【51CTO 獨家翻譯】全球著名應用程序和數(shù)據(jù)安全解決方案廠商Imperva公布了2011年十大安全威脅趨勢的預測，將有助于IT安全專業(yè)人員幫助組織抵御下一波網(wǎng)絡安全攻擊。

1、國家資助的黑客攻擊：APT趨向產(chǎn)業(yè)化

國家贊助的黑客通常會實施有針對性的網(wǎng)絡攻擊，混合了商業(yè)黑客行業(yè)的觀念和技術(shù)，這種攻擊和傳統(tǒng)的以金錢利益為目的的攻擊有所不同，但使用的技術(shù)都差不多，這些高級持續(xù)性威脅（Advanced Persistent Threat[APT]）攻擊會使用諸如自動化和病毒傳播技術(shù)，使它們更加強大，攻擊成功的可能性更大，大家還記得Stuxnet吧，它就是這樣的例子，Stuxnet不是為了獲得你的銀行卡密碼，相反它是為了獲得你基礎(chǔ)設施的控制權(quán)。

這兩種攻擊（商業(yè)黑客產(chǎn)業(yè)和APT）使用相同的技術(shù)，因此有些安全保護措施可以適用于兩者，從積極的一面來看，你可能還沒有被網(wǎng)絡黑手黨發(fā)現(xiàn)，因此不會受到APT攻擊威脅，因為APT是持續(xù)的，如果一個攻擊不成功，另一個馬上就會開始，傳統(tǒng)的安全保護措施在這時會顯得蒼白無力，無法抵御這些由國家支持的黑客組織發(fā)起的冷酷攻擊。對企業(yè)和政府而言，這意味著要在整個組織層增加監(jiān)控和建立安全控制。

2、內(nèi)部威脅遠比你想象的要糟糕

在新的一年里，我們預計來自內(nèi)部的攻擊將會與日俱增，數(shù)據(jù)竊取和安全破壞常常有內(nèi)部員工的份兒，這個時候最重要的是要揪出始作俑者，而不是考慮如何保護數(shù)據(jù)，如果你不知道內(nèi)部威脅源隱藏在哪個角落，談何保護呢？為了阻止內(nèi)部威脅，組織應該：

實施強制訪問控制，根據(jù)業(yè)務需要，該訪問的則授予訪問權(quán)，不該知道的就永遠接觸不到，最主要的就是消除權(quán)限分配不當。

給數(shù)據(jù)中心提供適當?shù)脑L問審計工具，這些審計工具應該能監(jiān)控誰在什么時候訪問了什么數(shù)據(jù)。

3、瀏覽器中間人攻擊將會膨脹

瀏覽器中間人（Man in the Browser，MitB）攻擊將會上升，進而將目標轉(zhuǎn)向更多類型的在線應用程序，因此，在線服務供應商應該將其列入2011年重大事項清單，盡量將消費者頭上懸著的風險轉(zhuǎn)移到自己頭上。

雖然代理木馬大多數(shù)時候責任都在用戶一方，但MitB攻擊迅速成為在線服務供應商關(guān)注的焦點，他們必須為自己的用戶提供保護，正如汽車制造商也必須遵循行車安全技術(shù)的發(fā)展，類似ABS，安全氣囊和ESP等保護司機和乘客的技術(shù)才會越來越多，而不是僅靠我們小心駕駛，因此在線服務供應商必須在安全保護方面加大投入，要能夠監(jiān)控已感染的用戶，并能提供有效的指導消除威脅，這樣的技術(shù)包括強設備認證，客戶分析，會話流跟蹤和站點到客戶端驗證。

4、社交網(wǎng)絡中的隱私和安全

2011年我們將會看到社交網(wǎng)絡的安全威脅會越來越大，隱私保護將成為焦點。最重要的兩個因素是安全和信任，雖然可以保護個人信息不被其它應用程序用戶看到，但對于受信任的朋友，你卻無法保證他不會泄露你的私密資料或以此為目的來接近你，就目前的社交平臺來看，安全和信任還存在相當大的問題，跨站腳本（XSS）和跨站請求偽造（CSRF）正成為巨大的威脅。

明年在社交平臺安全保護方面各個服務商肯定會投入更多資源，在應用程序?qū)颖Ｗo，強認證，帳戶控制和惡意軟件檢測等方面將會有所突破。

5、文件安全

2011年我們將會看到更多資料外泄案例，特別是非結(jié)構(gòu)化數(shù)據(jù)，我們會看到各類組織在這方面加大保護力度，主要是做好文件服務器的安全措施和文件本身的訪問控制。明年會有更多針對企業(yè)機密文件的攻擊，這類數(shù)據(jù)將會受到極大的威脅，不僅僅是被復制，還可能會遭致徹底毀壞，在重視數(shù)據(jù)庫安全的今天，企業(yè)必須提前做好敏感文件的防護工作。

但憑現(xiàn)在的技術(shù)和工具，要做好文件保護可能是一件很困難的事情，因為每個文件都是一個獨立的實體，確定其所有者，設置訪問權(quán)限和跟蹤訪問情況都是無比巨大的工作量，即使你再仔細，總會有疏漏，因此對敏感文件作強加密保護是稍微可靠的方法。

6、云數(shù)據(jù)安全

我們希望在2011年能看到更多云數(shù)據(jù)安全產(chǎn)品，這些產(chǎn)品必須適應私有云和公共云環(huán)境，在這方面安全廠商還滯后于云計算和黑客產(chǎn)業(yè)的發(fā)展，許多小型在線服務供應商目前正面臨云安全威脅。

