圣誕節(jié)，信仰基督教的黑客與安全人員都開始了他們的“休假”而接著就是2017年新年了。過去幾年圣誕之后新年之前這段時間總是顯得比較平靜，今年的圣誕期間也有多起漏洞爆發(fā)，今天我們的次條微信就說了其中一條重要的漏洞信息請多加注意。圣誕結(jié)束之后就是元旦了，總之在我們先來總結(jié)一下即將結(jié)束的2016，然后稍微展望一下即將到來的2017。

[[180061]]

回首2016

2016年3月，全球有三分之二的網(wǎng)站服務(wù)器用的開源的加密工具OpenSSL爆出新的安全漏洞“水牢漏洞”，這一漏洞允許“黑客”攻擊網(wǎng)站，并讀取密碼、信用卡賬號、商業(yè)機密和金融數(shù)據(jù)等加密信息，對全球網(wǎng)站產(chǎn)生巨大的安全考驗。我國有十萬余家網(wǎng)站受到影響。

[[180062]]

4月份，網(wǎng)絡(luò)威脅情報監(jiān)測平臺報料，稱他們監(jiān)控發(fā)現(xiàn)有1.5萬名Jeep車主信息遭到泄露，資料包括買家姓名，住址，聯(lián)系電話，購買車型等信息。同時期，不法分子還將罪惡的雙手伸向兒童，通過網(wǎng)上購買的軟件工具，非法入侵免疫規(guī)劃系統(tǒng)網(wǎng)絡(luò)獲取20萬兒童信息并在網(wǎng)上公開售賣。可怕的是，這些兒童信息還能夠精確到家庭住址的門牌號!

進(jìn)入5月，再次發(fā)生了兩起惡性信息竊取事件：俄國黑客盜取了2.723 億郵箱信息，其中包括 4000 萬個雅虎郵箱、3300 萬微軟郵箱以及 2400 萬個谷歌郵箱;黑客利用漏洞，盜取3億6000萬MySpace用戶的電子郵件地址以及密碼。

7月，準(zhǔn)大學(xué)生徐玉玉遭電信詐騙后死亡。山東臨沂的準(zhǔn)大一新生徐玉玉，被一通詐騙電話騙走家人辛苦一年攢下的9900元學(xué)費，兩天后不幸離世。之后相繼又爆出了“清華大學(xué)老師被冒充公檢執(zhí)法騙走1760萬元“”深圳老人被騙1156萬元“等事件。

11月，域名提供商Dyn.com經(jīng)歷了一次大規(guī)模的分布式拒絕服務(wù)(DDoS)攻擊。此次攻擊不僅導(dǎo)致該公司所提供的DNS服務(wù)訪問速度明顯降低，而且還使北美地區(qū)的大量網(wǎng)站被迫下線。不僅如此，此次DDoS攻擊還使得數(shù)百萬用戶無法正常訪問互聯(lián)網(wǎng)。根據(jù)安全研究專家的分析，此次攻擊主要是由物聯(lián)網(wǎng)設(shè)備所組成的僵尸網(wǎng)絡(luò)驅(qū)動的。

據(jù)了解，此次DDoS攻擊的規(guī)模之大是前所未有的，并且這足以證明“腳本小子”們的黑客水平又上升到了一個新的層次。不僅如此，Mirai惡意軟件的開源也會使得DDoS攻擊在今后將會變得更加頻繁。

從不同角度來看，2016年的信息安全環(huán)境仍然顯得比較惡劣，不管是對個人信息財產(chǎn)方面的威脅，還是對于網(wǎng)絡(luò)供應(yīng)商的攻擊，以及黑客利用漏洞進(jìn)行大規(guī)模攻擊。甚至出現(xiàn)了大范圍的DDOS攻擊。

展望2017

2017 仍將是網(wǎng)絡(luò)勒索之年，網(wǎng)絡(luò)勒索集團(tuán)將會想出更多新的方法來針對個別受害者的心理，每一次的攻擊會變得更“個人化”。而激進(jìn)主義黑客攻擊、移動惡意程序在明年也將不斷增長，網(wǎng)絡(luò)不法分子將采取更先進(jìn)、更具針對性的方式來進(jìn)行網(wǎng)絡(luò)攻擊。據(jù)此，安全專家建議個人消費者與企業(yè)用戶要更加重視網(wǎng)絡(luò)攻擊技術(shù)的演變，并持續(xù)改進(jìn)網(wǎng)絡(luò)安全防御措施，以應(yīng)對不斷精進(jìn)的網(wǎng)絡(luò)安全威脅。

