导语:2016年是让网络黑客兴奋的一年,但对于那些遭受了网络攻击的个人和组织,以及那些整天对自己的网络安全惶恐至极的人来说,2016年让他们备受煎熬,大家都在期待着2017。
2016年是让网络黑客兴奋的一年,但对于那些遭受了网络攻击的个人和组织,以及那些整天对自己的网络安全惶恐至极的人来说,2016年让他们备受煎熬,大家都在期待着2017,黑客们渴望着在新的一年继续震惊世界,而网络安全保卫者则希望通过2016年的教训让2017的网络变得更加安全一些。
2016年的安全状态回顾
卡巴斯基实验室和身份盗窃资源中心(ITRC)近日都对2016年网络威胁进行了整体性的回顾及分析:
1. 根据美国身份盗窃资源中心(Identity Theft Resource Center,ITRC)公布的数据,2016年黑客攻击的数量为980次,身份数据遗失多达35233317条,而2015年,黑客攻击的数量为仅为781次。并且受黑客攻击的重灾区为商业和医疗领域。
2.2016年企业要快速发现安全事故所需的时间:28.7%的企业表示他们需要几天才能够发现这样的安全事故,而19%的企业则承认需要几周甚至更长时间才能够发现。还有一小部分企业甚至需要几个月时间。尽管如此,很多安全事故都是通过外部或内部安全审计发现的,或者是通过第三方如顾客或客户告知的。
3.2016年,全球最大的网络威胁同金钱、信息以及破坏欲有关。这些威胁中,包括对数万台被盗服务器、被劫持的ATM系统、勒索软件以及手机银行恶意软件的地下交易以及针对性网络间谍攻击和黑客攻击以及敏感数据的交易。
4.地下经济比以往的规模更大,复杂程度更高:以xDedic为例,这个地下黑市就包括超过7亿条被盗服务器的登陆信息待售,可以让任何人购买对这些被盗服务器的访问权限。例如,一台位于欧盟国家的政府网络中的服务器售价仅为6美元。最大的金融盗窃案同我们预测的不同,并没有涉及证券交易:而是利用SWIFT转账盗窃了1亿美元。
5.关键基础设施在很多层面都容易遭受攻击:正如2015年末和2016年发生的针对乌克兰能源行业的BlackEnergy网络攻击揭示的那样。这种攻击能够关闭电网、清除数据,实施DDoS攻击。2016年,卡巴斯基实验室专家调查了工业控制威胁,发现全球有数千台主机暴露在互联网上,其中有91,1%的主机包含能够被远程利用的漏洞 。
6.针对性攻击可以没有固定的模式:ProjectSauron APT高级模块化网络间谍攻击组织能够为每个被攻击目标定制攻击模式。
7.家庭的智能控制设备可能成为全球物联网僵尸网络大军的一部分:2016年临近年底,很显然,Mirai这类的僵尸网络攻击才刚开始。
8.目前,针对在线银行的攻击中,有36%均是针对安卓设备。而在2015年,这一比例仅为8%。卡巴斯基实验室的产品识别出2.62亿恶意URL链接,全球的在线攻击数量达到7.58亿次,其中有三分之一(29%)的攻击源自美国,17%源自荷兰。针对销售终端和ATM的恶意软件家族新出现8个,同2015年相比,增加了20%。攻击者利用Google Play应用商店传播安卓恶意软件,受感染的恶意应用下载数量达到数十万次。
除了被动遭受这些暗地里的攻击之外,2017年我们的网络隐私环境可能也要更加恶劣。
针对政府与黑客的关系问题,万维网基金会的 Craig Fagon 警告说,一些政府正通过新法律“破坏每个人的互联网安全”。例如,英国新的《调查权力法案》要求互联网服务提供商存储用户 12 个月的浏览历史。这给诈骗者和勒索者制造了理想目标。其他国家可能会以英国为榜样,让所有人的隐私面临严重后果。电子前沿基金会的律师 Andrew Crocker 也认为立法者会利用人们恐惧网络攻击的心理,通过一些有未知后果的反黑客法律。
就像对付海盗一样,网络安全人员也找到了维护网络安全的三大法宝:
安全意识、安全标准、安全创新
安全意识
很少有人注意到,从2016年开始互联网用户开始意识到他们的数据有价值,这是网络安全思想意识多年深化教育的结果,现在大多数人都把保护自己的账号和密码放到了安全位置,比如让自己的密码变得更加复杂一些,开始使用双因素身份验证,甚至为了面对可能的信息攻击,还专门配置秘钥……
移动安全公司TeleSign最近的一项研究显示,73%的受访者希望公司能够提供超出现有密码保护的一些措施。调查还显示,使用双因素身份验证的人数在2015年和2016年之间增加了18%,现在有46%的消费者使用双因素身份验证。
安全标准
如果说提高安全意识是未来保护网络安全的前提,那么安全标准的提升则用具体的行动保障了想法的落实,在安全业界,密码面临的问题有目共睹,谷歌的Oauth和OpenID认证标准开发者Tim Bray曾抨击“用户名和密码是一种愚蠢的方式,而且也跟不上互联网的规模发展。”FIDO联盟正是在这个背景下应运而生的一个推动去密码化的强认证协议标准的组织。
FIDO联盟的目标是创建一组新的协议,支持对web应用持续的、安全的、无需密码的访问。FIDO联盟目前拥有超过250个企业成员,包括设备制造商、银行、支付卡网络、安全和生物认证厂商以及多个政府部门,包括微软、Google、Paypal、MasterCard等重量级企业都是FIDO的成员。
与白宫“扶正”FIDO的策略相呼应,英国政府近日发布的国家网络安全战略白皮书报告中也同样将FIDO作为“去密码化”的在线认证技术路径。
安全创新
当前,网络安全的内涵也发生了变化。过去的IT和信息安全强调的是信息,因此我们主要关注数据的保密性、完整性和可用性,却不关注安全。但在新形势下, IT、OT、IoT甚至是物理环境都对我们提出了新的挑战。
知名研究机构Gartner表示在2016年超过1000名员工的公司平均花费160万美元用于IAM(身份认证与访问管理,一个加快管理电子身份的业务流程框架),而且在2017年这方面的支持会更多。
据Gartner所称,网络安全支出在2020预计将达到1700亿美元。对网络安全创业公司的风险投资也在持续增长(比如我们嘶吼公司就是在此背景下应运而生的),光2015年将就有大概35亿美元之多。巨大的市场需求和大量的资本进入都激励着网络安全企业从各个方面来对目前的防御手段进行改造和升级。