信息來源:FreeBuf
1. 更多的IOT意味著更多的DDOS攻擊
2008年��,IBM提議智能城市建設��,就是所謂的Smart City��。之后���,越來越多的科技會議都在探討研究Smart City這個理念��。要建設Smart City,首先離不開的就是IOT(Internet of Things)���。傳統(tǒng)的網(wǎng)絡已經(jīng)不能滿足人類的需求��,因此物聯(lián)網(wǎng)時代誕生了���。攝像頭要聯(lián)網(wǎng),監(jiān)控系統(tǒng)要聯(lián)網(wǎng),汽車要聯(lián)網(wǎng)��,工控設備要聯(lián)網(wǎng)��,甚至人也要聯(lián)網(wǎng)等��,而這幾年也是物聯(lián)網(wǎng)時代的一個元年���。但是���,IOT的安全卻不容樂觀。2016年10月��,美國DNS服務商遭到大型DDOS攻擊��,而這些攻擊流量大部分都是從被入侵的IOT設備發(fā)出來的��。隨后��,德國電信又遭到大型DDOS攻擊��,超過90萬臺路由器下線���,其攻擊流量也是從被入侵的IOT設備中發(fā)出的���。隨后新加坡等數(shù)個東南亞國家相繼遭受到大范圍的DDOS攻擊��。2017年��,如果IOT廠商和用戶還不注重這方面的安全��,那么2017年或有可能產(chǎn)生有史以來最大范圍和流量的DDOS攻擊��。
2. 數(shù)據(jù)盜竊
春節(jié)來臨之前��,全球眾多廠商的Mongo DB��,ES等未做登陸驗證的數(shù)據(jù)庫遭到黑客入侵��。黑客拖下數(shù)據(jù)備份���,并且刪除線上服務器的數(shù)據(jù)以此來進行勒索。這只是其中一個例子��,2017年��,個人數(shù)據(jù)���,金融數(shù)據(jù)等將是數(shù)據(jù)盜竊團伙的首要目標��。特別是近幾年��,大量的廠商開始推行Saas平臺���,一旦Saas平臺遭到入侵,數(shù)據(jù)盜取量是十分驚人的��。2016年���,Yahoo以10億數(shù)據(jù)泄露的代價成為史上最佳數(shù)據(jù)泄露的互聯(lián)網(wǎng)企業(yè)���,每年數(shù)據(jù)泄露的數(shù)量都在大幅度上升。值得慶幸的是《中國國家網(wǎng)絡安全法》已經(jīng)發(fā)布���,該法案將在2017年6月份開始執(zhí)行��。該法案對于企業(yè)和政府安全基礎(chǔ)建設有著極大的推動力��?�;蛟S在執(zhí)行該法案后��,中國地區(qū)數(shù)據(jù)盜竊量會有所下降���。
3. Web程序?qū)⒃馐艿礁嗟墓?/span>
雖然WAF發(fā)展已經(jīng)有數(shù)年的時間��,但是WAF其主要作用還是在DDOS��,SQL注入���,XSS等常規(guī)攻擊上做維護。不過��,像權(quán)限繞過��,SSRF, CSRF等邏輯漏洞是無法用安全產(chǎn)品來進行維護的��。2017年���,眾測平臺將會有較大的發(fā)展��,單純靠機器挖掘漏洞已經(jīng)不能滿足于需求��,人工檢測漏洞的服務數(shù)量或許會大幅度上升���。
4. 網(wǎng)絡勒索繼續(xù)來襲
2017年,網(wǎng)絡勒索的數(shù)量和方式會有較大的提升��。主要勒索類型為:軟件勒索���,數(shù)據(jù)勒索和DDOS勒索��。
勒索軟件將會跨平臺進行勒索���,除了針對個人PC的勒索外,還有移動端勒索軟件���,工控設備勒索��,服務器系統(tǒng)勒索軟件等��。這些勒索軟件普遍采用RSA對系統(tǒng)內(nèi)的文件進行加密��,除了暴力破解和付費���,別無其它方法。針對這個類型的攻擊��,除了用戶和員工的安全意識培養(yǎng)以外���,還需要在相關(guān)的安全基礎(chǔ)建設外下功夫��,比如病毒防火墻���,云查殺���,沙箱查殺等。
近幾個月���,數(shù)據(jù)勒索事件也開始增加���。2016年年底,大量的ES��,Mongo DB數(shù)據(jù)由于未做驗證��,導致黑客可以進行未授權(quán)訪問這些數(shù)據(jù)庫��。黑客拖下數(shù)據(jù)之后做備份��,并且刪除了數(shù)據(jù)服務器上的一切數(shù)據(jù)以此來做勒索���。應對這種勒索方式���,廠商需要提前做好云備份或者實時備份措施���,同時需要對數(shù)據(jù)庫登陸口令進行檢測,杜絕弱口令和無口令的情況發(fā)生���。
