> 2011年十大安全威胁趋势
51CTO网站消息:应用程序和数据安全解决方案厂商Imperva公布了2011年十大安全威胁趋势的预测,将有助于IT安全专业人员帮助组织抵御下一波网络安全攻击。
1、国家资助的黑客攻击:APT趋向产业化
国家赞助的黑客通常会实施有针对性的网络攻击,混合了商业黑客行业的观念和技术,这种攻击和传统的以金钱利益为目的的攻击有所不同,但使用的技术都 差不多,这些高级持续性威胁(Advanced Persistent Threat[APT])攻击会使用诸如自动化和病毒传播技术,使它们更加强大,攻击成功的可能性更大,大家还记得Stuxnet吧,它就是这样的例 子,Stuxnet不是为了获得你的银行卡密码,相反它是为了获得你基础设施的控制权。
这两种攻击(商业黑客产业和APT)使用相同的技术,因此有些安全保护措施可以适用于两者,从积极的一面来看,你可能还没有被网络黑手党发现,因此不会受到APT攻击威胁,因为APT是持续的,如果一个攻击不成功,另一个马上就会开始,传统的安全保护措施在这时会显得苍白无力,无法抵御这些由国家支持的黑客组织发起的冷酷攻击。对企业和政府而言,这意味着要在整个组织层增加监控和建立安全控制。
2、内部威胁远比你想象的要糟糕
在新的一年里,我们预计来自内部的攻击将会与日俱增,数据窃取和安全破坏常常有内部员工的份儿,这个时候最重要的是要揪出始作俑者,而不是考虑如何保护数据,如果你不知道内部威胁源隐藏在哪个角落,谈何保护呢?为了阻止内部威胁,组织应该:
实施强制访问控制,根据业务需要,该访问的则授予访问权,不该知道的就永远接触不到,最主要的就是消除权限分配不当。
给数据中心提供适当的访问审计工具,这些审计工具应该能监控谁在什么时候访问了什么数据。
3、浏览器中间人攻击将会膨胀
浏览器中间人(Man in the Browser,MitB)攻击将会上升,进而将目标转向更多类型的在线应用程序,因此,在线服务供应商应该将其列入2011年重大事项清单,尽量将消费者头上悬着的风险转移到自己头上。
虽然代理木马大多数时候责任都在用户一方,但MitB攻击迅速成为在线服务供应商关注的焦点,他们必须为自己的用户提供保护,正如汽车制造商也必须遵循行车安全技术的发展,类似ABS,安全气囊和ESP等保护司机和乘客的技术才会越来越多,而不是仅靠我们小心驾驶,因此在线服务供应商必须在安全保护方面加大投入,要能够监控已感染的用户,并能提供有效的指导消除威胁,这样的技术包括强设备认证,客户分析,会话流跟踪和站点到客户端验证。
4、社交网络中的隐私和安全
2011年我们将会看到社交网络的安全威胁会越来越大,隐私保护将成为焦点。最重要的两个因素是安全和信任,虽然可以保护个人信息不被其它应用程序 用户看到,但对于受信任的朋友,你却无法保证他不会泄露你的私密资料或以此为目的来接近你,就目前的社交平台来看,安全和信任还存在相当大的问题,跨站脚本(XSS)和跨站请求伪造(CSRF)正成为巨大的威胁。
明年在社交平台安全保护方面各个服务商肯定会投入更多资源,在应用程序层保护,强认证,帐户控制和恶意软件检测等方面将会有所突破。
5、文件安全
2011年我们将会看到更多资料外泄案例,特别是非结构化数据,我们会看到各类组织在这方面加大保护力度,主要是做好文件服务器的安全措施和文件本 身的访问控制。明年会有更多针对企业机密文件的攻击,这类数据将会受到极大的威胁,不仅仅是被复制,还可能会遭致彻底毁坏,在重视数据库安全的今天,企业必须提前做好敏感文件的防护工作。
