对2015年的网络安全有这些问题需要关注

A5交易A5任务 SEO诊断淘宝客 站长团购

网易科技讯 2月4日消息，据国外媒体报道，信息安全和隐私似乎是永久的热门话题，近几个月出现了很多高调的网络攻击和暴行，这致使全球的中心再次关注于围绕数据保护、加密、隐私和监控的话题。这些占据新闻头条的事件触及了政府、企业和其它组织、家庭和个人的数据泄漏。网络安全问题近期出现在世界上最显著的平台之一上美国年度国情咨文美国总统奥巴马表示:没有任何国家或黑客应当关闭我们的网络，盗取我们的商业机密或侵犯美国家庭隐私。我们正在确保政府联合情报机构打击网络威逼，正如我们对抗恐怖主义一样。今晚，我敦促国会通过法案以更好打击日趋猖獗的网络攻击和身份窃盗，保护儿童的隐私信息。如果我们不积极行动起来，我们的国家和经济将面临威逼。但如果我们有所作为，我们就能继续保护造福于全世界人民的科技。

那些非法盗取在线信息和通讯的黑客和试图保护信息安全的人们已堕入一场军备竞赛。每一年都会产生各种黑客攻击，日趋进化的网络技术致使安全行业努力利用现有工具抵抗攻击，同时搜集有关新威逼的情报。用户也是这1问题的一部分，他们粗心或歹意的网络行动让黑客有隙可乘，或直接致使网络漏洞。

2014年顶级安全漏洞

根据电子邮件收发和网络安全解决方案的领先供应商AppRiver，以下是美国2014年的某些主要的安全漏洞：

这还不算全部的名单，但很明显组织性愈来愈强的网络罪犯正从企业和其它公司里盗取大量机密数据。当出现安全漏洞时，公司或组织担心的并不是丢失宝贵/敏感的数据，而是品牌或荣誉遭受巨大损失，而这需要大量时间和金钱来修复。

2014年最高调的网络攻击是11月索尼影视娱乐有限公司(Sony Pictures Entertainment以下简称索尼影视)被自称为和平卫士(Guardians of Peace简称GOP)的黑客组织盗取公司数据。盗取的100TB数据包括雇员信息(据称包括了47000份社会保险号)。索尼影视被黑客攻击也有政治因素，由于GOP黑客组织要求索尼影业取消电影《刺杀金正恩》的上映，后者是一部有关密谋刺杀朝鲜领导人金正恩的喜剧。虽然GOP黑客组织的身份目前仍是个谜，但美国政府将矛头指向朝鲜，但后者谢绝承认与黑客攻击有关。

2015安全预测

供应商、分析师和权威人士每一年年初都会对接下来12个月的网络安全进行预测。虽然有些人对谈论这1话题饶有兴趣，但不可否认，安全和隐私已是企业、组织、个体和政府议程中非常重要的一部分。因此我们调查17个组织发表的前瞻性文章并将产生的130项预测分为以下几类：

名单之首是新型攻击媒介和平台和现有网络安全解决方案的进化，这两类展现了网络安全军备竞赛的现实。在第一类，好几名评论员强调了广泛使用的旧代码里的新漏洞(卡巴斯基实验室)，例如Heartbleed/OpenSSL和Shellshock/Bash，而企业移动管理市场领导者Sophos表示IPv6协议里的漏洞和UEFI丰富的启动环境里rootkit和bot可能会产生新的攻击媒介。苹果是主要被标记的新平台，例如FireEye认为苹果日趋增长的企业足迹意味着歹意软件编写者将适应它们的工具箱。近期销售数字只会更加刺激黑客对苹果产品的垂涎欲滴。

