互联网在商业、政府部门和个人生活中的日益普及，同时网上也产生了网络犯罪及个人信息泄露等事件。“棱镜”事件后，全球各国对网络信息安全有了前所未有的重视，一些国家网络信息保护措施开始出台，许多应对网络威胁的新技术也得到快速应用。我国一直对网络信息安全倍加重视，但是由于网络世界瞬息万变，新兴领域尤其容易成为滋生网络信息威胁的温床。新年伊始，不妨通过美国佐治亚理工学院对新兴网络威胁的分析，来对网络安全形势有一个大致的预判。

　　基础设施：

　　安全问题不止停留在理论层面

　　在过去的3年中，许多安全研究者已经使用网络扫描或更为便利的Shodan搜索引擎发现了接入互联网的关键基础设施。2013年1月，来自安全咨询公司InfraCritical的两位研究人员用Shodan搜索到几十个工业控制系统，发现包括能源、水务和建筑自动化控制系统在内、直接连接网络的超过7000个服务器和系统。

　　这些威胁并不是理论上的。2009年，“震网病毒”攻击了伊朗专门用于铀处理的工业控制系统，致使其铀分离能力受到严重破坏。就是由于承包商无意中将感染“震网病毒”的USB驱动器连接到该系统网络，使得这个恶意软件得以运行。在另一案件中，攻击者在5个月内侵入自来水网络系统并对其进行了70余次的破坏。

　　佐治亚理工学院的研究者一直在对嵌入式设备的安全性进行研究。虽然许多对消费终端的攻击不会触及要害，但是相关信息可以帮助攻击者破坏更为重要的系统。佐治亚理工学院教授霍华德称，他现在最担心的是有人对物联网中的一个点发起攻击进而逐步升级，以此造成对复杂和关键系统的威胁。

　　对于那些可破坏供应链上任一位置、任一设备的软件或者硬件设施的攻击仍值得警惕。恶意程序可感染如数码相框和网络设备这类的设备，目前，检测这类攻击仍比较困难。

　　现在对审计行业设备的程序进行大范围扫描的多数方法还比较昂贵。检测物理设备和设备电子辐射对于一家企业来说要求的人力和时间成本过高。使用给设备配备标准检测程序的方式，可用于台式电脑、笔记本电脑以及其他类似设备。但这种方式要求这种程序可以兼容物联网上的每一种设备。由于物联网上设备众多，研发兼容每一个平台的标准检测程序就相当困难。

　　佐治亚理工学院的研究人员正在研究使用设备之间的流量传输对物联网中的设备进行指纹识别及分析。研究人员启动这个系统，监听其产生的流量，并用网络调查对该架构进行检测，看其是否被破坏以及是否受到并非针对该架构的攻击。经过统计分析，研究者可以检测这些设备是否适合该程序。这种方式是通过检测标记伪装设备或者受到恶意攻击的设备的流量，进而对其以后的通信进行拦截。

　　大数据：

　　信息操纵扩展到数据分析领域

　　未来，政府和企业将通过大量数据分析来获取情报。这些情报可用于精细化运作、制定更多决策、探测到存在威胁的异常情况。随着人们运用大数据分析的广泛化，攻击者将找到避开统计分析和异常检测的方法。

　　信息操纵将成为攻击者的攻击策略。通过利用各种污染信息的方法（比如在一些度量中缓慢建立广泛差异等），网络攻击高手能篡改分析平台中的威胁模型，让其将异常行为判定为正常行为，或者攻击者能通过发起很多假攻击，来制造假警报和浪费人工分析师的时间。防御者在对抗此类攻击时需检测出数据中的细小变化，并能标记出可疑变化。

　　物联网：

　　山寨设备安全不易被监测

　　如今，大量的设备连接到互联网。从嵌入式汽车系统、智能家居到工业控制系统再到消费终端，物联网必将继续发展成为商业及人们生活中不可或缺的一部分，这类系统的安全和隐私问题尤为重要。然而，安全问题仍然存在，许多设备制造商尽管是早期操作系统的制造商，仍会犯相同的错误。大多数本不应该连接到互联网的工业控制系统仍被连接到网络，而且其安全性极其脆弱。工程师在设计新一代此类设备时通常不会想到更先进的网络攻击，比如利用定时、供电波动以及其他渠道的攻击。