但凭现在的技术和工具,要做好文件保护可能是一件很困难的事情,因为每个文件都是一个独立的实体,确定其所有者,设置访问权限和跟踪访问情况都是无比巨大的工作量,即使你再仔细,总会有疏漏,因此对敏感文件作强加密保护是稍微可靠的方法。
6、云数据安全
我们希望在2011年能看到更多云数据安全产品,这些产品必须适应私有云和公共云环境,在这方面安全厂商还滞后于云计算和黑客产业的发展,许多小型在线服务供应商目前正面临云安全威胁。
如果将所有云计算类型统一起来看(私有云,公共云,PaaS,IaaS和SaaS),不管是服务商还是用户都面临许多挑战,概括起来如下:
维护不同用户数据集之间的防弹分区;
为共享相同逻辑或物理平台的应用程序提供不同级别的数据安全保护;
保护用户数据,预防云管理员的窥视;
提供特殊基础设施(VM,Amazon AMI)上的解决方案;
管理云中应用程序和数据安全。
我们预计2011会出现更好的云应用程序安全保护技术,但数据安全解决方案将会稍微滞后一点。
7、移动设备危及数据安全
移动设备的迅速普及将会在来年给应用程序和数据安全工作带来极大的挑战,我们将会看到越来越多的组织在忙于传统的应用程序和数据安全工作外,疲于应对数量越来越多的移动设备带来的安全风险。
过去两年的事实证明,移动设备已经成为企业员工广泛使用和接入企业网络的办公工具,如ERP,CRM和文档管理都可以看到移动设备的影子,安全人员时刻担心这些设备是否会丢失或被盗,因为一些敏感数据可能会因此而泄露。
随着移动设备渐渐成为主流,在线服务供应商也会提供适合这些设备使用的应用程序版本,我们预计这样下去以前一些旧的漏洞可能会再次浮出水面,特别是身份识别和验证,应用程序很可能会被攻击者伪造的信息欺骗。
此外,一些所谓的"强"多因子身份验证方案会失效,例如,使用一次性密码(OTP)的应用程序往往会通过手机短信的方式给用户发送一次性密码,但经过精心设计的木马可以轻易获得通过手机短信发送的一次性密码。
可感染移动设备的恶意软件已经出现(如Zitmo),复杂的应用程序更容易遭受它们的攻击,这和我们现在使用的桌面平台是一样的。
我们预计明年与移动设备相关的事故会呈指数级增长,组织必须开始规划如何保护这些设备,以及如何与企业网络交互,工具和程序必须到位,如杀毒软件, 加密和认证,特别要监控这些设备访问了哪些企业资源(数据库,文件,内部网络),应用程序提供商也要一起配合做好安全防护工作,包括漏洞修复,信任度重新评估,以及新的认证和授权计划。
8、黑客们在打压下试图奋起反抗
2011年,网络犯罪将会出现两种变化,首先,许多小型犯罪团伙将会歇业,为什么呢?安全研究人员将会持续观察黑客的行动,一有机会就会将他们从地 洞中揪出来,黑客们也不会甘心束手就擒,他们会想出更多反侦察方法。其次,大一点的团伙会兼并或组合,以巩固和壮大他们的实力。
2010年即将画上句号,我们也看到更多这样的例子:
9月底,Zeus僵尸网络头目和相关成员被逮捕,其实安全人员早已跟踪了他们一年时间,包括成功渗透了他们的C&C服务器,同样命运的是Bredolab僵尸网络的主要成员,在Zeus头目被逮捕三周后,他们手上也戴上了冰冷的手铐。
10月中旬,Avalanche钓鱼诈骗集团结束了长达2年的疯狂,它们释放的MitB木马曾让无数人中招。
10月末伊朗网军(ICA)发起了带有强烈政治目的的DDoS攻击,并登广告出租他们的机器人。
10月末,曾经是竞争对手的spyEye和Zeus开始寻求合并,以谋求重生。
9、网络安全已成为业务流程的一部分
英特尔CEO欧德宁说:"我们认为安全已经成为计算的第三大支柱",可见厂商对安全的态度已经发生了重大转变,那么企业是怎么想的呢?
