從報稅表詐騙到WordPress漏洞、勒索軟件、商業(yè)電子郵件泄露、DDoS攻擊和總統(tǒng)大選被黑疑云——2016簡直就是網(wǎng)絡(luò)安全地獄年，而且這還沒完。

根本沒理由相信2017會有所好轉(zhuǎn)。若說有什么區(qū)別的話，那就是會變得更糟糕——因為網(wǎng)絡(luò)罪犯會繼續(xù)發(fā)動社會工程，找到投送惡意軟件的新方法，破解有漏洞的數(shù)據(jù)庫，利用移動技術(shù)來找出打破公司防御咬上目標(biāo)人物的途徑。

[[178505]]

兩位杰出的網(wǎng)絡(luò)安全專家：安全訪問軟件公司Bomgar首席執(zhí)行官馬特·德克斯，安全設(shè)備管理和移動安全公司 Cyber adAPT首席技術(shù)官斯科特·米里斯，為我們展望了一下2017網(wǎng)絡(luò)安全形勢。

1. 口令“成長”

10月21日造成互聯(lián)網(wǎng)大面積掉線的DDoS攻擊，至少有部分是因IoT設(shè)備上未修改的默認口令被黑客利用而發(fā)起的。別覺得自己能幸免，有多少用戶用的是簡單、常見、過時的口令?2017年，更好的口令管理服務(wù)，會隨著企業(yè)意識到自己防護有多差而引起重視。

有太多特定用途的“啞”設(shè)備了，就像前面說過的助力DDoS攻擊的那些路由器，這讓黑客們的工作變得十分容易。

弱口令依然一統(tǒng)江湖的時候，網(wǎng)絡(luò)安全人員面對關(guān)鍵基礎(chǔ)設(shè)施、聯(lián)網(wǎng)系統(tǒng)和遠程訪問系統(tǒng)及設(shè)備防護任務(wù)簡直一籌莫展，而且問題還不只是外部威脅一種。

內(nèi)部威脅緩解也可以通過更好的口令管理來完成。最佳方式，是實現(xiàn)用戶未知口令安全存儲的解決方案，并定期驗證和輪轉(zhuǎn)這些口令以確保安全。

這里指的，其實就是憑證保險柜。理想狀況下，用戶不會知道自己的口令，口令由保險柜自動填充，并且每周輪轉(zhuǎn)和改變。黑客本質(zhì)上是很懶的，他們也有自己的時間需求。如果你讓他們的破解工作更難，他們就會轉(zhuǎn)移目標(biāo)而不是投入時間精力來跟你死磕。

2. 權(quán)限受到重視

黑客想要高權(quán)限，他們通過瞄準(zhǔn)IT員工、CEO和供應(yīng)商之類的特權(quán)用戶來獲得高權(quán)限。雖然公司對重要系統(tǒng)、應(yīng)用和數(shù)據(jù)采取了安全措施，這些預(yù)防性措施顯然已不再足夠。2017年，懂行的公司最終會嚴肅對待特權(quán)用戶保護問題，而不僅僅是系統(tǒng)防護，他們會識別、監(jiān)視特權(quán)用戶的訪問，關(guān)閉他們不需要的權(quán)限。

有人說“我的用戶和外部供應(yīng)商都只能用VPN來連接，挺好的。”但其實他們根本不知道這些外部人士到底都在讀取些什么!權(quán)限管理就像電梯間，根據(jù)角色，乘客只能進入某些特定樓層，切實地限制了用戶行為，尤其是在用戶懷有惡意的情況下。即便手握有效口令，只要權(quán)限限制了只能訪問第1和第7層，任何試圖闖入第6層的做法都會觸發(fā)警報并鎖定電梯。

解決權(quán)限問題，同樣需要公司愿意提供關(guān)于潛在危險的擴展教育和培訓(xùn)，尤其是在越來越多的移動辦公人員太喜歡犧牲隱私和個人數(shù)據(jù)來換取訪問權(quán)，而且天真地以為自己的安全會被第三方服務(wù)提供商和App作者保護好的情況下。

尤其是最近幾代數(shù)字原住民，太愿意給出自己的個人數(shù)據(jù)來換取App、聯(lián)網(wǎng)、信息等等的訪問權(quán)了——利用這一點簡直不要太容易!他們幾乎默認這些App開發(fā)者、服務(wù)提供商會確保他們的安全。天真!危險!綜合考慮如今的網(wǎng)絡(luò)安全技術(shù)缺口、人才短缺、移動辦公、App為中心的環(huán)境、更高級的黑客活動，我們面對的根本就是一場完美風(fēng)暴。只會更壞，不會更好。

3. 安全責(zé)任推卸升溫

現(xiàn)在，安全公司的客戶傾向于連“假如”發(fā)生網(wǎng)絡(luò)攻擊事件都不提了，直接就問“什么時候”被攻擊?情況會有多糟?這種自己撒手不管，完全依賴安全公司服務(wù)的思潮，是十分恐怖的。