　　“未来五年，将会有大量设备连接到家庭及商业网络，这些都可以作为攻击渠道。”霍华德表示。物联网对人们生活产生前所未有的影响，但是难以保障其安全性，所以从现在开始就要考虑如何确保安全性。尽管具有指纹识别功能的设备已经面市，但监测失败情况普遍存在，山寨设备也继续泛滥。

　　缺乏安全保障的设备数量激增对物联网构成威胁。20世纪90年代和21世纪初，接入互联网的大多数设备是个人电脑和服务器，而现在智能手机以及其他移动终端也越来越多地连接到互联网。思科发布的年度预测显示，截至2013年年底，有逾70亿个移动终端连接互联网，比地球总人口数量还要多。

　　目前，传感器、消费终端、工业控制系统以及其他可以迅速连接网络的设备规模已经远超移动设备。分析师估计，未来两年，将有150亿~250亿个移动终端通过互联网相连。物联网将可使各个公司更好地掌控公司业务，让人们更好地管控自己的生活。尽管2013年夏天已披露出美国国家安全局进行数据搜集活动，同时也显示出该机构可通过搜集常规数据监视他人到何种程度，但这种普遍存在的网络安全和隐私问题仍然是一个悬而未决的问题。霍华德表示，对于大多数系统来说，联网或者添加另一个渠道所进行的操作绝对不能使系统被利用或者导致信息泄漏。

　　设备接入网络的一个显著问题是进行安全更新时如何避免风险。各个公司对关键基础设施升级持犹豫态度正是考虑到升级失败的潜在风险。设备是物联网的组成部分，然而，却不得不由制造商进行远程管理。此外，绝大部分设备运行烦琐的安全软件时缺乏灵活性，所以各公司必须通过网络层面的监管来探测损坏点。

　　终端：BYOD易成为恶意程序启动平台

　　移动设备已经改变了工作场所中的IT安全动态。自带设备（BYOD）的趋势造成公司的两种威胁：相对不安全的设备连接到网络以及越来越多的数据被存储到个人电脑里。首先，因为这些移动平台是员工自己的，确保其设备的安全性就更加艰难，这种恶意程序可以用智能手机和平板电脑作为启动平台向公司网络发起攻击。其次，由于员工使用自己的设备办公，公司数据就会被存储在这些相对不安全的环境中。

　　然而，由于生产率收益和省钱对大多数公司来说太具诱惑力，BYOD政策不会被放弃。各公司将不得不采取各种措施锁定或者排除设备，这些措施包括用安全空间划分信任应用程序和敏感数据，控制网络访问将不受信任的设备隔离在网络之外。

　　恶意程序和黑客对移动设备的用户构成重大威胁，但一种更为普遍的威胁是合法使用从智能手机和平板电脑搜集的数据。2013年6月，前美国国家安全局（NSA）的承包商爱德华·斯诺登揭露该情报机构所进行的数据搜集，多数观察人士对NSA利用“棱镜”计划搜集个人数据的程度表示震惊。

　　因为消费者自愿随身携带的移动设备既可用作传感器又可用作跟踪平台，无线运营商、制造商和许多程序开发者都会定期搜集来自这些移动设备上的用户数据。尽管美国法院对于执法时是否可以未经许可就搜集数据还有分歧，但大多数数据都可以追踪到用户。“换句话说，在人类历史上，人们从未携带过追踪设备，而现在却一直在携带。”佐治亚理工学院法律和伦理学教授称。然而，即使法院要求执法机构访问电话的历史位置需要获得许可，但这样的规定不太可能控制应用开发者从电话上搜集大量信息。

　　移动应用：封闭应用商城并非完美防御方式

　　截至2013年年底，接入网络的移动设备数将比地球总人口数还要多，与此同时，五分之四的人使用自己的个人移动设备工作。尽管个人电脑在过去的十年中决定了人们的工作方式，移动设备以及更多高效的生产力将决定后个人电脑时代的工作方式。尽管恶意程序对于移动设备的威胁远低于对于个人电脑的威胁，但这些威胁迅速转移到移动平台上。另外，由于移动用户通常对不可信的网络缺乏警惕，中间人攻击愈加普遍。