如果將所有云計算類型統(tǒng)一起來看（私有云，公共云，PaaS，IaaS和SaaS），不管是服務商還是用戶都面臨許多挑戰(zhàn)，概括起來如下：

維護不同用戶數(shù)據(jù)集之間的防彈分區(qū)；

為共享相同邏輯或物理平臺的應用程序提供不同級別的數(shù)據(jù)安全保護；

保護用戶數(shù)據(jù)，預防云管理員的窺視；

提供特殊基礎(chǔ)設施（VM，Amazon AMI）上的解決方案；

管理云中應用程序和數(shù)據(jù)安全。

我們預計2011會出現(xiàn)更好的云應用程序安全保護技術(shù)，但數(shù)據(jù)安全解決方案將會稍微滯后一點。

7、移動設備危及數(shù)據(jù)安全

移動設備的迅速普及將會在來年給應用程序和數(shù)據(jù)安全工作帶來極大的挑戰(zhàn)，我們將會看到越來越多的組織在忙于傳統(tǒng)的應用程序和數(shù)據(jù)安全工作外，疲于應對數(shù)量越來越多的移動設備帶來的安全風險。

過去兩年的事實證明，移動設備已經(jīng)成為企業(yè)員工廣泛使用和接入企業(yè)網(wǎng)絡的辦公工具，如ERP，CRM和文檔管理都可以看到移動設備的影子，安全人員時刻擔心這些設備是否會丟失或被盜，因為一些敏感數(shù)據(jù)可能會因此而泄露。

隨著移動設備漸漸成為主流，在線服務供應商也會提供適合這些設備使用的應用程序版本，我們預計這樣下去以前一些舊的漏洞可能會再次浮出水面，特別是身份識別和驗證，應用程序很可能會被攻擊者偽造的信息欺騙。

此外，一些所謂的"強"多因子身份驗證方案會失效，例如，使用一次性密碼（OTP）的應用程序往往會通過手機短信的方式給用戶發(fā)送一次性密碼，但經(jīng)過精心設計的木馬可以輕易獲得通過手機短信發(fā)送的一次性密碼。

可感染移動設備的惡意軟件已經(jīng)出現(xiàn)（如Zitmo），復雜的應用程序更容易遭受它們的攻擊，這和我們現(xiàn)在使用的桌面平臺是一樣的。

我們預計明年與移動設備相關(guān)的事故會呈指數(shù)級增長，組織必須開始規(guī)劃如何保護這些設備，以及如何與企業(yè)網(wǎng)絡交互，工具和程序必須到位，如殺毒軟件，加密和認證，特別要監(jiān)控這些設備訪問了哪些企業(yè)資源（數(shù)據(jù)庫，文件，內(nèi)部網(wǎng)絡），應用程序提供商也要一起配合做好安全防護工作，包括漏洞修復，信任度重新評估，以及新的認證和授權(quán)計劃。

8、黑客們在打壓下試圖奮起反抗

2011年，網(wǎng)絡犯罪將會出現(xiàn)兩種變化，首先，許多小型犯罪團伙將會歇業(yè)，為什么呢？安全研究人員將會持續(xù)觀察黑客的行動，一有機會就會將他們從地洞中揪出來，黑客們也不會甘心束手就擒，他們會想出更多反偵察方法。其次，大一點的團伙會兼并或組合，以鞏固和壯大他們的實力。

2010年即將畫上句號，我們也看到更多這樣的例子：

9月底，Zeus僵尸網(wǎng)絡頭目和相關(guān)成員被逮捕，其實安全人員早已跟蹤了他們一年時間，包括成功滲透了他們的C&C服務器，同樣命運的是Bredolab僵尸網(wǎng)絡的主要成員，在Zeus頭目被逮捕三周后，他們手上也戴上了冰冷的手銬。

10月中旬，Avalanche釣魚詐騙集團結(jié)束了長達2年的瘋狂，它們釋放的MitB木馬曾讓無數(shù)人中招。

10月末伊朗網(wǎng)軍（ICA）發(fā)起了帶有強烈政治目的的DDoS攻擊，并登廣告出租他們的機器人。

10月末，曾經(jīng)是競爭對手的spyEye和Zeus開始尋求合并，以謀求重生。

9、網(wǎng)絡安全已成為業(yè)務流程的一部分

英特爾CEO歐德寧說："我們認為安全已經(jīng)成為計算的第三大支柱"，可見廠商對安全的態(tài)度已經(jīng)發(fā)生了重大轉(zhuǎn)變，那么企業(yè)是怎么想的呢？

目前，網(wǎng)絡安全不能脫離業(yè)務，為此，安全團隊必須重新審視自己的角色，例如，過去，CIO的職責是銷售筆記本電腦，今天，CIO必須建立供應鏈，過去，CISO負責分發(fā)殺毒軟件和設置防火墻，今天他們必須知道數(shù)據(jù)駐留在哪里，數(shù)據(jù)的移動，以及如何保護它們，很明顯，今天的工作也比過去復雜多了，這意味著安全專家首先要成為業(yè)務流程專家。

10、數(shù)據(jù)安全和隱私法規(guī)

就象報紙的頭版一樣，許多企業(yè)每天都會泄露大量的機密信息，政府部門應通過立法來加強對敏感數(shù)據(jù)的保護，前不久FTC（聯(lián)邦貿(mào)易委員會）和歐盟（OU）協(xié)商在大西洋兩岸建立統(tǒng)一的數(shù)據(jù)安全法，因為對跨國公司而言，要同時遵守兩邊的法律可能會比較困難，政府應該出面建立一個共同的框架，給企業(yè)帶來真正的方便。

【編輯推薦】

1. 17種網(wǎng)絡安全威脅大掃描
2. 解析十個易被黑客攻擊的安全漏洞
3. 保護數(shù)據(jù)安全從員工做起
4. 解析六項內(nèi)網(wǎng)安全威脅