目前,网络安全不能脱离业务,为此,安全团队必须重新审视自己的角色,例如,过去,CIO的职责是销售笔记本电脑,今天,CIO必须建立供应链,过 去,CISO负责分发杀毒软件和设置防火墙,今天他们必须知道数据驻留在哪里,数据的移动,以及如何保护它们,很明显,今天的工作也比过去复杂多了,这意味着安全专家首先要成为业务流程专家。
10、数据安全和隐私法规
就象报纸的头版一样,许多企业每天都会泄露大量的机密信息,政府部门应通过立法来加强对敏感数据的保护,前不久FTC(联邦贸易委员会)和欧盟(OU)协商在大西洋两岸建立统一的数据安全法,因为对跨国公司而言,要同时遵守两边的法律可能会比较困难,政府应该出面建立一个共同的框架,给企业带来真正的方便。
1、国家资助的黑客攻击:APT趋向产业化
国家赞助的黑客通常会实施有针对性的网络攻击,混合了商业黑客行业的观念和技术,这种攻击和传统的以金钱利益为目的的攻击有所不同,但使用的技术都 差不多,这些高级持续性威胁(Advanced Persistent Threat[APT])攻击会使用诸如自动化和病毒传播技术,使它们更加强大,攻击成功的可能性更大,大家还记得Stuxnet吧,它就是这样的例 子,Stuxnet不是为了获得你的银行卡密码,相反它是为了获得你基础设施的控制权。
这两种攻击(商业黑客产业和APT)使用相同的技术,因此有些安全保护措施可以适用于两者,从积极的一面来看,你可能还没有被网络黑手党发现,因此不会受到APT攻击威胁,因为APT是持续的,如果一个攻击不成功,另一个马上就会开始,传统的安全保护措施在这时会显得苍白无力,无法抵御这些由国家支持的黑客组织发起的冷酷攻击。对企业和政府而言,这意味着要在整个组织层增加监控和建立安全控制。
2、内部威胁远比你想象的要糟糕
在新的一年里,我们预计来自内部的攻击将会与日俱增,数据窃取和安全破坏常常有内部员工的份儿,这个时候最重要的是要揪出始作俑者,而不是考虑如何保护数据,如果你不知道内部威胁源隐藏在哪个角落,谈何保护呢?为了阻止内部威胁,组织应该:
实施强制访问控制,根据业务需要,该访问的则授予访问权,不该知道的就永远接触不到,最主要的就是消除权限分配不当。
给数据中心提供适当的访问审计工具,这些审计工具应该能监控谁在什么时候访问了什么数据。
3、浏览器中间人攻击将会膨胀
浏览器中间人(Man in the Browser,MitB)攻击将会上升,进而将目标转向更多类型的在线应用程序,因此,在线服务供应商应该将其列入2011年重大事项清单,尽量将消费者头上悬着的风险转移到自己头上。
虽然代理木马大多数时候责任都在用户一方,但MitB攻击迅速成为在线服务供应商关注的焦点,他们必须为自己的用户提供保护,正如汽车制造商也必须遵循行车安全技术的发展,类似ABS,安全气囊和ESP等保护司机和乘客的技术才会越来越多,而不是仅靠我们小心驾驶,因此在线服务供应商必须在安全保护方面加大投入,要能够监控已感染的用户,并能提供有效的指导消除威胁,这样的技术包括强设备认证,客户分析,会话流跟踪和站点到客户端验证。
4、社交网络中的隐私和安全
2011年我们将会看到社交网络的安全威胁会越来越大,隐私保护将成为焦点。最重要的两个因素是安全和信任,虽然可以保护个人信息不被其它应用程序 用户看到,但对于受信任的朋友,你却无法保证他不会泄露你的私密资料或以此为目的来接近你,就目前的社交平台来看,安全和信任还存在相当大的问题,跨站脚本(XSS)和跨站请求伪造(CSRF)正成为巨大的威胁。
明年在社交平台安全保护方面各个服务商肯定会投入更多资源,在应用程序层保护,强认证,帐户控制和恶意软件检测等方面将会有所突破。
5、文件安全
2011年我们将会看到更多资料外泄案例,特别是非结构化数据,我们会看到各类组织在这方面加大保护力度,主要是做好文件服务器的安全措施和文件本 身的访问控制。明年会有更多针对企业机密文件的攻击,这类数据将会受到极大的威胁,不仅仅是被复制,还可能会遭致彻底毁坏,在重视数据库安全的今天,企业必须提前做好敏感文件的防护工作。
但凭现在的技术和工具,要做好文件保护可能是一件很困难的事情,因为每个文件都是一个独立的实体,确定其所有者,设置访问权限和跟踪访问情况都是无比巨大的工作量,即使你再仔细,总会有疏漏,因此对敏感文件作强加密保护是稍微可靠的方法。
