信息來(lái)源：FreeBuf

1. 更多的IOT意味著更多的DDOS攻擊

2008年，IBM提議智能城市建設(shè)，就是所謂的Smart City。之后，越來(lái)越多的科技會(huì)議都在探討研究Smart City這個(gè)理念。要建設(shè)Smart City，首先離不開(kāi)的就是IOT(Internet of Things)。傳統(tǒng)的網(wǎng)絡(luò)已經(jīng)不能滿足人類的需求，因此物聯(lián)網(wǎng)時(shí)代誕生了。攝像頭要聯(lián)網(wǎng)，監(jiān)控系統(tǒng)要聯(lián)網(wǎng)，汽車要聯(lián)網(wǎng)，工控設(shè)備要聯(lián)網(wǎng)，甚至人也要聯(lián)網(wǎng)等，而這幾年也是物聯(lián)網(wǎng)時(shí)代的一個(gè)元年。但是，IOT的安全卻不容樂(lè)觀。2016年10月，美國(guó)DNS服務(wù)商遭到大型DDOS攻擊，而這些攻擊流量大部分都是從被入侵的IOT設(shè)備發(fā)出來(lái)的。隨后，德國(guó)電信又遭到大型DDOS攻擊，超過(guò)90萬(wàn)臺(tái)路由器下線，其攻擊流量也是從被入侵的IOT設(shè)備中發(fā)出的。隨后新加坡等數(shù)個(gè)東南亞國(guó)家相繼遭受到大范圍的DDOS攻擊。2017年，如果IOT廠商和用戶還不注重這方面的安全，那么2017年或有可能產(chǎn)生有史以來(lái)最大范圍和流量的DDOS攻擊。

2. 數(shù)據(jù)盜竊

春節(jié)來(lái)臨之前，全球眾多廠商的Mongo DB，ES等未做登陸驗(yàn)證的數(shù)據(jù)庫(kù)遭到黑客入侵。黑客拖下數(shù)據(jù)備份，并且刪除線上服務(wù)器的數(shù)據(jù)以此來(lái)進(jìn)行勒索。這只是其中一個(gè)例子，2017年，個(gè)人數(shù)據(jù)，金融數(shù)據(jù)等將是數(shù)據(jù)盜竊團(tuán)伙的首要目標(biāo)。特別是近幾年，大量的廠商開(kāi)始推行Saas平臺(tái)，一旦Saas平臺(tái)遭到入侵，數(shù)據(jù)盜取量是十分驚人的。2016年，Yahoo以10億數(shù)據(jù)泄露的代價(jià)成為史上最佳數(shù)據(jù)泄露的互聯(lián)網(wǎng)企業(yè)，每年數(shù)據(jù)泄露的數(shù)量都在大幅度上升。值得慶幸的是《中國(guó)國(guó)家網(wǎng)絡(luò)安全法》已經(jīng)發(fā)布，該法案將在2017年6月份開(kāi)始執(zhí)行。該法案對(duì)于企業(yè)和政府安全基礎(chǔ)建設(shè)有著極大的推動(dòng)力。或許在執(zhí)行該法案后，中國(guó)地區(qū)數(shù)據(jù)盜竊量會(huì)有所下降。

3. Web程序?qū)⒃馐艿礁嗟墓?/span>

雖然WAF發(fā)展已經(jīng)有數(shù)年的時(shí)間，但是WAF其主要作用還是在DDOS，SQL注入，XSS等常規(guī)攻擊上做維護(hù)。不過(guò)，像權(quán)限繞過(guò)，SSRF, CSRF等邏輯漏洞是無(wú)法用安全產(chǎn)品來(lái)進(jìn)行維護(hù)的。2017年，眾測(cè)平臺(tái)將會(huì)有較大的發(fā)展，單純靠機(jī)器挖掘漏洞已經(jīng)不能滿足于需求，人工檢測(cè)漏洞的服務(wù)數(shù)量或許會(huì)大幅度上升。

4. 網(wǎng)絡(luò)勒索繼續(xù)來(lái)襲

2017年，網(wǎng)絡(luò)勒索的數(shù)量和方式會(huì)有較大的提升。主要勒索類型為：軟件勒索，數(shù)據(jù)勒索和DDOS勒索。

勒索軟件將會(huì)跨平臺(tái)進(jìn)行勒索，除了針對(duì)個(gè)人PC的勒索外，還有移動(dòng)端勒索軟件，工控設(shè)備勒索，服務(wù)器系統(tǒng)勒索軟件等。這些勒索軟件普遍采用RSA對(duì)系統(tǒng)內(nèi)的文件進(jìn)行加密，除了暴力破解和付費(fèi)，別無(wú)其它方法。針對(duì)這個(gè)類型的攻擊，除了用戶和員工的安全意識(shí)培養(yǎng)以外，還需要在相關(guān)的安全基礎(chǔ)建設(shè)外下功夫，比如病毒防火墻，云查殺，沙箱查殺等。

近幾個(gè)月，數(shù)據(jù)勒索事件也開(kāi)始增加。2016年年底，大量的ES，Mongo DB數(shù)據(jù)由于未做驗(yàn)證，導(dǎo)致黑客可以進(jìn)行未授權(quán)訪問(wèn)這些數(shù)據(jù)庫(kù)。黑客拖下數(shù)據(jù)之后做備份，并且刪除了數(shù)據(jù)服務(wù)器上的一切數(shù)據(jù)以此來(lái)做勒索。應(yīng)對(duì)這種勒索方式，廠商需要提前做好云備份或者實(shí)時(shí)備份措施，同時(shí)需要對(duì)數(shù)據(jù)庫(kù)登陸口令進(jìn)行檢測(cè)，杜絕弱口令和無(wú)口令的情況發(fā)生。

