关于2015年的网络安全,我们需要关注一些问题
日期:2015-02-05点击:4512
信息安全和隐私似乎是永恒的热门话题,近几个月出现了不少高调的网络攻击和暴行,这导致全世界的中心再次关注于围绕数据保护、加密、隐私和监控的话题。这些占据新闻头条的事件涉及了政府、企业和其它组织、家庭和个人的数据泄露。
网络安全问题近期出现在世界上最显著的平台之一上——美国年度国情咨文,美国总统奥巴马表示:
“绝不允许任何国家或者黑客有关闭我们网络,窃取我们的商业机密或者侵犯美国家庭隐私的能力。我们正在确保政府联合情报机构打击网络威胁,正如我们对抗恐怖主义一样。今晚,我催促国会通过法案以更好打击日益猖獗的网络攻击和身份窃盗,保护儿童的隐私信息。如果我们不积极行动起来,我们的国家和经济将面临威胁。但如果我们有所作为,我们就能继续保护造福于全世界人民的科技。”
那些非法窃取在线信息和通讯的黑客以及试图保护信息安全的人们已经陷入一场军备竞赛。每一年都会发生各种黑客攻击,日益进化的网络技术导致安全行业努力利用现有工具抵抗攻击,同时收集有关新威胁的情报。用户也是这一问题的一部分,他们粗心或者恶意的网络行为让黑客有机可乘,或者直接导致网络漏洞。
2014年顶级安全漏洞
根据电子邮件收发和网络安全解决方案的领先供应商AppRiver,以下是美国2014年的某些主要的安全漏洞:
这还不算全部的名单,但很明显组织性越来越强的网络罪犯正从企业和其它公司里窃取大量机密数据。当出现安全漏洞时,公司或组织担心的并不是丢失宝贵/敏感的数据,而是品牌或者声誉遭遇巨大损失,而这需要大量时间和金钱来修复。
2014年最高调的网络攻击是11月索尼影视娱乐有限公司(Sony Pictures Entertainment,以下简称索尼影视)被自称为“和平卫士”(Guardians of Peace,简称GOP)的黑客组织窃取公司数据。窃取的100TB数据包含雇员信息(据称包含了47000份社会保险号)。索尼影视被黑客攻击也有政治因素,因为GOP黑客组织要求索尼影业取消电影《刺杀金正恩》的上映,后者是一部有关密谋刺杀朝鲜领导人金正恩的喜剧。尽管GOP黑客组织的身份目前仍是个谜,但美国政府将矛头指向朝鲜,但后者拒绝承认与黑客攻击有关。
2015安全预测
供应商、分析师和权威人士每年年初都会对接下来12个月的网络安全进行预测。尽管有些人对“谈论”这一话题饶有兴趣,但不可否认,安全和隐私已经是企业、组织、个体和政府议程中非常重要的一部分。因此我们调查17个组织发表的前瞻性文章并将产生的130项预测分为以下几类:
名单之首是“新型攻击媒介和平台”和“现有网络安全解决方案的进化”,这两类展示了网络安全军备竞赛的现实。在第一类,好几名评论员强调了“广泛使用的旧代码里的新漏洞”(卡巴斯基实验室),例如Heartbleed/OpenSSL和Shellshock/Bash,而企业移动管理市场领导者Sophos表示IPv6协议里的漏洞以及UEFI丰富的启动环境里rootkit和bot可能会产生新的攻击媒介。苹果是主要被标记的新平台,例如FireEye认为“苹果日益增长的企业足迹意味着恶意软件编写者将适应它们的工具箱”。近期销售数字只会更加刺激黑客对苹果产品的“垂涎欲滴”。
大部分预测属于第二类(“现有网络安全解决方案的进化”),包括Immuni Web的观点:如果单独使用或者没有人为干预“自动化安全工具和解决方案将不再高效”。全球性网络安全设备供应商Fortinet认为黑客将规避沙盒技术,并通过“在攻击中加入不相关内容阻碍调查者或者蓄意栽赃不相关的黑客”来转移调查者的注意力。同时互联网数据中心(IDC)分析师预测“到2017年,90%的企业的终点将是利用某种形式的硬件保护以确保企业的完整性”和“到2018年,25%的之前单独购买的安全应用程序将直接集成到企业的应用程序里”。