　　移动设备制造商试图从计算机操作系统厂商的错误中学习。谷歌添加了一种基于许可的安全模式，可进行一系列的安全控制，能够撤销申请，最终有自动化系统审核申请并向其应用商城Google Play提交。苹果则采取更为严格的做法，对特定系统功能严格控制，并从一开始就检测每个申请以应对潜在的恶意行为。

　　尽管移动平台对于个人和企业用户来说已经很安全，但研究人员和攻击者正在寻找破坏其系统安全的方法。用户不对手机进行“越狱”以及仅使用一个主要的应用商城，通常会很安全。目前，北美所有设备中恶意移动程序的感染率不到1%，其中，“越狱”的智能手机是最危险的一类。

　　然而，研究人员和攻击者已经发现绕过Android和iOS生态系统防御的方法。2013年8月，在美国高等计算机系统协会安全会议上，4名研究人员展示了如何绕过苹果审查程序将预设漏洞添加到一款应用程序中，以便攻击者利用该漏洞访问此设备。“我们已经证明常规的应用商城无法阻止恶意应用程序的侵入。”佐治亚理工学院信息安全中心研究人员、美国高等计算机系统协会会议论文作者之一称。

　　许多对策可以帮助恢复应用商城的安全，包括使用一个更加精细的授权系统，控制流完整性检测，或要求开发者使用类型安全语言。如何应用这些安全措施仍是一个悬而未决的问题。

　　云计算：安全性和可用性之间难权衡

　　随着信息技术从业务所有向雇员所有的迅速转变，越来越多的企业面临保护员工设备和用户级云设备数据挑战。信息技术朝着移动和分布式系统逐渐演变意味着大多数公司都会有数据渗透到云中。尽管七成的IT经理都确认或假定员工将业务数据储存到云中，但很少有企业针对这一行为采取保护措施。

　　然而，用户和企业并不是唯一使用云服务的。云服务的广泛采用，也使得网络犯罪者更加便捷地绕过许多公司设置的数字防御系统。此外，一些高水平的网络犯罪者创建了他们自己的云服务，比如有人试图入侵某系统，可以注册并迅速租用一个僵尸网络或购买其他非法服务。在这样的背景下，企业面临着由无所不在的云服务带来的众多威胁。

　　企业继续处理所谓“影子IT”（指业务部门越过现有 IT 部门而直接采用云服务）的加速蔓延，员工采用云服务让他们的工作更有效率。通过未知和未被管理的设备，生产效率得到了提高，但是重要的业务数据却失去了公司网络的保护，将面临更大的风险。Dropbox、Box.com和Google Drive是员工常用的文件共享服务软件，均允许外来者获取未加密的数据。

　　企业首先需要获得更多对业务数据转移的可见性。根据Skyhigh Networks公司的数据显示，公司员工平均使用超过500种云服务，而大部分公司却没有一个风险基础政策。网络犯罪者已经使用了多种服务从企业内部窃取数据，或者使用被信任的在线服务获得访问权限，比如一些信誉良好的网站或文件共享服务，并从中下载恶意软件。

　　IT安全专家也关注通过使用双重身份验证对云端敏感数据的安全访问以使攻击者更难访问数据。同时也存在其他威胁：云服务本身被破坏，或服从某个主权政府的合法请求，要求访问数据。在这些情况下，企业需要在数据被导出到云端之前实行加密。

　　云服务可以保护数据不被恶意软件利用。国家民族相关的网络攻击持续增长：包括攻击伊朗核反应堆的“震网病毒”、叙利亚电子军的黑客运动以及中国正在进行的知识产权收集。

　　在这种情况下，企业和政府机构应该在允许员工继续工作的同时保护其信息数据不被恶意软件窃取，云服务发挥了切实作用。有了云存储的可靠性和强大的加密功能，可创建一个基于公共互联网的安全可靠的系统。部分企业已经建立了加密信息的云代理，实现文件共享服务。

　　研究人员已经开发出使用云在线存储的系统，并将其应用到一个安全和隔离的虚拟机实例中，可以创建高度安全的数据访问方式。这个项目也被称为“云胶囊”，它允许用户切换到安全模式，来使用完全相同的工作站和访问云端的加密文件。为了实现快速访问存储文件，每个文件都要被加密和单独存储。一旦使用“云胶囊”加密云端数据，增强安全性的同时也将保留加密文件存储系统的弱点，也就意味着数据不容易被访问。