2016年OVH服務器供應商遭到了1Tbps的IOT DDOS攻擊。由于市面上大量IOT設備存在諸多漏洞���,所以黑客可以擁有一個非常強大并且穩(wěn)定的肉雞集群��?�;蛟S在2017年��,會有多家互聯(lián)網(wǎng)企業(yè)遭受DDOS勒索攻擊���。
5. 自己都不知道的密碼才是最安全的密碼
千萬防火墻,毀于abc123��?��;ヂ?lián)網(wǎng)上最大的漏洞不是在于軟件���,而是在于人���。復雜的密碼記不住,簡單的密碼又容易被破解��。2017年��,密碼枚舉可以算作十大網(wǎng)絡安全問題之一��。為了解決這個問題��,IDaaS(身份即服務)誕生了��,非?��?上У氖?�,洋蔥IDaaS在前不久因為資金問題��,宣布解散��。目前的安全市場���,做IDaaS缺的不是方向��,也不是技術(shù)���,而是時間和成熟的“土壤”,而IDaaS市場的春天預計是在三年后���。除了IDaaS以外���,還有各式各樣的認證模式也在發(fā)展當中���,比如二維碼認證���,指紋認證,人臉認證等���。
6. Flash���?算了吧
每年Flash都會給我們各種0day大禮包。2015年���,Hacking Team泄露了三個flash的漏洞��,2016年���,又爆出了CVE-2016-1019和CVE-2016-4117��。這兩年來��,F(xiàn)lash的漏洞總是被CVSS定義為高危漏洞���。特別是前幾個月,方程式小組被Shadow Brokers 入侵��,不知道里面的0day會不會有Flash的���。 2017年���,估計還會有新的Flash漏洞爆出來。
感謝Adobe給我們提供Flash那么多年���,但是它真的老了��,可以退休了���。 2017年���,棄Flash,保平安��。
7. 日防夜防���,家賊難防
現(xiàn)有的安全產(chǎn)品��,主要是針對外部的網(wǎng)絡攻擊���,但是針對內(nèi)部威脅的安全產(chǎn)品卻非常少。早在2007年��,就有人提出內(nèi)部威脅成跨國公司網(wǎng)絡安全最大挑戰(zhàn)��。 2016年��,中國某科研人員偷賣90項國家絕密情報被判死緩���。隨著安全市場的飛速發(fā)展,目前外部入侵需要花費很大的成本和精力��,從內(nèi)部攻擊則有很大的優(yōu)勢��。內(nèi)部威脅,有些是隨機性的��,有些是計劃性的��,有些是遠程性的��。要對內(nèi)部威脅做防護���,最大的痛點不是在于系統(tǒng)��,而是在于人��,管理人比管理系統(tǒng)還要復雜得多���。因此,2017年���,內(nèi)部威脅將是安全市場的一大挑戰(zhàn)���。
8. 安全人才缺口巨大
2016年,中國網(wǎng)絡安全人才缺口在50萬左右��,預計到2020年這個數(shù)字會增長到140萬���。但是近三年來���,全國高校只輸出了3萬左右的安全人員?��,F(xiàn)有的安全人才數(shù)量遠遠跟不上市場的需求量。沒有人���,任何安全維護都是空談��。安全人才短缺是一個全球性的問題��,美國也是如此���。2015年開始,美國各大企業(yè)已經(jīng)和眾多高校合作���,建立人才培養(yǎng)基地,培養(yǎng)持續(xù)網(wǎng)絡教育的環(huán)境��,并且針對安全人才提供穩(wěn)定就業(yè)機會和發(fā)展空間��。根據(jù)Security Intelligence的調(diào)查���,在硅谷網(wǎng)絡安全人才的失業(yè)率目前保持在百分之零���。2017年���,中國安全市場最大的挑戰(zhàn)不在于技術(shù),而是在于安全人才的培養(yǎng)��。
總結(jié)
2016年很危險��,2017年會更危險���。
網(wǎng)絡安全��,任重道遠���。
祝大家新的一年,繼續(xù)加油��!
* 本文作者:耿浩然@彩云安全(企業(yè)帳號)��,轉(zhuǎn)載請注明來自FreeBuf.COM