IoT和對安全解決方案提供商越來越重的依賴度，意味著公司企業(yè)可能在數(shù)據(jù)泄露發(fā)生時推卸其所有權(quán)和事件源頭的責(zé)任。誰應(yīng)該對保護、維護和修復(fù)各種技術(shù)負責(zé)?更糟的是，有沒有產(chǎn)品被接入根本無法打上補丁的內(nèi)部系統(tǒng)?很多IoT設(shè)備經(jīng)常因為不在IT傳統(tǒng)管轄范圍內(nèi)而被無視掉，但這確實造成了對威脅的暴露面。

IoT、自動化和云在不斷集成整合，但似乎沒人完全確定到底誰該對維護所有這些不同技術(shù)的安全負責(zé)：IoT設(shè)備制造商?安全服務(wù)提供商?內(nèi)部IT團隊?個人用戶?在安全上，木桶理論完全適用——取決于最不安全的設(shè)備或關(guān)系。

當(dāng)數(shù)據(jù)泄露發(fā)生，即便有層次化的安全措施，誰負責(zé)、誰有權(quán)響應(yīng)的問題，也將引發(fā)激烈的爭執(zhí)和相互指責(zé)。

通過確保IT與業(yè)務(wù)部門之間的開放溝通，理解潛在威脅、安全選項、公司內(nèi)部的挑戰(zhàn)和限制，此類責(zé)任推卸游戲便可有效杜絕。

部分問題在于：作為CSO、CISO甚或CIO之類安全相關(guān)責(zé)任人，如果你工作做得超棒，那么你基本上毫無存在感;否則，你將如坐針氈。如果你定出了不錯的策略、規(guī)程和安全措施，通常也得交給IT來實施。但如果因為你沒能理解業(yè)務(wù)需求、預(yù)算、各種要求而導(dǎo)致這些措施沒起到效果，那你就真的可有可無了。

4. 勒索軟件將失去控制

自2016年1月起，賽門鐵克安全響應(yīng)小組見證了每天平均4000+勒索軟件攻擊：比2015年的數(shù)據(jù)增加了300%。

大多數(shù)公司依賴低開銷預(yù)防技術(shù)來緩解此類威脅，比如防火墻、反病毒解決方案或入侵預(yù)防。然而，這些工具并不足以起到完全預(yù)防作用，被泄露的數(shù)據(jù)大軍赤裸裸地昭示著這些檢測和事件響應(yīng)方法必須改善。

隨著攻擊者繼續(xù)使用社會工程和社交網(wǎng)絡(luò)來鎖定敏感角色或公司內(nèi)部人士，全面安全教育的需求變得比以往更加緊迫。

如果安全策略和技術(shù)不將此類攻擊方法納入考慮，勒索軟件將持續(xù)滲入。還有檢測問題。有些攻擊者能在公司環(huán)境中暢游數(shù)月之久，而網(wǎng)絡(luò)、邊界、終端和數(shù)據(jù)安全系統(tǒng)及過程之間的隔絕卻限制了公司預(yù)防、檢測和響應(yīng)高級攻擊的能力。

最后，新的攻擊界面，比如說：IaaS、SaaS和IoT。這些東西太新了，公司企業(yè)還沒弄清保護它們安全的最佳方法。

5. 駐留時間看不到多大改善

駐留時間——從攻擊成功到被受害者發(fā)現(xiàn)的時間間隔，在2017年不會看到任何改善。某些極端案例中，駐留時間甚至能達2年之久，給公司造成數(shù)每次泄露百萬美元的損失。

為什么會這么久?原因令人無奈的簡單——幾乎沒有對真正攻擊活動檢測的關(guān)注。隨著惡意軟件時代的到來，公司、廠商和個人都繃緊了‘把壞人攔在門外’的弦，整個行業(yè)快速成長，專注于兩個基本主題：“深度防御”——用層次化預(yù)防戰(zhàn)術(shù)讓從外部滲透變得更難;以及“惡意軟件識別”——已證明自身是朝向100%檢測率的軍備競賽。

響應(yīng)技術(shù)和修復(fù)能力都有了進步，受害者可以快速隔離和修復(fù)攻擊所造成的損害。但是，問題在于，這些技術(shù)對減少駐留時間沒什么卵用;除非響應(yīng)團隊偶然遇到了某些惡意事件，或者意外發(fā)現(xiàn)了某個異常。

時至今日，安全人員使用網(wǎng)絡(luò)設(shè)備日志文件來搜索攻擊是否發(fā)生或已成功的線索，但存儲和分析這大量數(shù)據(jù)是花費巨大且低效的。

大量數(shù)據(jù)存儲和大規(guī)模分析引擎的需求，驅(qū)動了新安全信息和事件管理(SIEM)產(chǎn)業(yè)。但是，盡管SIEM是個很好的事后鑒證工具，卻依然對發(fā)現(xiàn)實時進行中的攻擊毫無效果。分析原始網(wǎng)絡(luò)流量以發(fā)現(xiàn)攻擊指征或許會有所幫助。在黑客攻擊邊界或設(shè)備防護層時，或者在他們作為無辜/惡意內(nèi)部人士完全繞過防護措施后盡快發(fā)現(xiàn)他們，將大幅縮短他們的駐留時間。

