2013年的八大网络安全威胁
2012年的大门正在关闭,展望新一年的时候到了。就在你为2013年制定商业与IT计划的同时,网络罪犯们也正在制定新年规划,准备着针对特定计算机系统与大大小小的组织发起愈加复杂的攻击。
在过去的一年中,企业遭受了多起严重的黑客攻击与破坏事件。随着攻击者与企业间的“军备竞赛”在2013年进一步升级,IT部门与安全专家将需要时时都比黑客罪犯技高一筹,以保护企业不受攻击威胁。2013年,恶意黑客们将使用哪些顶尖手段,对企业带来哪些最大的安全威胁呢?以下是我的预测。
第一大威胁:社会工程
这一切将开始于社会工程——一种无论在实体还是数字世界级都久经沙场的“黑帽战术”。在计算机时代来临之前,它就是凭借巧言令色(而非一封措辞巧妙的电子邮件)偷偷绕过一家公司的防线。如今,社会工程已经开始利用起了包括Facebook和LinkedIn在内的社交网络。
攻击者正扩展社会工程的使用面,不再仅限于致电目标雇员,然后钓出信息。在过去,他们也许会打电话到前台,要求转接到目标雇员,这样从来电显示看就像是一个公司内部电话。然而,如果网络罪犯所寻找的细节信息早已被发布在社交网络之上,那么就不需要以上战术了。毕竟,社交网络就是用来建立与经营人脉的,只消一个令人信服的公司或个人主页,再加之以一个加好友请求,就足以成就一场社会工程骗局。
警惕社会工程的重要性不言而喻,因为它可能预示着某一旨在突破公司防御墙的复杂攻击。过去一年发生了多起针对企业和政府的高调攻击(如Gauss和Flame)。这些攻击被称为高级持续性威胁(APTs)。他们高度复杂,是精心构建的产物,背后的用意是获取某个网络的访问权限并神不知鬼不觉地盗取信息。他们采取“韬光养晦”的策略,通常难以被发现,因而成功率颇高。
此外,APTs不需要每次都将Microsoft Word这样的知名软件作为攻击对象,它们也可以攻击其他载体,比如嵌入式系统。随着眼下拥有互联网地址协议的设备日益增多,建设系统安全性的需要从未如今天这样迫切。
随着各国政府和其他资金雄厚的机构将网络作为展开间谍活动的场所,APTs将继续存在下去。实际上,APT此时此刻就在活跃,所以务必警惕你网络信息流通量中的异常现象。
第三大威胁:内部威胁
一些最危险的攻击还是来自于内部。考虑到一名特权用户所能造成的破坏程度之大、其能够访问的内部信息之多,这些攻击的破坏性可能是最大的。在一项由美国国土安全部、卡内基梅隆大学(Carnegie Mellon University)软件工程研究所的CERT内部威胁中心(Insider Threat Center)和美国特勤局资助的调查中,研究者发现,在金融行业中实施欺诈的恶意内部人士普遍都能逍遥法外,往往需要近32个月之后才会被揭穿。正如俗语所说,信任是一种珍贵的商品,但太多的信任也可能让你不堪一击。
第四大威胁:BYOD
企业想方设法以合适的技术与政策组合追赶“设备自带”(bring-your-own-device;简称BYOD)潮流的同时,他们也将信任问题带到了手机领域。用户正日益将自己的手机当成电脑使,这使他们暴露在原本只有在操作台式机时才面临的网络攻击风险之下。
而攻击者也很可能会更加频繁地试图绕过手机供应商用来保卫应用市场而设置的应用审核以及检测机制。这一切都意味着,涌入办公室的iPhone、谷歌安卓(Android)手机等设备正在开启另一个有待把守的黑客入口。想想看,你的智能手机有摄像头,也有麦克风,它可以用来录制谈话。这些功能再加上访问公司网络的权限,一把翻越公司防线的完美活梯就造成了。
第五大威胁:云安全
然而,BYOD还不是改变企业关键数据防护墙的唯一变化趋势。眼下还有一种“小”趋势,它的名字就是“云计算”。随着越来越多的企业将更多信息移入公共云服务中,这些服务变成诱人的猎物,可以成为扼住一家公司的咽喉。对企业而言,这意味着在企业与云服务提供商的对话中,安全问题必须继续占据重要地位,而企业也需要明确自己的需求。
第六大威胁:HTML5
正如云计算的普及改变了攻击面的分布,HTML5的普及也是如此。在今年早些时候召开的“黑帽会议”上(安全专家通常会从中预测未来可能出现的攻击),有人曾指出,HTML5的跨平台支持与多种技术整合为攻击打开了新的可能性,比如抓住Web Worker功能(HTML5 提供的javascript多线程解决方案——译注)实施破坏。尽管人们对HTML5安全的关注度越来越高,HTML5的初来乍到意味着开发者在使用时势必会犯错,而攻击者则将趁虚而入。所以做好心理准备,基于HTML5的攻击可能在明年出现大幅飙升,但理想情况下应能随着安全性的日渐提高而逐渐减少。
第七大威胁:僵尸网络
尽管研究人员与攻击者之间的“军备竞赛”对创新情有独钟,但网络罪犯预计还是会花大量时间完善他们的“拿手好戏”,比如确保僵尸网络的高度可利用性和分散性。尽管诸如微软等公司依法发起的反攻措施卓有成效,暂时性地阻断了垃圾邮件和恶意软件的运作,但以为攻击者不会从中吸取教训并增强未来攻击力,这种想法未免有些天真。僵尸网络已经在我们的生活中安家落户。
第八大威胁:精确定位的恶意软件
攻击者也会从研究人员在分析他们的恶意软件时所采取的步骤中吸取教训,最近的某演示证明,一种技术可以通过设计恶意软件使分析无效,这种软件的特点就是除了在目标环境中以外,在其他任何环境中都无法被正确执行。此类攻击的例子包括Flashback和Gauss.两者都成功破坏了研究人员实施自动化恶意软件分析的可能性,Gauss尤甚。新的一年中,攻击者将继续提升这些技巧,使他们的恶意软件更加“专一”,只攻击那些拥有特定配置的电脑。
有一点可以肯定——2013势必将通过从社交网络到移动设备到雇员本身的各种载体带来数量庞大的漏洞利用与恶意软件。随着计算机与操作系统安全性的不断提升,网络罪犯绕过这些防御措施的技能也会随之提高。因此,我们又多了一个将安全作为新年决心的理由。