從報稅表詐騙到WordPress漏洞、勒索軟件、商業(yè)電子郵件泄露、DDoS攻擊和總統(tǒng)大選被黑疑云——2016簡直就是網(wǎng)絡安全地獄年，而且這還沒完。

[[178574]]

根本沒理由相信2017會有所好轉。若說有什么區(qū)別的話，那就是會變得更糟糕——因為網(wǎng)絡罪犯會繼續(xù)發(fā)動社會工程，找到投送惡意軟件的新方法，破解有漏洞的數(shù)據(jù)庫，利用移動技術來找出打破公司防御咬上目標人物的途徑。

兩位杰出的網(wǎng)絡安全專家：安全訪問軟件公司Bomgar首席執(zhí)行官馬特·德克斯，安全設備管理和移動安全公司 Cyber adAPT首席技術官斯科特·米里斯，為我們展望了一下2017網(wǎng)絡安全形勢。

1. 口令“成長”

10月21日造成互聯(lián)網(wǎng)大面積掉線的DDoS攻擊，至少有部分是因IoT設備上未修改的默認口令被黑客利用而發(fā)起的。別覺得自己能幸免，有多少用戶用的是簡單、常見、過時的口令?2017年，更好的口令管理服務，會隨著企業(yè)意識到自己防護有多差而引起重視。

有太多特定用途的“啞”設備了，就像前面說過的助力DDoS攻擊的那些路由器，這讓黑客們的工作變得十分容易。

弱口令依然一統(tǒng)江湖的時候，網(wǎng)絡安全人員面對關鍵基礎設施、聯(lián)網(wǎng)系統(tǒng)和遠程訪問系統(tǒng)及設備防護任務簡直一籌莫展，而且問題還不只是外部威脅一種。

內(nèi)部威脅緩解也可以通過更好的口令管理來完成。最佳方式，是實現(xiàn)用戶未知口令安全存儲的解決方案，并定期驗證和輪轉這些口令以確保安全。

這里指的，其實就是憑證保險柜。理想狀況下，用戶不會知道自己的口令，口令由保險柜自動填充，并且每周輪轉和改變。黑客本質上是很懶的，他們也有自己的時間需求。如果你讓他們的破解工作更難，他們就會轉移目標而不是投入時間精力來跟你死磕。

2. 權限受到重視

黑客想要高權限，他們通過瞄準IT員工、CEO和供應商之類的特權用戶來獲得高權限。雖然公司對重要系統(tǒng)、應用和數(shù)據(jù)采取了安全措施，這些預防性措施顯然已不再足夠。2017年，懂行的公司最終會嚴肅對待特權用戶保護問題，而不僅僅是系統(tǒng)防護，他們會識別、監(jiān)視特權用戶的訪問，關閉他們不需要的權限。

有人說“我的用戶和外部供應商都只能用VPN來連接，挺好的。”但其實他們根本不知道這些外部人士到底都在讀取些什么!權限管理就像電梯間，根據(jù)角色，乘客只能進入某些特定樓層，切實地限制了用戶行為，尤其是在用戶懷有惡意的情況下。即便手握有效口令，只要權限限制了只能訪問第1和第7層，任何試圖闖入第6層的做法都會觸發(fā)警報并鎖定電梯。

解決權限問題，同樣需要公司愿意提供關于潛在危險的擴展教育和培訓，尤其是在越來越多的移動辦公人員太喜歡犧牲隱私和個人數(shù)據(jù)來換取訪問權，而且天真地以為自己的安全會被第三方服務提供商和App作者保護好的情況下。

尤其是最近幾代數(shù)字原住民，太愿意給出自己的個人數(shù)據(jù)來換取App、聯(lián)網(wǎng)、信息等等的訪問權了——利用這一點簡直不要太容易!他們幾乎默認這些App開發(fā)者、服務提供商會確保他們的安全。天真!危險!綜合考慮如今的網(wǎng)絡安全技術缺口、人才短缺、移動辦公、App為中心的環(huán)境、更高級的黑客活動，我們面對的根本就是一場完美風暴。只會更壞，不會更好。

3. 安全責任推卸升溫

現(xiàn)在，安全公司的客戶傾向于連“假如”發(fā)生網(wǎng)絡攻擊事件都不提了，直接就問“什么時候”被攻擊?情況會有多糟?這種自己撒手不管，完全依賴安全公司服務的思潮，是十分恐怖的。

