不管你是否關(guān)注，網(wǎng)絡(luò)安全事件正在全球普遍蔓延。過去一年，見證了網(wǎng)絡(luò)安全和IT人員需要在諸多情況下注意的各種新興和傳統(tǒng)的威脅。以下是過去這一年八個主要的安全威脅。

更復(fù)雜的DDoS

網(wǎng)絡(luò)襲擊手段繼續(xù)發(fā)展并成熟,包括在增加分布式拒絕服務(wù)(DDoS)攻擊帶寬上的進(jìn)步。之前的DDoS攻擊利用了成千上萬臺個人電腦形成一個典型的僵尸網(wǎng)絡(luò)群來進(jìn)攻引擎,然而,新的DDoS巨大乘數(shù)效應(yīng)包括具有更大容量和馬力的受損服務(wù)器類設(shè)備的僵尸網(wǎng)絡(luò)。

2012年,一個典型的DDoS攻擊可能范圍為3或4 Gbps,新攻擊已經(jīng)突增至超過100 Gbps。許多安全專家在較低的數(shù)字水平上設(shè)計(jì)他們的DDoS策略,認(rèn)為足以阻止DDoS的威脅;鑒于新威脅呈現(xiàn)的帶寬，許多機(jī)構(gòu)不得不重新架構(gòu)網(wǎng)絡(luò)安全策略。

今年，DoS作為網(wǎng)絡(luò)武器的不斷崛起,普華永道關(guān)注安全的咨詢實(shí)踐主任說， “糟糕的攻擊者不一定要偷你的產(chǎn)品或服務(wù), 他們只需要確保你不能將產(chǎn)品或服務(wù)交付給你的客戶,這是一個比直接入侵低劣的手段。”

僵尸網(wǎng)絡(luò)的攻擊

殺傷力與DDoS攻擊同級的還有通過網(wǎng)絡(luò)系統(tǒng)傳播的僵尸網(wǎng)絡(luò)。攻擊者已經(jīng)能夠使用層次更復(fù)雜的網(wǎng)絡(luò)釣魚技術(shù)將惡意軟件植入大量的個人和服務(wù)器類的設(shè)備中。

網(wǎng)絡(luò)釣魚幾年前充滿了拼寫和語法錯誤,今天的釣魚者已經(jīng)提高了他們的社會工程技術(shù)和增大了可信信息的耦合性。雖然網(wǎng)絡(luò)釣魚攻擊已存在多年，但他們?nèi)允?ldquo;持久的，可惡的，但往往是贏得進(jìn)入企業(yè)立足點(diǎn)的有效途徑。

安全意識培訓(xùn)計(jì)劃可以引起人們對這個問題的注意,但是非安全行業(yè)從業(yè)者真的不能指望成為企業(yè)安全的后盾。

公司可以嘗試認(rèn)識上的溫和增長，如果我們認(rèn)為每個員工永遠(yuǎn)都不會點(diǎn)擊其電子郵件附件的鏈接的話,那么是在跟自己開玩笑。員工只需要一個點(diǎn)擊即可注入一個惡意程序,鍵盤程序或木馬,黑客將可以非法進(jìn)入您的環(huán)境。很明顯,這是一個保持我們網(wǎng)頁安全的一個大問題。

不容忽視的內(nèi)部威脅

除了各式各樣的外部威脅，來自企業(yè)內(nèi)部的襲擊也不是不容忽視的一環(huán)，但看似可信的威脅者的數(shù)量在上升。

很多企業(yè)對于網(wǎng)絡(luò)安全的關(guān)注僅僅停留于外部威脅,其中包括間諜特工,破壞者,和網(wǎng)絡(luò)罪犯,然而,企業(yè)不斷驚爆各種員工和第三方服務(wù)提供商造成的違規(guī)。因?yàn)檫@些被信任員工或者服務(wù)供應(yīng)商有訪問敏感信息的最大權(quán)限,造成違規(guī)的平均成本大于那些外部威脅引起的違規(guī)成本。

對員工來說,違規(guī)的主要原因就是安全意識和相關(guān)培訓(xùn)、基于角色的訪問控制和活動監(jiān)測都不足;至于第三方服務(wù)提供商,未能盡職調(diào)查和沒有足夠的項(xiàng)目監(jiān)測則是主要原因。

應(yīng)用存在安全漏洞

2013年正在流行并且2014年將繼續(xù)風(fēng)靡的另一個威脅就是對不安全的應(yīng)用程序進(jìn)行生產(chǎn)和分配。

電子商務(wù)和移動應(yīng)用程序的擴(kuò)散使得許多公司與其客戶保持著更密切的聯(lián)系，但是我們還沒有解決由此產(chǎn)生的問題:注入威脅和跨站點(diǎn)腳本的威脅。

