2014年被業界稱爲“中(zhōng)國信息安全元年”,國際上同樣見證前所未有的高危漏洞、巨量數據洩露、影響巨大(dà)安全事件,以及各國加強網絡防護的努力。2015年信息安全領域無疑将保持高溫。從更大(dà)規模、更頻(pín)繁的數據洩露、網絡攻擊,到加強協作和安全情報共享,預計業界将推動技術創新和安全立法,以應對目前日益棘手的安全挑戰。360互聯網安全中(zhōng)心總結出2015年值得關注的10大(dà)企業信息安全趨勢,讓我(wǒ)們共同見證未來一(yī)年的産業變化。
1、網絡安全防護和立法将加強
2014年,中(zhōng)央網信辦召開(kāi)專題會議讨 論網絡立法問題,全國人大(dà)也将“網絡安全法”列入立法工(gōng)作計劃。2015年,我(wǒ)國網絡安全法治建設進程将顯著加快。
美國總統奧巴馬計劃将網絡安全保護的預算增加到140億美元,并表示将加強網絡安全立法,要求企業及時披露和共享攻擊數據,并對出售僵屍網絡和數據的行爲加強打擊。日本在去(qù)年11月通過《網絡安全基本法》,旨在加強日本政府與民間在網絡安全領域的協調和運用,更好應對網絡攻擊。此外(wài),包括英國在内的各國也在考慮通過立法加強對網絡安全保護。
2、DDoS攻擊規模、危害更大(dà)
2014年DDoS攻擊數量有了驚人的增長,僅僅第四季度就比前季度增長90%。2015年,DDoS攻擊的數量、規模和危害将會繼續增加。由于缺乏有效的技術手段來記錄這種攻擊,很多企業可能沒有意識到已經發生(shēng)的攻擊。企業有必要将DDoS防禦措施視爲整體(tǐ)IT安全策略中(zhōng)不可或缺的一(yī)部分(fēn)。對于企業而言,抵禦DDoS攻擊與部署反病毒保護、針對性攻擊防禦、數據洩露措施等安全方案同樣至關重要。
3、更多數據洩露事件
2014年國内外(wài)有多次重大(dà)數據洩露事件。安全專家人士預計,随着黑客攻擊技能的泛化,攻擊工(gōng)具的商(shāng)品化,更多應用和系統漏洞被爆出河利用, 2015将會有更多大(dà)型的數據洩露事件出現。這些事件背後,正是那些神秘而強大(dà)的黑客工(gōng)具。
4、威脅情報更受重視
安全專家人士預計,2015年威脅情報将會成爲未來企業安全部署的重要組成部分(fēn)。專注于提供威脅情報的機構将會改變企業的安全防禦态勢,使其更加從容和有效地應對威脅。作爲威脅情報的目标,企業需要更多了解黑客的動機。了解黑客的攻擊動機和策略,将有助于理解哪些類型的黑客對企業威脅最大(dà),以及他們的攻擊方式。
5、移動設備将成企業攻擊工(gōng)具
一(yī)方面移動設備的企業數據會成爲黑客的目标,此外(wài),由于移動應用具有自動登錄功能,因此移動設備将會成爲證書(shū)竊取或身份認證攻擊的主要目标,并用于以後的攻擊。這些攻擊通過手機作爲接入點,訪問日益增多的雲端企業應用和設備可自由存取的數據資(zī)源。
6、APT攻擊将更加普遍
2014年發生(shēng)了多起由APT攻擊導緻的大(dà)型數據外(wài)洩事件,随着黑客攻擊技能的泛化,攻擊工(gōng)具的商(shāng)品化,這一(yī)威脅将更會更加猖獗。盡管很多政府機構和企業在安全上都投入了巨大(dà)的人力和物(wù)力,但APT攻擊仍然會滲透進這些組織,并導緻敏感數據洩露。
