2017年全球8大网络安全威胁趋势预测

1. 更多的IOT意味着更多的DDOS攻击

2008年,IBM提议智能城市建设,就是所谓的Smart City。之后,越来越多的科技会议都在探讨研究Smart City这个理念。要建设Smart City,首先离不开的就是IOT(Internet of Things)。传统的网络已经不能满足人类的需求,因此物联网时代诞生了。摄像头要联网,监控系统要联网,汽车要联网,工控设备要联网,甚至人也要联网等,而这几年也是物联网时代的一个元年。但是,IOT的安全却不容乐观。2016年10月,美国DNS服务商遭到大型DDOS攻击,而这些攻击流量大部分都是从被入侵的IOT设备发出来的。随后,德国电信又遭到大型DDOS攻击,超过90万台路由器下线,其攻击流量也是从被入侵的IOT设备中发出的。随后新加坡等数个东南亚国家相继遭受到大范围的DDOS攻击。2017年,如果IOT厂商和用户还不注重这方面的安全,那么2017年或有可能产生有史以来最大范围和流量的DDOS攻击。

2. 数据盗窃

春节来临之前,全球众多厂商的Mongo DB,ES等未做登陆验证的数据库遭到黑客入侵。黑客拖下数据备份,并且删除线上服务器的数据以此来进行勒索。这只是其中一个例子,2017年,个人数据,金融数据等将是数据盗窃团伙的首要目标。特别是近几年,大量的厂商开始推行Saas平台,一旦Saas平台遭到入侵,数据盗取量是十分惊人的。2016年,Yahoo以10亿数据泄露的代价成为史上最佳数据泄露的互联网企业,每年数据泄露的数量都在大幅度上升。值得庆幸的是《中国国家网络安全法》已经发布,该法案将在2017年6月份开始执行。该法案对于企业和政府安全基础建设有着极大的推动力。或许在执行该法案后,中国地区数据盗窃量会有所下降。

3. Web程序将遭受到更多的攻击

虽然WAF发展已经有数年的时间,但是WAF其主要作用还是在DDOS,SQL注入,XSS等常规攻击上做维护。不过,像权限绕过,SSRF, CSRF等逻辑漏洞是无法用安全产品来进行维护的。2017年,众测平台将会有较大的发展,单纯靠机器挖掘漏洞已经不能满足于需求,人工检测漏洞的服务数量或许会大幅度上升。

4. 网络勒索继续来袭

2017年,网络勒索的数量和方式会有较大的提升。主要勒索类型为:软件勒索,数据勒索和DDOS勒索。

勒索软件将会跨平台进行勒索,除了针对个人PC的勒索外,还有移动端勒索软件,工控设备勒索,服务器系统勒索软件等。这些勒索软件普遍采用RSA对系统内的文件进行加密,除了暴力破解和付费,别无其它方法。针对这个类型的攻击,除了用户和员工的安全意识培养以外,还需要在相关的安全基础建设外下功夫,比如病毒防火墙,云查杀,沙箱查杀等。

近几个月,数据勒索事件也开始增加。2016年年底,大量的ES,Mongo DB数据由于未做验证,导致黑客可以进行未授权访问这些数据库。黑客拖下数据之后做备份,并且删除了数据服务器上的一切数据以此来做勒索。应对这种勒索方式,厂商需要提前做好云备份或者实时备份措施,同时需要对数据库登陆口令进行检测,杜绝弱口令和无口令的情况发生。

2016年OVH服务器供应商遭到了1Tbps的IOT DDOS攻击。由于市面上大量IOT设备存在诸多漏洞,所以黑客可以拥有一个非常强大并且稳定的肉鸡集群。或许在2017年,会有多家互联网企业遭受DDOS勒索攻击。

5. 自己都不知道的密码才是最安全的密码

千万防火墙,毁于abc123。互联网上最大的漏洞不是在于软件,而是在于人。复杂的密码记不住,简单的密码又容易被破解。2017年,密码枚举可以算作十大网络安全问题之一。为了解决这个问题,IDaaS(身份即服务)诞生了,非常可惜的是,洋葱IDaaS在前不久因为资金问题,宣布解散。目前的安全市场,做IDaaS缺的不是方向,也不是技术,而是时间和成熟的“土壤”,而IDaaS市场的春天预计是在三年后。除了IDaaS以外,还有各式各样的认证模式也在发展当中,比如二维码认证,指纹认证,人脸认证等。

6. Flash?算了吧

每年Flash都会给我们各种0day大礼包。2015年,Hacking Team泄露了三个flash的漏洞,2016年,又爆出了CVE-2016-1019和CVE-2016-4117。这两年来,Flash的漏洞总是被CVSS定义为高危漏洞。特别是前几个月,方程式小组被Shadow Brokers 入侵,不知道里面的0day会不会有Flash的。 2017年,估计还会有新的Flash漏洞爆出来。