IoT和對安全解決方案提供商越來越重的依賴度，意味著公司企業(yè)可能在數(shù)據(jù)泄露發(fā)生時推卸其所有權和事件源頭的責任。誰應該對保護、維護和修復各種技術負責?更糟的是，有沒有產(chǎn)品被接入根本無法打上補丁的內(nèi)部系統(tǒng)?很多IoT設備經(jīng)常因為不在IT傳統(tǒng)管轄范圍內(nèi)而被無視掉，但這確實造成了對威脅的暴露面。

IoT、自動化和云在不斷集成整合，但似乎沒人完全確定到底誰該對維護所有這些不同技術的安全負責：IoT設備制造商?安全服務提供商?內(nèi)部IT團隊?個人用戶?在安全上，木桶理論完全適用——取決于最不安全的設備或關系。

當數(shù)據(jù)泄露發(fā)生，即便有層次化的安全措施，誰負責、誰有權響應的問題，也將引發(fā)激烈的爭執(zhí)和相互指責。

通過確保IT與業(yè)務部門之間的開放溝通，理解潛在威脅、安全選項、公司內(nèi)部的挑戰(zhàn)和限制，此類責任推卸游戲便可有效杜絕。

部分問題在于：作為CSO、CISO甚或CIO之類安全相關責任人，如果你工作做得超棒，那么你基本上毫無存在感;否則，你將如坐針氈。如果你定出了不錯的策略、規(guī)程和安全措施，通常也得交給IT來實施。但如果因為你沒能理解業(yè)務需求、預算、各種要求而導致這些措施沒起到效果，那你就真的可有可無了。

4. 勒索軟件將失去控制

自2016年1月起，賽門鐵克安全響應小組見證了每天平均4000+勒索軟件攻擊：比2015年的數(shù)據(jù)增加了300%。

大多數(shù)公司依賴低開銷預防技術來緩解此類威脅，比如防火墻、反病毒解決方案或入侵預防。然而，這些工具并不足以起到完全預防作用，被泄露的數(shù)據(jù)大軍赤裸裸地昭示著這些檢測和事件響應方法必須改善。

隨著攻擊者繼續(xù)使用社會工程和社交網(wǎng)絡來鎖定敏感角色或公司內(nèi)部人士，全面安全教育的需求變得比以往更加緊迫。

如果安全策略和技術不將此類攻擊方法納入考慮，勒索軟件將持續(xù)滲入。還有檢測問題。有些攻擊者能在公司環(huán)境中暢游數(shù)月之久，而網(wǎng)絡、邊界、終端和數(shù)據(jù)安全系統(tǒng)及過程之間的隔絕卻限制了公司預防、檢測和響應高級攻擊的能力。

最后，新的攻擊界面，比如說：IaaS、SaaS和IoT。這些東西太新了，公司企業(yè)還沒弄清保護它們安全的最佳方法。

5. 駐留時間看不到多大改善

駐留時間——從攻擊成功到被受害者發(fā)現(xiàn)的時間間隔，在2017年不會看到任何改善。某些極端案例中，駐留時間甚至能達2年之久，給公司造成數(shù)每次泄露百萬美元的損失。

為什么會這么久?原因令人無奈的簡單——幾乎沒有對真正攻擊活動檢測的關注。隨著惡意軟件時代的到來，公司、廠商和個人都繃緊了‘把壞人攔在門外’的弦，整個行業(yè)快速成長，專注于兩個基本主題：“深度防御”——用層次化預防戰(zhàn)術讓從外部滲透變得更難;以及“惡意軟件識別”——已證明自身是朝向100%檢測率的軍備競賽。

響應技術和修復能力都有了進步，受害者可以快速隔離和修復攻擊所造成的損害。但是，問題在于，這些技術對減少駐留時間沒什么卵用;除非響應團隊偶然遇到了某些惡意事件，或者意外發(fā)現(xiàn)了某個異常。

時至今日，安全人員使用網(wǎng)絡設備日志文件來搜索攻擊是否發(fā)生或已成功的線索，但存儲和分析這大量數(shù)據(jù)是花費巨大且低效的。

大量數(shù)據(jù)存儲和大規(guī)模分析引擎的需求，驅動了新安全信息和事件管理(SIEM)產(chǎn)業(yè)。但是，盡管SIEM是個很好的事后鑒證工具，卻依然對發(fā)現(xiàn)實時進行中的攻擊毫無效果。分析原始網(wǎng)絡流量以發(fā)現(xiàn)攻擊指征或許會有所幫助。在黑客攻擊邊界或設備防護層時，或者在他們作為無辜/惡意內(nèi)部人士完全繞過防護措施后盡快發(fā)現(xiàn)他們，將大幅縮短他們的駐留時間。