6. 手機作為切入點的數(shù)據(jù)泄露將持續(xù)上升

2017年，至少會有1起(大概會更多)重大企業(yè)數(shù)據(jù)泄露事件由手機導(dǎo)致。波耐蒙研究所一份報告發(fā)現(xiàn)，對一家企業(yè)而言，手機數(shù)據(jù)泄露的經(jīng)濟風(fēng)險可高達2640萬美元。該項調(diào)查中67%的受訪企業(yè)報告稱，曾因員工使用手機訪問公司的敏感和機密信息而導(dǎo)致數(shù)據(jù)泄露。

當(dāng)今世界的人員及其手機都流動得太快太頻繁了，老一套網(wǎng)絡(luò)安全策略很難起效。而且，隨著用戶對其所選手機權(quán)利意識的增長，漏洞利用形勢堪稱成熟。

很多用戶覺得自己能在對公司和個人服務(wù)的持續(xù)訪問中保護好自身隱私。還有很多人絲毫不覺得自己是安全事件責(zé)任人;如果他們能規(guī)避“安全”以改善用戶體驗，他們會的。CISO、CIO和CEO將之視為實現(xiàn)企業(yè)安全策略的復(fù)雜挑戰(zhàn)，而且是不能用通過SSL發(fā)送電子郵件和日程安排到單一指定OS能解決的。

手機支付，也將成為安全責(zé)任的一方面。MasterCard的“自拍支付”和英特爾的人臉識別解鎖軟件 True Key 只是冰山一角。個人應(yīng)當(dāng)明白，自身生物特征數(shù)據(jù)應(yīng)像其他財務(wù)和私密數(shù)據(jù)一樣得到妥善保護。而這，又落到了教育和培訓(xùn)的身上。

公共WiFi接入提供商像香煙盒上印制“吸煙有害健康”標(biāo)語一樣豎起互聯(lián)網(wǎng)安全警示牌或許會比較好。比如說，“警告：本公共接入連接不安全，您收發(fā)的信息有可能被罪犯偷看、收集并用以盜取您的資產(chǎn)、身份或私密信息。”

7. IoT = 威脅網(wǎng)?

IoT漏洞和攻擊還會繼續(xù)增長，對各類安全措施的標(biāo)準(zhǔn)化需求亦然——今年DefCon上的黑客展示了47個新漏洞，影響21個廠家的23種設(shè)備。

還有，今年10月讓包含推特、Netflix、Reddit和英國政府網(wǎng)站在內(nèi)世界主要站點掉線的大規(guī)模DDoS攻擊，據(jù)說也是由不安全IoT設(shè)備組成的Mirai僵尸網(wǎng)絡(luò)造成的。

投放到“智能設(shè)備”上的大量關(guān)注正好印證了IoT日益擴張的影響力?，F(xiàn)實卻是，聯(lián)網(wǎng)設(shè)備未必是智能設(shè)備。聯(lián)網(wǎng)的“東西”，通常因其簡單性而是“即發(fā)即棄”沒有后續(xù)維護的，或者干脆就是我們根本不知道的一些內(nèi)置功能或工具——就像Mirai僵尸網(wǎng)絡(luò)中使用的那些路由器。這導(dǎo)致了一種無視這些“啞”設(shè)備的思維，根本沒注意到這些設(shè)備雖然“悶不吭聲”，卻是連接到聯(lián)通全球的互聯(lián)網(wǎng)上的。

這還不僅僅是小型消費級設(shè)備，甚或智慧家居或智慧汽車的問題。更令人不安的，是對廣泛使用的大型基礎(chǔ)設(shè)施系統(tǒng)的攻擊，比如電網(wǎng)、航空電子設(shè)備或鐵路系統(tǒng)。

聯(lián)網(wǎng)噴頭忽冷忽熱都是小問題，2017年遭遇電網(wǎng)或交通系統(tǒng)大型黑客事件的極高可能性才令人擔(dān)憂。這些來自50或60年代的技術(shù)依然在為關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)服務(wù)，而且?guī)缀跬耆珱]有防護，這才是實實在在一點就爆的“啞”IoT。

其實這是個認知問題。普羅大眾似乎不認為這些系統(tǒng)與他們?nèi)找骖l繁使用的IoT設(shè)備類似——甚至手機都能落入該分類范疇。

就像之前的智能手機，IoT設(shè)備被認為是新的、獨立的一類東西，不屬于老一代技術(shù)范疇，不受過往技術(shù)的限制。但這種想法很是荒謬：智能手機根本是最常見最廣泛的互聯(lián)網(wǎng)設(shè)備。IoT則是下一個大規(guī)模風(fēng)行的東西。有些公司這次稍微前瞻了一點點，試圖摒除掉IoT上類似手機當(dāng)前面臨的那些安全問題。目前為止，采取的行動還是又落回了預(yù)防上，但每個設(shè)備/連接都是可被攻擊的。縮短駐留時間和保護IoT安全，取決于能否盡快以最高置信度報出這些不可避免的攻擊所發(fā)生的時間。

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】