感谢Adobe给我们提供Flash那么多年,但是它真的老了,可以退休了。 2017年,弃Flash,保平安。

7. 日防夜防,家贼难防

现有的安全产品,主要是针对外部的网络攻击,但是针对内部威胁的安全产品却非常少。早在2007年,就有人提出内部威胁成跨国公司网络安全最大挑战。 2016年,中国某科研人员偷卖90项国家绝密情报被判死缓。随着安全市场的飞速发展,目前外部入侵需要花费很大的成本和精力,从内部攻击则有很大的优势。内部威胁,有些是随机性的,有些是计划性的,有些是远程性的。要对内部威胁做防护,最大的痛点不是在于系统,而是在于人,管理人比管理系统还要复杂得多。因此,2017年,内部威胁将是安全市场的一大挑战。

8. 安全人才缺口巨大

2016年,中国网络安全人才缺口在50万左右,预计到2020年这个数字会增长到140万。但是近三年来,全国高校只输出了3万左右的安全人员。现有的安全人才数量远远跟不上市场的需求量。没有人,任何安全维护都是空谈。安全人才短缺是一个全球性的问题,美国也是如此。2015年开始,美国各大企业已经和众多高校合作,建立人才培养基地,培养持续网络教育的环境,并且针对安全人才提供稳定就业机会和发展空间。根据Security Intelligence的调查,在硅谷网络安全人才的失业率目前保持在百分之零。2017年,中国安全市场最大的挑战不在于技术,而是在于安全人才的培养。

总结

2016年很危险,2017年会更危险。

网络安全,任重道远。

祝大家新的一年,继续加油!

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-02-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

走近黑客产业链:藏匿在黑暗世界的暴利链条

当你肆无忌惮地使用互联网带给你的便捷时,你可曾知道,有一群神秘人物正隐藏在黑暗处,试图夺走你辛苦争来的金钱与网络信用。 黑客生态圈 在安全圈,“黑”和“白”不仅...

2867
来自专栏腾讯研究院的专栏

牛津Mark Howard Stephens:欧盟被遗忘权面临的发展与挑战

11月22-23日,由腾讯互联网与社会研究院发起并联合北京大学法学院、斯坦福大学法学院、牛津大学法学院联合举办的第三届“2014北大-斯坦福-牛津:互联网...

3486
来自专栏域名资讯

“易老板”、“价格战”等三拼域名相继结拍

域名的好坏有一个评判标注:只要符合品牌的宣传和推广,符合我们中国人的搜索习惯,简单易记就是最好的

2250
来自专栏互联网高可用架构

解密支付平台建设资金底线防火墙的杀手级设计方案

1372
来自专栏腾讯云安全的专栏

搭载 AI 引擎 腾讯云云镜开启全面防护模式

5.1K5
来自专栏数据猿

弗吉尼亚理工大学教授:中国家庭都会从电力消费者转变成产消者

【数据猿导读】居民正在从电力消费者转变为产消者,楼宇也从被动电力使用者,转变为可再生能源的管理者与电网供电的主动提供者,向电网出售多余电能来获取收入

1152
来自专栏腾讯研究院的专栏

全球隐私及数据保护法律政策动态报告(下)

四、其他地区 (一)俄罗斯 俄罗斯总理梅德韦杰夫签署法令,进一步加强对互联网的控制,要求互联网用户使用公共WIFI热点时需提供个人身份信息,这一政策激...

1949
来自专栏BestSDK

“七侠犬”:开放API,提供13亿人实名认证数据

互联网行业的迅猛发展,网络实名制引起我们关注和重视,为了加强网络秩序的安全管理各行各业开始相继进入了实名制时代。出于对实名制的运营本钱和程序快捷性的考虑, 身份...

5112
来自专栏安恒信息

安恒信息助力WE+峰会 共同探讨智慧校园建设

2018年4月19日,以“数聚·新动能” 为主题的 “We+2018智绘互联校园新生态峰会”在苏州太湖国际会议中心正式开幕。近2000名来自全国700多所高校的...

1272
来自专栏黑白安全

GDPR 生效后谷歌、FB 遭 19 起投诉 欧盟或进行隐私调查

自从欧盟《通用数据保护条例》(GDPR)今年5月底生效以来,已经出现19起针对谷歌和Facebook及相关应用提交的跨境投诉,导致这两家公司和产品可能遭到欧盟的...

1292

扫码关注云+社区

领取腾讯云代金券