6、云数据安全
我们希望在2011年能看到更多云数据安全产品,这些产品必须适应私有云和公共云环境,在这方面安全厂商还滞后于云计算和黑客产业的发展,许多小型在线服务供应商目前正面临云安全威胁。
如果将所有云计算类型统一起来看(私有云,公共云,PaaS,IaaS和SaaS),不管是服务商还是用户都面临许多挑战,概括起来如下:
维护不同用户数据集之间的防弹分区;
为共享相同逻辑或物理平台的应用程序提供不同级别的数据安全保护;
保护用户数据,预防云管理员的窥视;
提供特殊基础设施(VM,Amazon AMI)上的解决方案;
管理云中应用程序和数据安全。
我们预计2011会出现更好的云应用程序安全保护技术,但数据安全解决方案将会稍微滞后一点。
7、移动设备危及数据安全
移动设备的迅速普及将会在来年给应用程序和数据安全工作带来极大的挑战,我们将会看到越来越多的组织在忙于传统的应用程序和数据安全工作外,疲于应对数量越来越多的移动设备带来的安全风险。
过去两年的事实证明,移动设备已经成为企业员工广泛使用和接入企业网络的办公工具,如ERP,CRM和文档管理都可以看到移动设备的影子,安全人员时刻担心这些设备是否会丢失或被盗,因为一些敏感数据可能会因此而泄露。
随着移动设备渐渐成为主流,在线服务供应商也会提供适合这些设备使用的应用程序版本,我们预计这样下去以前一些旧的漏洞可能会再次浮出水面,特别是身份识别和验证,应用程序很可能会被攻击者伪造的信息欺骗。
此外,一些所谓的"强"多因子身份验证方案会失效,例如,使用一次性密码(OTP)的应用程序往往会通过手机短信的方式给用户发送一次性密码,但经过精心设计的木马可以轻易获得通过手机短信发送的一次性密码。
可感染移动设备的恶意软件已经出现(如Zitmo),复杂的应用程序更容易遭受它们的攻击,这和我们现在使用的桌面平台是一样的。
我们预计明年与移动设备相关的事故会呈指数级增长,组织必须开始规划如何保护这些设备,以及如何与企业网络交互,工具和程序必须到位,如杀毒软件, 加密和认证,特别要监控这些设备访问了哪些企业资源(数据库,文件,内部网络),应用程序提供商也要一起配合做好安全防护工作,包括漏洞修复,信任度重新评估,以及新的认证和授权计划。
8、黑客们在打压下试图奋起反抗
2011年,网络犯罪将会出现两种变化,首先,许多小型犯罪团伙将会歇业,为什么呢?安全研究人员将会持续观察黑客的行动,一有机会就会将他们从地 洞中揪出来,黑客们也不会甘心束手就擒,他们会想出更多反侦察方法。其次,大一点的团伙会兼并或组合,以巩固和壮大他们的实力。
2010年即将画上句号,我们也看到更多这样的例子:
9月底,Zeus僵尸网络头目和相关成员被逮捕,其实安全人员早已跟踪了他们一年时间,包括成功渗透了他们的C&C服务器,同样命运的是Bredolab僵尸网络的主要成员,在Zeus头目被逮捕三周后,他们手上也戴上了冰冷的手铐。
10月中旬,Avalanche钓鱼诈骗集团结束了长达2年的疯狂,它们释放的MitB木马曾让无数人中招。
10月末伊朗网军(ICA)发起了带有强烈政治目的的DDoS攻击,并登广告出租他们的机器人。
10月末,曾经是竞争对手的spyEye和Zeus开始寻求合并,以谋求重生。
9、网络安全已成为业务流程的一部分
英特尔CEO欧德宁说:"我们认为安全已经成为计算的第三大支柱",可见厂商对安全的态度已经发生了重大转变,那么企业是怎么想的呢?
目前,网络安全不能脱离业务,为此,安全团队必须重新审视自己的角色,例如,过去,CIO的职责是销售笔记本电脑,今天,CIO必须建立供应链,过 去,CISO负责分发杀毒软件和设置防火墙,今天他们必须知道数据驻留在哪里,数据的移动,以及如何保护它们,很明显,今天的工作也比过去复杂多了,这意味着安全专家首先要成为业务流程专家。
10、数据安全和隐私法规
就象报纸的头版一样,许多企业每天都会泄露大量的机密信息,政府部门应通过立法来加强对敏感数据的保护,前不久FTC(联邦贸易委员会)和欧盟(OU)协商在大西洋两岸建立统一的数据安全法,因为对跨国公司而言,要同时遵守两边的法律可能会比较困难,政府应该出面建立一个共同的框架,给企业带来真正的方便。