2012年的大門正在關(guān)閉,展望新一年的時(shí)候到了。在你為2013年制定商業(yè)與IT計(jì)劃的同時(shí),網(wǎng)絡(luò)罪犯?jìng)円舱谥贫ㄐ履暌?guī)劃,準(zhǔn)備著針對(duì)特定計(jì)算機(jī)系統(tǒng)與大大小小的組織發(fā)起愈加復(fù)雜的攻擊。

  在過去的一年中,企業(yè)遭受了多起嚴(yán)重的黑客攻擊與破壞事件。隨著攻擊者與企業(yè)間的“軍備競(jìng)賽”在2013年進(jìn)一步升級(jí),IT部門與安全專家將需要時(shí)時(shí)都比黑客罪犯技高一籌,以保護(hù)企業(yè)不受攻擊威脅。2013年,惡意黑客們將使用哪些手段,對(duì)企業(yè)帶來哪些大的安全威脅呢?以下是我的預(yù)測(cè)。

  第一大威脅:社會(huì)工程

  這一切將開始于社會(huì)工程——一種無論在實(shí)體還是數(shù)字都久經(jīng)沙場(chǎng)的“黑帽戰(zhàn)術(shù)”。在計(jì)算機(jī)時(shí)代來臨之前,它是憑借巧言令色(而非一封措辭巧妙的電子郵件)偷偷繞過一家公司的防線。如今,社會(huì)工程已經(jīng)開始利用起了包括Facebook和LinkedIn在內(nèi)的社交網(wǎng)絡(luò)。

  攻擊者正擴(kuò)展社會(huì)工程的使用面,不再于致電目標(biāo)雇員,然后釣出信息。在過去,他們也許會(huì)打電話到前臺(tái),要求轉(zhuǎn)接到目標(biāo)雇員,這樣從來電顯示看像是一個(gè)公司內(nèi)部電話。然而,如果網(wǎng)絡(luò)罪犯所尋找的細(xì)節(jié)信息早已被發(fā)布在社交網(wǎng)絡(luò)之上,那么不需要以上戰(zhàn)術(shù)了。畢竟,社交網(wǎng)絡(luò)是用來建立與經(jīng)營(yíng)人脈的,只消一個(gè)令人信服的公司或個(gè)人主頁,再加之以一個(gè)加好友請(qǐng)求,足以成一場(chǎng)社會(huì)工程騙局。

  警惕社會(huì)工程的重要性不言而喻,因?yàn)樗赡茴A(yù)示著某一旨在突破公司防御墻的復(fù)雜攻擊。過去一年發(fā)生了多起針對(duì)企業(yè)和政府的高調(diào)攻擊(如Gauss和Flame)。這些攻擊被稱為高級(jí)持續(xù)性威脅(APTs)。他們高度復(fù)雜,是精心構(gòu)建的產(chǎn)物,背后的用意是獲取某個(gè)網(wǎng)絡(luò)的訪問權(quán)限并神不知鬼不覺地盜取信息。他們采取“韜光養(yǎng)晦”的策略,通常難以被發(fā)現(xiàn),因而成功率頗高。

  此外,APTs不需要每次都將Microsoft Word這樣的知名軟件作為攻擊對(duì)象,它們也可以攻擊其他載體,比如嵌入式系統(tǒng)。隨著眼下?lián)碛谢ヂ?lián)網(wǎng)地址協(xié)議的設(shè)備日益增多,建設(shè)系統(tǒng)安全性的需要從未如這樣迫切。

  隨著各國(guó)政府和其他資金雄厚的機(jī)構(gòu)將網(wǎng)絡(luò)作為展開間諜活動(dòng)的場(chǎng)所,APTs將繼續(xù)存在下去。實(shí)際上,APT此時(shí)此刻在活躍,所以務(wù)必警惕你網(wǎng)絡(luò)信息流通量中的異,F(xiàn)象。

  第三大威脅:內(nèi)部威脅

  一些危險(xiǎn)的攻擊還是來自于內(nèi)部?紤]到一名特權(quán)用戶所能造成的破壞程度之大、其能夠訪問的內(nèi)部信息之多,這些攻擊的破壞性可能是大的。在一項(xiàng)由美國(guó)國(guó)土安全部、卡內(nèi)基梅隆大學(xué)(Carnegie Mellon University)軟件工程研究所的CERT內(nèi)部威脅中心(Insider Threat Center)和美國(guó)特勤局資助的調(diào)查中,研究者發(fā)現(xiàn),在金融行業(yè)中實(shí)施欺詐的惡意內(nèi)部人士普遍都能逍遙法外,往往需要近32個(gè)月之后才會(huì)被揭穿。正如俗語所說,信任是一種珍貴的商品,但太多的信任也可能讓你不堪一擊。