另外(wài),“電(diàn)子郵件”成爲了黑客最易取得APT攻擊成效的入口。在某些案例中(zhōng),攻擊者會利用受害者的電(diàn)子郵件賬号來增加他們魚叉式網絡釣魚攻擊郵件的可信度。而經過足夠多的研究分(fēn)析後,網絡犯罪份子可以制造出社交工(gōng)程誘餌,騙取足夠多的員(yuán)工(gōng)點擊網絡鏈接或者打開(kāi)郵件附件。
7、關鍵基礎設施安全風險加大(dà)
高級可持續性攻擊的目标正在從傳統的IT系統,轉向石油、天然氣、航空運輸等關鍵基礎設施的工(gōng)業控制系統。近幾年大(dà)量的實際案例中(zhōng),這種趨勢越來越明顯。2015年,工(gōng)業控制系統的安全風險持續加大(dà),美國、歐盟等都在采取措施加強關鍵領域控制系統安 全保護。而在我(wǒ)國,80%關鍵系統都使用了相同的控制系統,由于依賴國外(wài)組件、安全意識低、持續接入互聯網等原因,更容易受到攻擊。
8、将出現更多利用系統和應用漏洞的攻擊
未來黑客仍将繼續挖掘像Heartbleed 、 Shellshock和Ghost 這類潛藏已久的漏洞,這些可能比25年前就存在的漏洞更古老,但卻對系統造成了更大(dà)的風險。這些漏洞可以入侵Linux桌面終端和服務器,控制Android系統及APP連接的内容,盜取數據或利用這些移動設備發動分(fēn)布式拒絕服務(DDoS)等攻擊。此外(wài),Windows系統及其相關應用也将會陸續有高危漏洞被爆出和利用。對企業來說,一(yī)方面需要及時修改各類漏洞,同時也要盡量防範未知(zhī)漏洞的威脅。
9、供應鏈安全威脅加大(dà)
供應鏈是每一(yī)家企業在全球性業務運營體(tǐ)系當中(zhōng)的重要組成部分(fēn),甚至已經成爲全球經濟體(tǐ)驗中(zhōng)的支柱與主幹。供應商(shāng)往往能夠共享到一(yī)系列有價值甚至是敏感性信息,而在信息處于共享狀态時、與之相關的直接控制機制也将失去(qù)效力。這無疑将導緻信息在保密性、完整性以及可用性等層面面臨更爲嚴重的安全風險。即使是看似無害的連接也可能充當着攻擊活動的實質性引導角色。攻擊Target的犯罪分(fēn)子就是利用該公司暖通系統供應商(shāng)用于提交發票(piào)信息的Web服務應用程序實施惡意活動的。此外(wài),俄羅斯黑客對西歐能源公司的攻擊也是通過其第三方供應商(shāng)。未來第三方供應商(shāng)将進一(yī)步面臨來自針對性攻擊活動的威脅壓力,而且很可能無法保障其所涉及數據的機密性、完整性以及/或者可用性。信息安全專家應當與負責按照合約提供服務的供應方保持更爲緊密的合作關系,并從盡職性調查的角度出發對潛在威脅進行徹底排查。
10、智能互聯設備成爲網絡攻擊的新目标
當前全球物(wù)聯網快速發展,越來越多的設備接入網絡,車(chē)聯網、智能家居、可穿戴設備等應用日趨成熟。智能互聯設備的應用給用戶帶來更豐富的體(tǐ)驗,但對黑客而言也具有無限的誘惑性,黑客将可能利用這些設備中(zhōng)所處理和儲存的數據,執行更複雜(zá)、更嚴重的破壞任務。已有安全研究者利用智能汽車(chē)、醫療可穿戴設備的安全漏洞,實現對這些設備的遠程控制,對設備使用者人身安全構成威脅。2014年也出現利用智能攝像頭發起DDoS攻擊的事件。2015年将會出現利用智能互聯設備發起網絡攻擊的破壞行動。