護措施在這時會顯得蒼白無力,無法抵御這些由國家支持的黑客組織發起的冷酷攻擊。對企業和政府而言,這意味著要在整個組織層增加監控和建立安全控制。
2、內部威脅遠比你想象的要糟糕
在新的一年里,我們預計來自內部的攻擊將會與日俱增,數據竊取和安全破壞常常有內部員工的份兒,這個時候最重要的是要揪出始作俑者,而不是考慮如何保護數據,如果你不知道內部威脅源隱藏在哪個角落,談何保護呢?為了阻止內部威脅,組織應該:
實施強制訪問控制,根據業務需要,該訪問的則授予訪問權,不該知道的就永遠接觸不到,最主要的就是消除權限分配不當。
給數據中心提供適當的訪問審計工具,這些審計工具應該能監控誰在什么時候訪問了什么數據。
3、瀏覽器中間人攻擊將會膨脹
瀏覽器中間人(Man in the Browser,MitB)攻擊將會上升,進而將目標轉向更多類型的在線應用程序,因此,在線服務供應商應該將其列入2011年重大事項清單,盡量將消費者頭上懸著的風險轉移到自己頭上。
雖然代理木馬大多數時候責任都在用戶一方,但MitB攻擊迅速成為在線服務供應商關注的焦點,他們必須為自己的用戶提供保護,正如汽車制造商也必須遵循行車安全技術的發展,類似ABS,安全氣囊和ESP等保護司機和乘客的技術才會越來越多,而不是僅靠我們小心駕駛,因此在線服務供應商必須在安全保護方面加大投入,要能夠監控已感染的用戶,并能提供有效的指導消除威脅,這樣的技術包括強設備認證,客戶分析,會話流跟蹤和站點到客戶端驗證。
4、社交網絡中的隱私和安全
2011年我們將會看到社交網絡的安全威脅會越來越大,隱私保護將成為焦點。最重要的兩個因素是安全和信任,雖然可以保護個人信息不被其它應用程序用戶看到,但對于受信任的朋友,你卻無法保證他不會泄露你的私密資料或以此為目的來接近你,就目前的社交平臺來看,安全和信任還存在相當大的問題,跨站腳本(XSS)和跨站請求偽造(CSRF)正成為巨大的威脅。
明年在社交平臺安全保護方面各個服務商肯定會投入更多資源,在應用程序層保護,強認證,帳戶控制和惡意軟件檢測等方面將會有所突破。
5、文件安全
2011年我們將會看到更多資料外泄案例,特別是非結構化數據,我們會看到各類組織在這方面加大保護力度,主要是做好文件服務器的安全措施和文件本身的訪問控制。明年會有更多針對企業機密文件的攻擊,這類數據將會受到極大的威脅,不僅僅是被復制,還可能會遭致徹底毀壞,在重視數據庫安全的今天,企業必須提前做好敏感文件的防護工作。
但憑現在的技術和工具,要做好文件保護可能是一件很困難的事情,因為每個文件都是一個獨立的實體,確定其所有者,設置訪問權限和跟蹤訪問情況都是無比巨大的工作量,即使你再仔細,總會有疏漏,因此對敏感文件作強加密保護是稍微可靠的方法。
6、云數據安全
我們希望在2011年能看到更多云數據安全產品,這些產品必須適應私有云和公共云環境,在這方面安全廠商還滯后于云計算和黑客產業的發展,許多小型在線服務供應商目前正面臨云安全威脅。
如果將所有云計算類型統一起來看(私有云,公共云,PaaS,IaaS和SaaS),不管是服務商還是用戶都面臨許多挑戰,概括起來如下:
維護不同用戶數據集之間的防彈分區;
為共享相同邏輯或物理平臺的應用程序提供不同級別的數據安全保護;
保護用戶數據,預防云管理員的窺視;
提供特殊基礎設施(VM,Amazon AMI)上的解決方案;
管理云中應用程序和數據安全。
我們預計2011會出現更好的云應用程序安全保護技術,但數據安全解決方案將會稍微滯后一點。