大部分预测属于第二类(现有网络安全解决方案的进化)，包括Immuni Web的观点：如果单独使用或没有人为干预自动化安全工具和解决方案将不再高效。全球性网络安全设备供应商Fortinet认为黑客将规避沙盒技术，并通过在攻击中加入不相关内容阻碍调查者或蓄意栽赃不相关的黑客来转移调查者的注意力。同时互联网数据中心(IDC)分析师预测到2017年，90%的企业的终点将是利用某种情势的硬件保护以确保企业的完整性和到2018年，25%的之前单独购买的安全应用程序将直接集成到企业的应用程序里。

好几个预测类型都指出了特定的新攻击类型和平台，尤其是物联网、移动科技、社交网络、大数据和分析、云服务、零售终端和支付系统、网络技术、开源软件、第三方攻击和歹意广告。这显示了随着整个世界通过网络相连，黑客攻击的机会愈来愈多，例如近期发现的一个弱点使得通过基于Linux的控制软件就可以劫持无人机(或无人驾驶飞行器)。

在第三类IoT里，整合Web、信息和数据安全防护解决方案提供商Websense指出你的冰箱不是一个IT威逼，工业传感器才是。也就是说，网络罪犯更可能攻击自动化行业，例如发电或油气开采里的M2M通讯，而非试图熔化你的智能冰箱里的黄油或煮沸牛奶。Sophos对此表示赞同，它表示ICS/SCADA与现实世界安全之间的差距只会愈来愈大。在IoT这一栏的另外一端，市场调研公司Forrester预测2015年一个可穿着装备的数据泄漏会刺激联邦贸易委员会FTC采取行动而那些想要实行基于可穿着装备的员工健康项目的企业应当三思了。

很多评论员表示第四类的移动平台将日趋吸引黑客和网络罪犯的注意力，尤其是现在移动支付系统，例如Apple Pay已日趋成熟。Websense也认为黑客将以移动装备为目标，不仅是为了攻破手机密码并从装备里盗取数据，更是作为一种媒介获得装备在云端存储的日趋增多的数据资源。

社交网络是黑客日趋关注的另一个焦点，正如企业资安防护技术全球厂商BigCoat表示：攻击工具将从社交网络里取得信息而以更好地方式实现个性化攻击。大多数攻击目标都有一定的社会背景，这增加了功效和简易性。黑客将利用他们对攻击目标的了解来获得至关重要的系统和数据。

至于大数据和分析，商业软件厂商Varonis Systems正告salami攻击(一次只盗取一小部分资产)的兴起：即便加密或匿名化后，通过社交网络、信用卡交易、网络摄像头和数字足迹搜集的大量数据可以拼凑成一张使人感到畏惧的完全画面。这不仅威逼了个体，也威逼了政府组织、企业和业务合作伙伴。。。2015年，一个重要的大数据举措将遭到salami攻击的阻碍。而另一个积极方面便是，美国软件公司赛门铁克预测机器学习将成为对抗网络犯法的游戏改变者。

云服务是网络安全的另一个战场，Varonis Systems认为云和基础设施即服务(IaaS)公司将就它们管理和保护数据的能力彼此竞争，同时为顾客提供提高生产率的功能性。。。没法提供相同程度的访问控制、数据保护和提高生产率的云公司将没法取得顾客最至关重要的数据。与此同时，IDC认为安全软件本身应当进入云：企业将把安全软件作为一种服务(SaaS)。在2015年底，15%的安全保障将通过SaaS来提供，到2018年这一比例将到达33%。

好几名评论员注意到2014年零售商面临的大量高调攻击这1趋势预计在2015年将继续延续：黑客以零售ATM机为目标(卡巴斯基实验室);零售漏洞2014年只是冰山一角(Damballa)。因此，Forrester预测2015年零售安全预算将翻倍。2015年预测的其它新型攻击方式包括开源软件和脆弱的第三方，例如供应链的连接或歹意软件感染的广告(歹意广告)。