考慮到襲擊者的成熟水平，安全專家繼續(xù)生產(chǎn)容易攻破的代碼。隨著非關(guān)系型數(shù)據(jù)庫及其他相關(guān)注入攻擊的出現(xiàn),能夠妥協(xié),攻擊面向網(wǎng)絡(luò)的應(yīng)用程序能力很可能繼續(xù)增加而非減少。

對網(wǎng)絡(luò)安全的擔(dān)憂已經(jīng)轉(zhuǎn)移到應(yīng)用程序和在應(yīng)用中運(yùn)行的服務(wù)上面。內(nèi)部研發(fā)團(tuán)隊(duì)和商業(yè)軟件市場都在增加對安全代碼需求的關(guān)注。

應(yīng)用程序程序的安全和用來進(jìn)入的憑證安全程度只是跟用戶身份審查程序一樣，如果這些證書并沒有提供給正確的個人，那么要求用戶將PIV卡插入一個讀卡器,提供生物識別,并輸入密碼這一切都是沒有用的。

對于信息敏感性的增加和日益增強(qiáng)的應(yīng)用功能的重要性要求我們給出盡可能多的想法來作為后續(xù)訪問控制的身份證明。

數(shù)據(jù)供應(yīng)鏈漏洞

數(shù)據(jù)供應(yīng)鏈漏洞是一個新興威脅。過去這一年里，很多企業(yè)還沒有完全意識到正在處理其數(shù)據(jù)的所有各方。一些公司已經(jīng)將一部分?jǐn)?shù)據(jù)處理外包出去,卻發(fā)現(xiàn)供應(yīng)商沒有足夠的安全措施到位,或者他們不知道如何處理一個事件,或公司出現(xiàn)問題的時候沒有立刻通知他們。

在多用戶環(huán)境中,系統(tǒng)管理員有時會偷工減料。他們可能為每個客戶使用相同的特權(quán)帳戶及密碼,他們可能會堅(jiān)持廣泛的網(wǎng)絡(luò)訪問,企業(yè)通常不會允許任何人都能使用互聯(lián)網(wǎng)。這樣,第三方成為試圖攻擊某特定企業(yè)的攻擊者的跳板。

未經(jīng)授權(quán)的前任員工訪問對于很多公司來說將繼續(xù)是個安全問題。

未授權(quán)的網(wǎng)絡(luò)訪問,特別是前雇員,許多公司仍然是一個安全問題,瑞恩說。

我們的發(fā)現(xiàn)是,一些公司不能完全切斷所有提供給前雇員的訪問途徑。他的公司通常被稱為前終止的員工,以確保公司有效地終止訪問。

也有這樣的事件，就是我們被召集調(diào)查一個沒有被正確終止其訪問路徑的員工,幫助評估被偷了什么以及如何糾正這一問題。

員工訪問這些信息的原因各不相同。有時,它可能是盜竊知識產(chǎn)權(quán)—如個人可能會對銷售或使用感興趣的源代碼?；蛘咚麄冊L問網(wǎng)絡(luò)來試圖保證未決訴訟信息的安全。他們可能是訴訟的主題,并試圖收集關(guān)于他們終止或相關(guān)問題的相關(guān)信息。

系統(tǒng)嵌入式漏洞

如今許多非傳統(tǒng)設(shè)備越來越多地連接到網(wǎng)絡(luò)上了,包括上網(wǎng)相機(jī)、數(shù)碼錄像機(jī),標(biāo)記閱讀器和其他具有IP地址的個人計(jì)算機(jī)設(shè)備。

“如果我們只是依靠傳統(tǒng)網(wǎng)絡(luò)設(shè)備來管理威脅，卻認(rèn)為自己已將潛在的風(fēng)險牢牢在握，那么是在自欺欺人。我們必須擴(kuò)大我們的風(fēng)險感知能力來覆蓋所有連接到網(wǎng)絡(luò)的內(nèi)容。

比特幣的萌芽

比特幣是使用加密來保證安全交易的開源電子貨幣和支付網(wǎng)絡(luò),具備一套獨(dú)特的安全風(fēng)險。比特幣是數(shù)字經(jīng)濟(jì)的預(yù)兆,但近期針對比特幣的多個攻擊(從托管網(wǎng)站的攻擊到純加密攻擊)已獲成功。由此，人們不免會質(zhì)疑針對錢和交易轉(zhuǎn)移機(jī)制的新嘗試,如果僅依靠最簡單的安全措施,那么攻擊簡直輕而易