7、移動設備危及數據安全
移動設備的迅速普及將會在來年給應用程序和數據安全工作帶來極大的挑戰,我們將會看到越來越多的組織在忙于傳統的應用程序和數據安全工作外,疲于應對數量越來越多的移動設備帶來的安全風險。
過去兩年的事實證明,移動設備已經成為企業員工廣泛使用和接入企業網絡的辦公工具,如ERP,CRM和文檔管理都可以看到移動設備的影子,安全人員時刻擔心這些設備是否會丟失或被盜,因為一些敏感數據可能會因此而泄露。
隨著移動設備漸漸成為主流,在線服務供應商也會提供適合這些設備使用的應用程序版本,我們預計這樣下去以前一些舊的漏洞可能會再次浮出水面,特別是身份識別和驗證,應用程序很可能會被攻擊者偽造的信息欺騙。
此外,一些所謂的"強"多因子身份驗證方案會失效,例如,使用一次性密碼(OTP)的應用程序往往會通過手機短信的方式給用戶發送一次性密碼,但經過精心設計的木馬可以輕易獲得通過手機短信發送的一次性密碼。
可感染移動設備的惡意軟件已經出現(如Zitmo),復雜的應用程序更容易遭受它們的攻擊,這和我們現在使用的桌面平臺是一樣的。
我們預計明年與移動設備相關的事故會呈指數級增長,組織必須開始規劃如何保護這些設備,以及如何與企業網絡交互,工具和程序必須到位,如殺毒軟件,加密和認證,特別要監控這些設備訪問了哪些企業資源(數據庫,文件,內部網絡),應用程序提供商也要一起配合做好安全防護工作,包括漏洞修復,信任度重新評估,以及新的認證和授權計劃。
8、黑客們在打壓下試圖奮起反抗
2011年,網絡犯罪將會出現兩種變化,首先,許多小型犯罪團伙將會歇業,為什么呢?安全研究人員將會持續觀察黑客的行動,一有機會就會將他們從地洞中揪出來,黑客們也不會甘心束手就擒,他們會想出更多反偵察方法。其次,大一點的團伙會兼并或組合,以鞏固和壯大他們的實力。
2010年即將畫上句號,我們也看到更多這樣的例子:
9月底,Zeus僵尸網絡頭目和相關成員被逮捕,其實安全人員早已跟蹤了他們一年時間,包括成功滲透了他們的C&C服務器,同樣命運的是Bredolab僵尸網絡的主要成員,在Zeus頭目被逮捕三周后,他們手上也戴上了冰冷的手銬。
10月中旬,Avalanche釣魚詐騙集團結束了長達2年的瘋狂,它們釋放的MitB木馬曾讓無數人中招。
10月末伊朗網軍(ICA)發起了帶有強烈政治目的的DDoS攻擊,并登廣告出租他們的機器人。
10月末,曾經是競爭對手的spyEye和Zeus開始尋求合并,以謀求重生。
9、網絡安全已成為業務流程的一部分
英特爾CEO歐德寧說:"我們認為安全已經成為計算的第三大支柱",可見廠商對安全的態度已經發生了重大轉變,那么企業是怎么想的呢?
目前,網絡安全不能脫離業務,為此,安全團隊必須重新審視自己的角色,例如,過去,CIO的職責是銷售筆記本電腦,今天,CIO必須建立供應鏈,過去,CISO負責分發殺毒軟件和設置防火墻,今天他們必須知道數據駐留在哪里,數據的移動,以及如何保護它們,很明顯,今天的工作也比過去復雜多了,這意味著安全專家首先要成為業務流程專家。
10、數據安全和隱私法規
就象報紙的頭版一樣,許多企業每天都會泄露大量的機密信息,政府部門應通過立法來加強對敏感數據的保護,前不久FTC(聯邦貿易委員會)和歐盟(OU)協商在大西洋兩岸建立統一的數據安全法,因為對跨國公司而言,要同時遵守兩邊的法律可能會比較困難,政府應該出面建立一個共同的框架,給企業帶來真正的方便。
【編輯推薦】