好几个预测类型都指出了特定的新攻击类型和平台,尤其是物联网、移动科技、社交网络、大数据和分析、云服务、零售终端和支付系统、网络技术、开源软件、第三方攻击和恶意广告。这显示了随着整个世界通过网络相连,黑客攻击的机会越来越多,例如近期发现的一个弱点使得通过基于Linux的控制软件就可以劫持无人机(或者无人驾驶飞行器)。
在第三类IoT里,整合Web、信息和数据安全防护解决方案提供商Websense指出“你的冰箱不是一个IT威胁,工业传感器才是。”也就是说,网络罪犯更可能攻击自动化行业,例如发电或者油气开采里的M2M通讯,而非试图“融化你的智能冰箱里的黄油或者煮沸牛奶”。Sophos对此表示赞同,它表示“ICS/SCADA与现实世界安全之间的差距只会越来越大。”在IoT这一栏的另一端,市场调研公司Forrester预测2015年“一个可穿戴设备的数据泄露会刺激联邦贸易委员会FTC采取行动”——而那些想要实施基于可穿戴设备的员工健康项目的企业应该三思了。
很多评论员表示第四类的移动平台将日益吸引黑客和网络罪犯的注意力,尤其是现在移动支付系统,例如Apple Pay已经日益成熟。Websense也认为黑客将以移动设备为目标,“不仅是为了攻破手机密码并从设备里窃取数据,更是作为一种媒介获取设备在云端存储的日益增多的数据资源”。
社交网络是黑客日益关注的另一个焦点,正如企业资安防护技术全球厂商BigCoat表示:“攻击工具将从社交网络里获得信息而以更好地方式实现个性化攻击。大多数攻击目标都有一定的社会背景,这增加了功效和简易性。黑客将利用他们对攻击目标的了解来获取至关重要的系统和数据。”
至于大数据和分析,商业软件厂商Varonis Systems警告salami攻击(一次只窃取一小部分资产)的兴起:“即使加密或者匿名化后,通过社交网络、信用卡交易、网络摄像头和数字足迹收集的大量数据可以拼凑成一张令人感到害怕的完整画面。这不仅威胁了个体,也威胁了政府组织、企业和业务合作伙伴。。。2015年,一个重要的大数据举措将受到salami攻击的阻碍”。而另一个积极方面便是,美国软件公司赛门铁克预测“机器学习将成为对抗网络犯罪的游戏改变者。”
云服务是网络安全的另一个战场,Varonis Systems认为“云和基础设施即服务(IaaS)公司将就它们管理和保护数据的能力彼此竞争,同时为顾客提供提高生产率的功能性。。。无法提供相同程度的访问控制、数据保护和提高生产率的云公司将无法获得顾客最至关重要的数据”。与此同时,IDC认为安全软件本身应该进入云:“企业将把安全软件作为一种服务(SaaS)。在2015年底,15%的安全保障将通过SaaS来提供,到2018年这一比例将达到33%。”
好几名评论员注意到2014年零售商面临的大量高调攻击——这一趋势预计在2015年将继续延续:“黑客以零售ATM机为目标(卡巴斯基实验室)”;“零售漏洞——2014年只是冰山一角”(Damballa)。因此,Forrester预测“2015年零售安全预算将翻倍”。2015年预测的其它新型攻击方式包括开源软件和脆弱的第三方,例如供应链的连接或者恶意软件感染的广告(恶意广告)。
高调的安全漏洞还将持续成为2015年的新闻热点(“显著的数据泄露将导致网络安全问题持续受到关注”——赛门铁克)。然而,Websense尤为关注健康数据,这主要是考虑到“没有任何类型的记录能包含这么详尽的个人验证信息(PII),后者可以被用于一系列的后续攻击和各种类型的诈骗”。
