2018年你们的网络安全团队是否做好了应对安全威胁的准备? – 作者:luck___star

QJ6448267957.jpg

2017年是一个多事之秋。在过去的这一年里,发生了许多大规模的乃至令全球性震惊的网络攻击事件。首先让我们盘点一下国内发生重大安全事件:年初,央视曝光了一则关于个人信息泄露网上贩卖的新闻。只要提供一个人的手机号码,就能查到个人私密信息,包括身份户籍、婚姻关联、名下资产、手机通话记录等等,甚至可以通过三网定位实时定位这些手机用户的位置,这掀起了广大市民对个人隐私被泄露的担忧。3月,58同城被曝简历数据泄露,700元就可采集全国简历信息。同年9月发现的基于IoT的僵尸网络日渐浮出水面,截止10月底为止,这个名为IoT-Reaper的恶意软件已经感染了超过两百万台设备,包括路由器、摄像头等,其中受感染最严重的国家是中国,每天感染超过1万台设备,速度十分惊人。

在全球方面,2017年也发生了几次高影响力的网络攻击事件,传闻美国大选曾遭黑客入侵,以及WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业及政府的应用系统和数据库文件被加密后,无法正常工作,影响巨大。已经让全球数个国家受害于最近的Equifax黑客攻击,今年发生的事件已经见证了这一切!

                                                       网络犯罪变得越来越复杂

事实上,勒索软件攻击的强度大幅上升,勒索软件事件频发。全球约6300个平台提供勒索软件交易,勒索软件在2016-2017年期间的销售量增长了约2502%。2017年上半年全球每天都有4000起勒索事件发生。刚刚一周前台积电突遭WannaCry勒索病毒变种侵袭, 预计三季度营收损失1.7亿美元!2017 年无疑是动荡的一年,然而2018年会给我们带来什么呢?以下是2018年可能出现的五大安全威胁。

 

WechatIMG6.jpg

 1.云威胁

对于希望实现操作虚拟化的组织来说,“云”是下一件大事。然而,不断上升的安全威胁迫使组织创建并强制实施新的云计算使用规则。这很可能影响严重依赖云存储和计算的组织的工作。这些组织必须在遵守新的数据保护/本地化要求和期望以通常的速度执行其例行服务之间进行权衡。

然而,2017年 9 月中旬网络安全公司UpGuard 研究人员 Chris Vickery 发现美国五角大楼托管的3台亚马逊AWSS3 服务器 “centcom-backup”、“centcom-archive”与“pacom-archive” 因配置错误,导致任何未经授权的用户均可公开访问。值得注意的是,其中一台服务器竟包含了美国国防部(DoD)从各新闻网站、评论栏、网络论坛以及 Facebook 等社交平台搜集的近18 亿用户(绝大多数都是全球守法公民)在线发布的切身内容,且此举似乎于8年前就已开始(2009-2017)。

2.物联网警铃(IoT)

物联网(IoT)以其将人类、设备和地点实时连接起来的潜力,将世界和数字狂热者推向了疯狂。物理存在正日益得到电子对等物的补充,以致于整个数字世界与物理交织在一起。但是用于给物联网供电的设备并不是完全安全的。他们有一些明显的漏洞,例如近期青天科技安全研究员发现的韩国Davolink的路由器漏洞。如果这些用于给物联网供电的设备漏洞被网络犯罪分子破解,这将为他们打开通往敏感数据宝库的大门。前不久黑客利用华为 HG532 路由器中的一个漏洞 ,集结了一个巨大的僵尸网络,并且共享了所有受害者的IP地址清单,被青天科技安全研究员发现并报告了此事。这类违反安全的行为,可能会永久性的损害组织的品牌形象,并使个人遭受难以预估的损害。此类事件,2018年会更多。美国趋势科技公司副总裁农尼霍芬认为,针对物联网的攻击活动将持续影响民航、制造、汽车等行业,因为这些行业越来越依靠所谓的智能技术。

