1、更多的IOT意味着更多的DDOS攻击
2008年,IBM发起 智能都会 建立 ,就是所谓的Smart City。之后,越来越多的科技集会 会议 都在探究 研究Smart City这个理念。要建立 Smart City,起首 离不开的就是IOT(Internet of Things)。传统的网络已经不能满意 人类的需求,因此物联网期间 诞生了。摄像头要联网,监控体系 要联网,汽车要联网,工控装备 要联网,乃至 人也要联网等,而这几年也是物联网期间 的一个元年。但是,IOT的安全却不容乐观。2016年10月,美国DNS服务商遭到大型DDOS攻击,而这些攻击流量大部分 都是从被入侵的IOT装备 发出来的。随后,德国电信又遭到大型DDOS攻击,高出 90万台路由器下线,其攻击流量也是从被入侵的IOT装备 中发出的。随后新加坡等数个东南亚国家相继遭受到大范围的DDOS攻击。2017年,假如 IOT厂商和用户还不注意 这方面的安全,那么2017年或有大概 产生有史以来最大范围和流量的DDOS攻击。
2、数据偷窃
春节到临 之前,环球 浩繁 厂商的Mongo DB,ES等未做登岸 验证的数据库遭到黑客入侵。黑客拖下数据备份,而且 删除线上服务器的数据以此来举行 打单 。这只是此中 一个例子,2017年,个人数据,金融数据等将是数据偷窃 团伙的重要 目标 。特别 是近几年,大量的厂商开始推行Saas平台,一旦Saas平台遭到入侵,数据偷取 量黑白 常 惊人的。2016年,Yahoo以10亿数据泄漏 的代价成为史上最佳数据泄漏 的互联网企业,每年纪 据泄漏 的数量 都在大幅度上升。值得光荣 的是《中国国家网络安全法》已经发布,该法案将在2017年6月份开始实行 。该法案对于企业和当局 安全底子 建立 有着极大的推动力。大概 在实行 该法案后,中国地区 数据偷窃 量会有所降落 。
3、Web程序将遭受到更多的攻击
固然 WAF发展已经有数年的时间,但是WAF其重要 作用还是 在DDOS,SQL注入,XSS等通例 攻击上做维护。不外 ,像权限绕过,SSRF, CSRF等逻辑弊端 是无法用安全产物 来举行 维护的。2017年,众测平台将会有较大的发展,单纯靠呆板 发掘 弊端 已经不能满意 于需求,人工检测弊端 的服务数量 大概 会大幅度上升。
4、网络打单 继承 来袭
2017年,网络打单 的数量 和方式会有较大的提拔 。重要 打单 范例 为:软件打单 ,数据打单 和DDOS打单 。
打单 软件将会跨平台举行 打单 ,除了针对个人PC的打单 外,尚有 移动端打单 软件,工控装备 打单 ,服务器体系 打单 软件等。这些打单 软件广泛 采取 RSA对体系 内的文件举行 加密,除了暴力破解和付费,别无别的 方法。针对这个范例 的攻击,除了用户和员工的安全意识作育 以外,还必要 在相干 的安全底子 建立 外下功夫,比如 病毒防火墙,云查杀,沙箱查杀等。
近几个月,数据打单 变乱 也开始增长 。2016年年底,大量的ES,MongoDB数据由于未做验证,导致黑客可以举行 未授权访问这些数据库。黑客拖下数据之后做备份,而且 删除了数据服务器上的统统 数据以此来做打单 。应对这种打单 方式,厂商必要 提前做好云备份大概 及时 备份步伐 ,同时必要 对数据库登岸 口令举行 检测,杜绝弱口令和无口令的环境 发生。
2016年OVH服务器供应商遭到了1Tbps的IOT DDOS攻击。由于市面上大量IOT装备 存在诸多弊端 ,以是 黑客可以拥有一个非常强大 而且 稳固 的肉鸡集群。大概 在2017年,会有多家互联网企业遭受DDOS打单 攻击。
5、本身 都不知道的暗码 才是最安全的暗码
千万 防火墙,毁于abc123。互联网上最大的弊端 不是在于软件,而是在于人。复杂的暗码 记不住,简单 的暗码 又轻易 被破解。2017年,暗码 罗列 可以算作十大网络安全题目 之一。为了办理 这个题目 ,IDaaS(身份即服务)诞生了,非常痛惜 的是,洋葱IDaaS在前不久由于 资金题目 ,公布 驱逐 。如今 的安全市场,做IDaaS缺的不是方向,也不是技能 ,而是时间和成熟的“泥土 ”,而IDaaS市场的春天预计是在三年后。除了IDaaS以外,尚有 各式各样的认证模式也在发展当中,比如 二维码认证,指纹认证,人脸认证等。
6、Flash?算了吧
每年Flash都会给我们各种0day大礼包。2015年,HackingTeam泄漏 了三个flash的弊端 ,2016年,又爆出了CVE-2016-1019和CVE-2016-4117。这两年来,Flash的弊端 总是被CVSS界说 为高危弊端 。特别 是前几个月,方程式小组被Shadow Brokers 入侵,不知道内里 的0day会不会有Flash的。 2017年,估计还会有新的Flash弊端 爆出来。
感谢Adobe给我们提供Flash那么多年,但是它真的老了,可以退休了。 2017年,弃Flash,保安全 。
7、日防夜防,家贼难防
现有的安全产物 ,重要 是针对外部的网络攻击,但是针对内部威胁的安全产物 却非常少。早在2007年,就有人提出内部威胁成跨国公司网络安全最大挑衅 。 2016年,中国某科研职员 偷卖90项国家绝密谍报 被判死缓。随着安全市场的飞速发展,如今 外部入侵必要 耗费 很大的本钱 和精力 ,从内部攻击则有很大的上风 。内部威胁,有些是随机性的,有些是筹划 性的,有些是长途 性的。要对内部威胁做防护,最大的痛点不是在于体系 ,而是在于人,管理人比管理体系 还要复杂得多。因此,2017年,内部威胁将是安全市场的一大挑衅 。
8、安全人才缺口巨大
2016年,中国网络安全人才缺口在50万左右,预计到2020年这个数字会增长到140万。但是近三年来,天下 高校只输出了3万左右的安全职员 。现有的安全人才数量 远远跟不上市场的需求量。没有人,任何安全维护都是空谈。安全人才短缺是一个环球 性的题目 ,美国也是云云 。2015年开始,美国各大企业已经和浩繁 高校相助 ,创建 人才作育 基地,作育 连续 网络教诲 的环境 ,而且 针对安全人才提供稳固 就业机遇 和发展空间。根据Security Intelligence的观察 ,在硅谷网络安全人才的赋闲 率如今 保持在百分之零。2017年,中国安全市场最大的挑衅 不在于技能 ,而是在于安全人才的作育 。
总结
2016年很伤害 ,2017年会更伤害 。
网络安全,任重道远。
祝各人 新的一年,继承 加油!