加密和隐私仍出现在2015年的安全预测里。据BlueCoat表示,加密是把双刃剑:“使用加密将继续保护顾客隐私。而隐匿在加密之后的恶意软件将躲避大多数企业的检测,这些企业试图在员工隐私和加密背后隐藏的攻击之间找到平衡点”。例如Sophos从政治角度谈到:“随着情报局监视以及数据泄露被披露,公众的安全意识和隐私担忧越来越强烈,加密最终将变成某种默认状态。某些组织,例如法律部门和情报局可能对此不满,因为他们认为这对安全性将产生有害的影响。”
好几项预测主要是监管、承诺和网络保险的联合。在安全泄露通知法律问题上,Varonis Systems强调了中部-大西洋分化:“在欧盟的数据将更安全(这多亏了数据保护条例),但是在美国呢?”这一问题再次强调了Nephapsis的预测“一家美国公司将卷入重大的欧盟数据泄露事件”。顾客信息泄露后“上百万美金的罚款和起诉”的前景导致Forrester预测”1亿美金的网络保险将成为规范,“这一观点得到了FireEye的回应。
好几名评论员也提到了组织安全策略的进化。FireEye认为“越来越少的企业会运行自己的安全运营中心(SOC)”,企业应该“从和平时期转向战时心态”,虽然网络安全问题导致IDC预测“截止2018年,75%的首席安全官CSO和首席信息安全官CISOs将向公司CEO,而非首席信息官CIO直接汇报”。
FireEye和Damballa也重点强调了高级隐形网络攻击的情报侦测及预防,这俩家公司致力于为这一领域提供专业的解决方案。FireEye认为企业将资金转向投入“高级监测、响应和取证”,而Damballa表示2014年下半年组织投资了“威胁监测和响应”并预测这一趋势将在2015年延续。
国家赞助以及政治驱使的攻击类型也被一些评论员提及:“黑客们将坐在电脑前开展新型的网络战”(Websense);“间谍软件(espionageware)的崛起”(BlueCoat);“网络间谍攻击将会继续并且以更高频率发生”(McAfee);“以政治报复为目的的黑客将会攻击普通公民”(Neohapsis);Websense提醒网络战争/恐怖主义将会更多地由所谓的无附属单位的个体所主导,他们虽然与政府无关,但却打着支持民族国家事业的口号。
勒索软件(Ransomware),一种黑客用于劫持用户资产或资源并以此为条件向用户勒索钱财的恶意软件,被预测在未来将以更大的范围和更高的频率出现。BlueCoat预测勒索软件将会对受感染的用户要价更高。Lancope认为未来将出现勒索软件膨胀;赛门铁克预计诈骗份子将继续开发这种以敲诈勒索为目的的软件;McAfee更是认为勒索软件会在攻击手段、加密方法以及目标用户选择上更智能。
剩余的预测类型包括生物测定学、多因素认证、网络犯罪和网络安全技能,令人惊讶的是后者只被提到了一次,Sophos表示“全球技能的间隔将继续增大,其中应急响应和教育是关键重心”。
展望
关于网络安全有一件事是肯定的:公司只依赖防火墙和安装杀毒软件来保护网络安全是远远不够的。首席安全官和首席信息安全官需要持续监测进化的威胁,将“如果我们被攻击”的观点转变为“当我们被攻击了”的状态。
公司组织的社会、移动、大数据、云服务以及其它数字化转换策略毫无疑问将面临新型网络攻击,后者将不断的测试目前的网络安全工具箱——防火墙、杀毒软件、VPN、入侵检测/保护系统、高级威胁防护等等。如果这些还不够,那么需要投资新的防护措施、技能熟练的员工来操作它们以及投资网络保险。