2016年OVH服務(wù)器供應(yīng)商遭到了1Tbps的IOT DDOS攻擊。由于市面上大量IOT設(shè)備存在諸多漏洞，所以黑客可以擁有一個(gè)非常強(qiáng)大并且穩(wěn)定的肉雞集群。或許在2017年，會(huì)有多家互聯(lián)網(wǎng)企業(yè)遭受DDOS勒索攻擊。

5. 自己都不知道的密碼才是最安全的密碼

千萬(wàn)防火墻，毀于abc123?；ヂ?lián)網(wǎng)上最大的漏洞不是在于軟件，而是在于人。復(fù)雜的密碼記不住，簡(jiǎn)單的密碼又容易被破解。2017年，密碼枚舉可以算作十大網(wǎng)絡(luò)安全問(wèn)題之一。為了解決這個(gè)問(wèn)題，IDaaS（身份即服務(wù)）誕生了，非?？上У氖?，洋蔥IDaaS在前不久因?yàn)橘Y金問(wèn)題，宣布解散。目前的安全市場(chǎng)，做IDaaS缺的不是方向，也不是技術(shù)，而是時(shí)間和成熟的“土壤”，而IDaaS市場(chǎng)的春天預(yù)計(jì)是在三年后。除了IDaaS以外，還有各式各樣的認(rèn)證模式也在發(fā)展當(dāng)中，比如二維碼認(rèn)證，指紋認(rèn)證，人臉認(rèn)證等。

6. Flash？算了吧

每年Flash都會(huì)給我們各種0day大禮包。2015年，Hacking Team泄露了三個(gè)flash的漏洞，2016年，又爆出了CVE-2016-1019和CVE-2016-4117。這兩年來(lái)，F(xiàn)lash的漏洞總是被CVSS定義為高危漏洞。特別是前幾個(gè)月，方程式小組被Shadow Brokers 入侵，不知道里面的0day會(huì)不會(huì)有Flash的。 2017年，估計(jì)還會(huì)有新的Flash漏洞爆出來(lái)。

感謝Adobe給我們提供Flash那么多年，但是它真的老了，可以退休了。 2017年，棄Flash，保平安。

7. 日防夜防，家賊難防

現(xiàn)有的安全產(chǎn)品，主要是針對(duì)外部的網(wǎng)絡(luò)攻擊，但是針對(duì)內(nèi)部威脅的安全產(chǎn)品卻非常少。早在2007年，就有人提出內(nèi)部威脅成跨國(guó)公司網(wǎng)絡(luò)安全最大挑戰(zhàn)。 2016年，中國(guó)某科研人員偷賣90項(xiàng)國(guó)家絕密情報(bào)被判死緩。隨著安全市場(chǎng)的飛速發(fā)展，目前外部入侵需要花費(fèi)很大的成本和精力，從內(nèi)部攻擊則有很大的優(yōu)勢(shì)。內(nèi)部威脅，有些是隨機(jī)性的，有些是計(jì)劃性的，有些是遠(yuǎn)程性的。要對(duì)內(nèi)部威脅做防護(hù)，最大的痛點(diǎn)不是在于系統(tǒng)，而是在于人，管理人比管理系統(tǒng)還要復(fù)雜得多。因此，2017年，內(nèi)部威脅將是安全市場(chǎng)的一大挑戰(zhàn)。

8. 安全人才缺口巨大

2016年，中國(guó)網(wǎng)絡(luò)安全人才缺口在50萬(wàn)左右，預(yù)計(jì)到2020年這個(gè)數(shù)字會(huì)增長(zhǎng)到140萬(wàn)。但是近三年來(lái)，全國(guó)高校只輸出了3萬(wàn)左右的安全人員?，F(xiàn)有的安全人才數(shù)量遠(yuǎn)遠(yuǎn)跟不上市場(chǎng)的需求量。沒(méi)有人，任何安全維護(hù)都是空談。安全人才短缺是一個(gè)全球性的問(wèn)題，美國(guó)也是如此。2015年開(kāi)始，美國(guó)各大企業(yè)已經(jīng)和眾多高校合作，建立人才培養(yǎng)基地，培養(yǎng)持續(xù)網(wǎng)絡(luò)教育的環(huán)境，并且針對(duì)安全人才提供穩(wěn)定就業(yè)機(jī)會(huì)和發(fā)展空間。根據(jù)Security Intelligence的調(diào)查，在硅谷網(wǎng)絡(luò)安全人才的失業(yè)率目前保持在百分之零。2017年，中國(guó)安全市場(chǎng)最大的挑戰(zhàn)不在于技術(shù)，而是在于安全人才的培養(yǎng)。

總結(jié)

2016年很危險(xiǎn)，2017年會(huì)更危險(xiǎn)。

網(wǎng)絡(luò)安全，任重道遠(yuǎn)。

祝大家新的一年，繼續(xù)加油！

* 本文作者：耿浩然@彩云安全（企業(yè)帳號(hào)），轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM