信息來源:FreeBuf
2017年眼看就要到來����,回首2016年,網(wǎng)絡安全無疑扮演著一個十分重要的角色���,甚至連總統(tǒng)大選都沒能逃過黑客丑聞和數(shù)據(jù)泄漏等厄運。根據(jù)技術研究機構波耐蒙研究所(Ponemon Institute)的報告��,在2015年�,企業(yè)數(shù)據(jù)泄漏事件平均的損失金額達到了380萬美元����,而在2016年這個數(shù)字已經增長到了400萬美元�。
各種規(guī)模的企業(yè)也已經逐漸開始接受云計算和軟件開源了�,而這也成為了基礎設施軟件的一個標準�。但是在云計算和軟件開源給企業(yè)帶來更多效益的同時����,也會使企業(yè)處于安全風險之中�。對于很多企業(yè)而言��,數(shù)據(jù)中心一旦遭受攻擊�����,后果將不堪設想�。而且我們可以確定的是�,將來還會有更多的攻擊者會利用開源軟件中的安全漏洞來實施網(wǎng)絡攻擊��。
那么在即將到來的2017年����,我們又會遇到哪些恐怖的事情呢���?接下來,讓我們看一看2017年網(wǎng)絡安全領域的五大發(fā)展趨勢�����。
1.基于物聯(lián)網(wǎng)設備的DDoS攻擊
網(wǎng)絡犯罪分子將會繼續(xù)對各種形式的聯(lián)網(wǎng)設備進行攻擊����。比如說,攻擊者在入侵了監(jiān)控攝像頭之后�����,可以在發(fā)動DDoS攻擊的時候使用它們���。隨著科技的不斷發(fā)展以及市場需求的不斷增加�����,各大公司正在不斷推出各種形式的物聯(lián)網(wǎng)設備����,但是“安全”似乎并不是這些廠商所需考慮的重點��。這也就意味著,類似“域名服務提供商Dyn遭受大規(guī)模DDoS攻擊”這樣的嚴重事件在2017年還會再現(xiàn)����。
據(jù)統(tǒng)計,2016年全球在物聯(lián)網(wǎng)安全方面的支出達到了3億4800萬美金,而這個數(shù)字在2017年將會攀升至4億3400萬����。但是,這樣的投入仍然不足以保證物聯(lián)網(wǎng)設備的安全。因為安全研究專家推測��,到2020年���,會有超過25%的企業(yè)級攻擊事件將會涉及到物聯(lián)網(wǎng)設備的安全問題。
2.毫無經驗的攻擊者仍然可以大做文章
黑客和網(wǎng)絡犯罪分子所使用的攻擊工具都是現(xiàn)成的�����,而且只要有錢����,任何人都可以購買和使用這些工具���。這也就意味著���,雖然攻擊者并不知道這些網(wǎng)絡攻擊是如何完成的����,但是他們仍然可以通過購買和使用這些極其危險的工具來達到自己的目的�。
需要注意的是,這種發(fā)展趨勢將會成為網(wǎng)絡犯罪領域今后的主流��。在這些高級黑客工具的幫助下,無論這個攻擊者是出于政治動機或者是想竊取某些重要信息����,他們都可以在投入極小的情況下對企業(yè)帶來數(shù)百萬美元的經濟損失。
3.企業(yè)的第三方合作廠商將會扮演更加重要的角色
企業(yè)可以建立一個優(yōu)秀的安全體系���,并在產品生產和售后每一個環(huán)節(jié)都部署正確的策略。但是�,為了保證客戶的安全,他們還需要讓所有的第三方合作伙伴也要達到同樣的安全級別才行��,否則他們的安全策略將毫無意義���。就像Wendy’s(溫迪國際快餐連鎖集團)一樣�,去年夏天該集團超過一千個特許經營店感染了PoS機惡意軟件。如果第三方廠商沒有加強其產品或服務的安全風險管控���,那么類似這樣的攻擊事件在2017年還會繼續(xù)發(fā)生。企業(yè)需要繼續(xù)加強其安全監(jiān)管力度���,并且要確保所有的子系統(tǒng)都要部署正確的安全防護措施�,以此來保證系統(tǒng)中不會存在嚴重的安全隱患���。
4.勒索軟件
其實我們在預測2016年網(wǎng)絡安全發(fā)展趨勢的時候就已經提到了勒索軟件����,而勒索軟件在2017年仍然會成為我們的心頭大患����。實際上,根據(jù)趨勢科技的預測��,2017年勒索軟件的感染設備數(shù)量將會上升25%���,而且勒索軟件的魔爪很有可能會伸向物聯(lián)網(wǎng)設備�����、PoS機和自動取款機��。如果在設備感染了勒索軟件之后你還想要回你的數(shù)據(jù)和文件�����,那么你恐怕得向攻擊者支付贖金了�。而悲劇的是,美國聯(lián)邦調查局也建議廣大用戶這樣去做,因為他們認為這是最簡單也最有效的解決方法…
如果你不想掏錢的話�,那么你就要采取一些措施來保護自己的安全了。感興趣的同學可以參考這篇文章所提供的實施建議【傳送門】���。
5.缺乏經驗豐富的信息安全技術專家
這是一個長期存在的問題��。根據(jù)一項有775名IT決策人員參與的調查顯示����,有82%的企業(yè)目前急需網(wǎng)絡安全專業(yè)人才����,而且有71%的人認為網(wǎng)絡安全技術的缺乏將會直接導致安全事件的發(fā)生�。目前��,全球總共有超過一百萬個網(wǎng)絡安全職位處于空缺狀態(tài)��,而數(shù)量如此之大的空缺職位在網(wǎng)絡安全行業(yè)中是從未出現(xiàn)過的��。因此���,我們必須知道為什么現(xiàn)在很多大學畢業(yè)生都在避開這個職位���,在解決了這些潛在的問題之后�,我們要想辦法讓更多的人參與到網(wǎng)絡安全工作中���。
與此同時,很多人手不足的公司也開始聘請一些臨時性的安全專家���,而這種CISO(首席信息安全官)即服務的形式也在逐漸興起��,在2017年我們將會看到越來越多的公司采用這樣的形式(虛擬CISO模式)來解決自己的安全問題���。
總結
無論2017年對我們網(wǎng)絡安全從業(yè)人員意味著什么��,我們都要盡自己最大的努力來保障企業(yè)和客戶的安全�����。希望各大企業(yè)能夠在2017年來臨之前�,重新審視一下自己的網(wǎng)絡安全策略����,并且確保自己沒有給網(wǎng)絡犯罪分子留下可乘之機���。