6. 手機作為切入點的數(shù)據(jù)泄露將持續(xù)上升

2017年，至少會有1起(大概會更多)重大企業(yè)數(shù)據(jù)泄露事件由手機導致。波耐蒙研究所一份報告發(fā)現(xiàn)，對一家企業(yè)而言，手機數(shù)據(jù)泄露的經(jīng)濟風險可高達2640萬美元。該項調(diào)查中67%的受訪企業(yè)報告稱，曾因員工使用手機訪問公司的敏感和機密信息而導致數(shù)據(jù)泄露。

當今世界的人員及其手機都流動得太快太頻繁了，老一套網(wǎng)絡安全策略很難起效。而且，隨著用戶對其所選手機權利意識的增長，漏洞利用形勢堪稱成熟。

很多用戶覺得自己能在對公司和個人服務的持續(xù)訪問中保護好自身隱私。還有很多人絲毫不覺得自己是安全事件責任人;如果他們能規(guī)避“安全”以改善用戶體驗，他們會的。CISO、CIO和CEO將之視為實現(xiàn)企業(yè)安全策略的復雜挑戰(zhàn)，而且是不能用通過SSL發(fā)送電子郵件和日程安排到單一指定OS能解決的。

手機支付，也將成為安全責任的一方面。MasterCard的“自拍支付”和英特爾的人臉識別解鎖軟件 True Key 只是冰山一角。個人應當明白，自身生物特征數(shù)據(jù)應像其他財務和私密數(shù)據(jù)一樣得到妥善保護。而這，又落到了教育和培訓的身上。

公共WiFi接入提供商像香煙盒上印制“吸煙有害健康”標語一樣豎起互聯(lián)網(wǎng)安全警示牌或許會比較好。比如說，“警告：本公共接入連接不安全，您收發(fā)的信息有可能被罪犯偷看、收集并用以盜取您的資產(chǎn)、身份或私密信息。”

7. IoT = 威脅網(wǎng)?

IoT漏洞和攻擊還會繼續(xù)增長，對各類安全措施的標準化需求亦然——今年DefCon上的黑客展示了47個新漏洞，影響21個廠家的23種設備。

還有，今年10月讓包含推特、Netflix、Reddit和英國政府網(wǎng)站在內(nèi)世界主要站點掉線的大規(guī)模DDoS攻擊，據(jù)說也是由不安全IoT設備組成的Mirai僵尸網(wǎng)絡造成的。

投放到“智能設備”上的大量關注正好印證了IoT日益擴張的影響力?，F(xiàn)實卻是，聯(lián)網(wǎng)設備未必是智能設備。聯(lián)網(wǎng)的“東西”，通常因其簡單性而是“即發(fā)即棄”沒有后續(xù)維護的，或者干脆就是我們根本不知道的一些內(nèi)置功能或工具——就像Mirai僵尸網(wǎng)絡中使用的那些路由器。這導致了一種無視這些“啞”設備的思維，根本沒注意到這些設備雖然“悶不吭聲”，卻是連接到聯(lián)通全球的互聯(lián)網(wǎng)上的。

這還不僅僅是小型消費級設備，甚或智慧家居或智慧汽車的問題。更令人不安的，是對廣泛使用的大型基礎設施系統(tǒng)的攻擊，比如電網(wǎng)、航空電子設備或鐵路系統(tǒng)。

聯(lián)網(wǎng)噴頭忽冷忽熱都是小問題，2017年遭遇電網(wǎng)或交通系統(tǒng)大型黑客事件的極高可能性才令人擔憂。這些來自50或60年代的技術依然在為關鍵基礎設施系統(tǒng)服務，而且?guī)缀跬耆珱]有防護，這才是實實在在一點就爆的“啞”IoT。

其實這是個認知問題。普羅大眾似乎不認為這些系統(tǒng)與他們?nèi)找骖l繁使用的IoT設備類似——甚至手機都能落入該分類范疇。

就像之前的智能手機，IoT設備被認為是新的、獨立的一類東西，不屬于老一代技術范疇，不受過往技術的限制。但這種想法很是荒謬：智能手機根本是最常見最廣泛的互聯(lián)網(wǎng)設備。IoT則是下一個大規(guī)模風行的東西。有些公司這次稍微前瞻了一點點，試圖摒除掉IoT上類似手機當前面臨的那些安全問題。目前為止，采取的行動還是又落回了預防上，但每個設備/連接都是可被攻擊的。縮短駐留時間和保護IoT安全，取決于能否盡快以最高置信度報出這些不可避免的攻擊所發(fā)生的時間。