 3.网络罪犯不断发展

每131封电子邮件中就有一封含有恶意软件。勒索软件攻击在2017年增加了36%。每天有23万个恶意软件样本被创建出来。沃伦·巴菲特认为网络攻击是对人类最大的威胁,甚至比核武器还要严重。这些事实和数据足以让我们大声疾呼,网络犯罪分子的技能和专业知识正在向上增长!最重要的是,缺乏适当的法律来控制敏感信息的获取,这使得网络攻击成为一种更有利可图的选择,可以造成损害,特别是对某些恐怖组织。因此,在网络恐怖主义方面,2018年可能会出现更多的发展和威胁。

 另外病毒制作和传播门槛不断降低。病毒制作方式呈现流水化作业方式,爆破方和最终的病毒投放者可能是不同的团伙,后者可在黑产地下市场购买所谓的肉鸡进行勒索攻击。病毒制作也无需投放者亲自开发,黑产地下市场同样可购买专业的病毒制作工具,简单填写有几个参数就可生成新款的病毒程序,这更加降低了勒索病毒的技术门槛。

 4.网络安全研究人员的沉默

组织的网络安全研究员有责任在网络威胁袭击时发出警报并将其公之于众。然而,如今的软件制造商已诉诸法律诉讼和其他敌对行动来威胁这些研究人员,以掩盖他们所披露的信息,辩称这可能使他们开发的软件容易受到黑客攻击。以这种用法律手段的恐惧肯定会让网络安全研究人员沉默,但它对网络安全解决方案演变拥有长期的影响!客户很快就会被充斥着漏洞的软件所摆布,而这些漏洞是制造商选择隐藏而不是修复的!

 一些大公司漏洞奖励机制形同虚设。比如在2018年著名的黑帽会议,谷歌Project Zero项目研究员敦促苹果把从2016以来所有有资格获得奖励漏洞,共2.4百万美金捐献给慈善机构。现今研究人员或者黑客宁愿把苹果漏洞卖给第三方或者执法机构,而不是递交给苹果公司。

 5. IT部门不切实际的期望

网络犯罪的脆弱性主要是由于组织缺乏应对数据泄露或任何其他网络威胁的准备。普华永道进行的一项调查显示,只有37%的组织制定了网络事件应对计划!十分之三的人没有计划,其中大约一半的人觉得他们根本不需要担心网络安全!然而,随着网络安全漏洞事件的增多,大多数组织的董事会成员都更加小心翼翼,为他们的信息安全管理人员设定了不合理的安全目标。这不是一个靠想象就可以实现的事情,强大的安全基础设施不可能在一夜之间实现。此外,这不利于组织的进展,因为它将重点从现有任务转移到安全管理。

 完全的保护可能是不可能的,但预防肯定有一定帮助。

虽然一个组织不可能完全减轻网络攻击,但至少应该从分析其现有的威胁格局开始,找出漏洞,最终建立健全的网络安全管理。这一年,我国多部法令法规出台。第一部专门针对网络安全的综合性法律——《中华人民共和国网络安全法》正式实施;首个区块链标准《区块链参考架构》正式发布;《关于清理规范互联网网络接入服务市场的通知》《关于全面推进移动物联网(NB-IoT)建设发展的通知》《推进互联网协议第六版(IPv6)规模部署行动计划》等也相继推出。

 同期,多本网络安全领域的白皮书发布。包括《大数据安全标准化白皮书》《5G网络安全需求与架构白皮书》《网络安全趋势白皮书》《填补差距——让你的企业远离不断演变的网络威胁》《2017阿里云安全白皮书》《智能网联汽车信息安全白皮书》《车联网网络安全白皮书(2017)》《智慧家庭信息安全白皮书》《NB-IoT安全白皮书》《网络安全产业白皮书(2017)》等。

 

 

来源:freebuf.com 2018-08-15 10:30:00 by: luck___star

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论