高调的安全漏洞还将延续成为2015年的新闻热门(显著的数据泄漏将致使网络安全问题延续遭到关注赛门铁克)。但是，Websense尤其关注健康数据，这主要是考虑到没有任何类型的记录能包括这么详实的个人验证信息(PII)，后者可以被用于一系列的后续攻击和各种类型的欺骗。

加密和隐私仍出现在2015年的安全预测里。据BlueCoat表示，加密是把双刃剑：使用加密将继续保护顾客隐私。而藏匿在加密以后的歹意软件将躲避大多数企业的检测，这些企业试图在员工隐私和加密背后隐藏的攻击之间找到平衡点。例如Sophos从政治角度谈到：随着情报局监视和数据泄漏被表露，公众的安全意识和隐私耽忧愈来愈强烈，加密最终将变成某种默许状态。某些组织，例如法律部门和情报局可能对此不满，由于他们认为这对安全性将产生有害的影响。

好几项预测主要是监管、许诺和网络保险的联合。在安全泄漏通知法律问题上，Varonis Systems强调了中部-大西洋分化：在欧盟的数据将更安全(这多亏了数据保护条例)，但是在美国呢?这1问题再次强调了Nephapsis的预测一家美国公司将卷入重大的欧盟数据泄漏事件。顾客信息泄漏后上百万美金的罚款和起诉的前景致使Forrester预测1亿美金的网络保险将成为规范，这1观点得到了FireEye的回应。

好几名评论员也提到了组织安全策略的进化。FireEye认为愈来愈少的企业会运行自己的安全运营中心(SOC)，企业应当从和平时期转向战时心态，虽然网络安全问题致使IDC预测截止2018年，75%的首席安全官CSO和首席信息安全官CISOs将向公司CEO，而非首席信息官CIO直接汇报。

FireEye和Damballa也重点强调了高级隐形网络攻击的情报侦测及预防，这俩家公司致力于为这1领域提供专业的解决方案。FireEye认为企业将资金转向投入高级监测、响应和取证，而Damballa表示2014年下半年组织投资了威逼监测和响应并预测这一趋势将在2015年延续。

国家资助和政治驱使的攻击类型也被一些评论员提及:黑客们将坐在电脑前展开新型的网络战(Websense);特务软件(espionageware)的突起(BlueCoat);网络特务攻击将会继续并且以更高频率产生(McAfee);以政治报复为目的的黑客将会攻击普通公民(Neohapsis);Websense提示网络战争/恐怖主义将会更多地由所谓的无附属单位的个体所主导，他们虽然与政府无关，但却打着支持民族国家事业的口号。

勒索软件(Ransomware)，一种黑客用于劫持用户资产或资源并以此为条件向用户勒索钱财的歹意软件，被预测在未来将以更大的范围和更高的频率出现。BlueCoat预测勒索软件将会对受感染的用户要价更高。Lancope认为未来将出现勒索软件膨胀;赛门铁克预计欺骗分子将继续开发这类以敲诈勒索为目的的软件;McAfee更是认为勒索软件会在攻击手段、加密方法和目标用户选择上更智能。

剩余的预测类型包括生物测定学、多因素认证、网络犯法和网络安全技能，使人惊讶的是后者只被提到了一次，Sophos表示全球技能的间隔将继续增大，其中应急响应和教育是关键重心。

展望

有关网络安全有一件事是肯定的：公司只依赖防火墙和安装杀毒软件来保护网络安全是远远不够的。首席安全官和首席信息安全官需要延续监测进化的威逼，将如果我们被攻击的观点转变为当我们被攻击了的状态。

公司组织的社会、移动、大数据、云服务和其它数字化转换策略毫无疑问将面临新型网络攻击，后者将不断的测试目前的网络安全工具箱防火墙、杀毒软件、VPN、入侵检测/保护系统、高级威逼防护等等。如果这些还不够，那末需要投资新的防护措施、技能熟练的员工来操作它们和投资网络保险。(艾米丽)

中国通用航空有限责任公司

周口若熙服装有限公司

中电科安科技股份有限公司