[[180064]]

未來，網(wǎng)絡(luò)勒索集團(tuán)將會想出更多新的方法來針對個別受害者的心理，讓每一次的攻擊變得更“個人化”，不論其目標(biāo)是特定用戶或是某家企業(yè)。名譽就是一切，因此能夠威脅個人或企業(yè)名譽的攻擊，不但非常有效，而且最重要的，非常有利可圖。

2017年對于網(wǎng)絡(luò)安全行業(yè)來說是非常重要的一年。在網(wǎng)絡(luò)防護(hù)方面，政府將更加重視網(wǎng)絡(luò)安全法律及政策的制定，越來越多的企業(yè)將把網(wǎng)絡(luò)安全防護(hù)作為重要的企業(yè)戰(zhàn)略。在網(wǎng)絡(luò)攻擊方面，隨著用戶網(wǎng)絡(luò)威脅防御意識的不斷提升，黑客勢必會采取更強烈的攻勢，采用更先進(jìn)、更具針對性的方式來攻擊特定目標(biāo)。但是，正義之士將會看到更多正面的成效，包括更多成功破獲網(wǎng)絡(luò)犯罪的案例，掌握有效提升防御能力的辦法，并肩作戰(zhàn)、共同進(jìn)步。

[[180065]]

2017 年全球網(wǎng)絡(luò)攻擊手段將發(fā)生不少新變化，其中惡意廣告的轉(zhuǎn)變，以及黑客針對智能設(shè)備的攻擊將尤為突出。首先，2016年廣告攔截軟件在全球使用率增長了 41%，并且在國內(nèi)具備廣告攔截插件功能的瀏覽器也越來越流行，不法廣告商開始嘗試其它類型的網(wǎng)絡(luò)廣告推送方式，以謀求繞過攔截軟件，例如借助山寨APP進(jìn)行廣告推送。 其次，2016年發(fā)生多起過智能裝置遭到入侵的事件，從嬰兒監(jiān)視器、智能型電視到聯(lián)網(wǎng)汽車都有，隨著智能聯(lián)網(wǎng)家用設(shè)備“被黑”情況的愈演愈烈，或?qū)⒋俪烧贫ǚㄒ?guī)來約束智能設(shè)備的生產(chǎn)與使用。

2017年將是網(wǎng)絡(luò)勒索行為大幅度擴展的一年，鎖屏(FakeAV)、恐嚇型勒索軟件、加密型勒索軟件會嚴(yán)重影響個人與企業(yè)用戶信息系統(tǒng)的正常使用。一方面是因為與其它網(wǎng)絡(luò)犯罪手段相比，網(wǎng)絡(luò)勒索更有可能幫助不法分子獲得高額收益。另一方面，安全專家也發(fā)現(xiàn)，微信等社交網(wǎng)絡(luò)的應(yīng)用加速了網(wǎng)絡(luò)勒索行為的發(fā)展，黑客將盡可能通過消費者心理弱點傳播惡意軟件，造成二次感染，以勒索目標(biāo)對象。

在網(wǎng)絡(luò)攻防中，黑客并非總是會采取固定不變的攻擊套路，而是會根據(jù)個人消費者及企業(yè)的安全防御措施而改變攻擊方式。因此，我們可以看到，盡管網(wǎng)絡(luò)安全的技術(shù)不斷進(jìn)步、網(wǎng)絡(luò)安全投入迅速提升，但重大的安全事件仍然時有發(fā)生。因此，在網(wǎng)絡(luò)攻擊面前，即使個人消費者與組織用戶采取了周密的網(wǎng)絡(luò)安全防御措施，仍不可輕視網(wǎng)絡(luò)攻擊的巨大威脅。

【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者(微信號：JW-assoc)】

戳這里，看該作者更多好文