  第四大威脅:BYOD

  企業(yè)想方設(shè)法以合適的技術(shù)與政策組合追趕“設(shè)備自帶”(bring-your-own-device;簡(jiǎn)稱BYOD)潮流的同時(shí),他們也將信任問題帶到了手機(jī)領(lǐng)域。用戶正日益將自己的手機(jī)當(dāng)成電腦使,這使他們暴露在原本只有在操作臺(tái)式機(jī)時(shí)才面臨的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)之下。

  而攻擊者也很可能會(huì)更加頻繁地試圖繞過手機(jī)供應(yīng)商用來保衛(wèi)應(yīng)用市場(chǎng)而設(shè)置的應(yīng)用審核以及檢測(cè)機(jī)制。這一切都意味著,涌入辦公室的iPhone、谷歌安卓(Android)手機(jī)等設(shè)備正在開啟另一個(gè)有待把守的黑客入口。想想看,你的智能手機(jī)有攝像頭,也有麥克風(fēng),它可以用來錄制談話。這些功能再加上訪問公司網(wǎng)絡(luò)的權(quán)限,一把翻越公司防線的完美活梯造成了。

  第五大威脅:云安全

  然而,BYOD還不是改變企業(yè)關(guān)鍵數(shù)據(jù)防護(hù)墻的變化趨勢(shì)。眼下還有一種“小”趨勢(shì),它的名字是“云計(jì)算”。隨著越來越多的企業(yè)將更多信息移入公共云服務(wù)中,這些服務(wù)變成誘人的獵物,可以成為扼住一家公司的咽喉。對(duì)企業(yè)而言,這意味著在企業(yè)與云服務(wù)提供商的對(duì)話中,安全問題必須繼續(xù)占據(jù)重要地位,而企業(yè)也需要明確自己的需求。

  第六大威脅:HTML5

  正如云計(jì)算的普及改變了攻擊面的分布,HTML5的普及也是如此。在今年早些時(shí)候召開的“黑帽會(huì)議”上(安全專家通常會(huì)從中預(yù)測(cè)未來可能出現(xiàn)的攻擊),有人曾指出,HTML5的跨平臺(tái)支持與多種技術(shù)整合為攻擊打開了新的可能性,比如抓住Web Worker功能(HTML5 提供的javascript多線程解決方案——譯注)實(shí)施破壞。盡管人們對(duì)HTML5安全的關(guān)注度越來越高,HTML5的初來乍到意味著開發(fā)者在使用時(shí)勢(shì)必會(huì)犯錯(cuò),而攻擊者則將趁虛而入。所以做好心理準(zhǔn)備,基于HTML5的攻擊可能在明年出現(xiàn)大幅飆升,但理想情況下應(yīng)能隨著安全性的日漸提高而逐漸減少。

  第七大威脅:僵尸網(wǎng)絡(luò)

  盡管研究人員與攻擊者之間的“軍備競(jìng)賽”對(duì)創(chuàng)新情有獨(dú)鐘,但網(wǎng)絡(luò)罪犯預(yù)計(jì)還是會(huì)花大量時(shí)間完善他們的“拿手好戲”,比如確保僵尸網(wǎng)絡(luò)的高度可利用性和分散性。盡管諸如微軟等公司依法發(fā)起的反攻措施卓有成效,暫時(shí)性地阻斷了垃圾郵件和惡意軟件的運(yùn)作,但以為攻擊者不會(huì)從中吸取教訓(xùn)并增強(qiáng)未來攻擊力,這種想法未免有些天真。僵尸網(wǎng)絡(luò)已經(jīng)在我們的生活中安家落戶。

  第八大威脅:精確定位的惡意軟件

  攻擊者也會(huì)從研究人員在分析他們的惡意軟件時(shí)所采取的步驟中吸取教訓(xùn),近的某演示證明,一種技術(shù)可以通過設(shè)計(jì)惡意軟件使分析無效,這種軟件的特點(diǎn)是除了在目標(biāo)環(huán)境中以外,在其他任何環(huán)境中都無法被正確執(zhí)行。此類攻擊的例子包括Flashback和Gauss.兩者都成功破壞了研究人員實(shí)施自動(dòng)化惡意軟件分析的可能性,Gauss尤甚。新的一年中,攻擊者將繼續(xù)提升這些技巧,使他們的惡意軟件更加“專一”,只攻擊那些擁有特定配置的電腦。

  有一點(diǎn)可以肯定——2013勢(shì)必將通過從社交網(wǎng)絡(luò)到移動(dòng)設(shè)備到雇員本身的各種載體帶來數(shù)量龐大的漏洞利用與惡意軟件。隨著計(jì)算機(jī)與操作系統(tǒng)安全性的不斷提升,網(wǎng)絡(luò)罪犯繞過這些防御措施的技能也會(huì)隨之提高。因此,我們又多了一個(gè)將安全作為新年決心的理由。