12月19日消息,Sophos 18日发布2015年安全威胁趋势报告,揭露在可预见的未来的最大安全风险,并说明在新的一年中,持续演进的网络威胁会对企业和消费者造成的实际影响。在如今年家得宝(Home Depot)和索尼(Sony)等的大型资料外泄事件后,可以想见网络安全仍会是2015年的热门话题。
在完整的报告中,Sophos专家指出十个预计在2015年起会对安全发生重大影响的领域:
1.漏洞减少导致可用弱点数目变少
长年以来,Microsoft Windows 都是网络犯罪分子的温床。幸运的是,Microsoft在消弥漏洞上花费了大量心力,让撰写攻击程式码的动作越来越难。在入侵攻击的难度增加后,部分攻击者将目标转移到社交工程,而且我们也看到有攻击者锁定非Microsoft的平台。
2.锁定物联网的攻击,已经由概念验证变成主要风险
在2014年,我们发现更多物联网(IoT)制造商的装置无法实作基本安全标准的情形,因此针对这些装置的攻击会对实际环境造成严重影响。安全产业必须与日俱进,以便可以保护这些装置。
3.加密成为标准,但并不是所有人都满意这一点
随着情报机构从事间谍活动的事情被层层揭露,以及资料外泄事件不断跃上新闻版面,使得安全和隐私问题越来越受到重视,因此加密变得比以往更为重要,但这个措施并非完全没有争议。如执法部门和情报机构等特定组织并不喜欢加密无所不在,他们相信这种作法可能对安全造成不利的影响。
4.在过去15年被广泛使用的许多软件中,仍有许多主要漏洞尚未被安全产业发现
从Heartbleed到Shellshock,很明显地,在我们今日的电脑系统中,仍然存在许多不安全的程式码。2014年发生的事件将网络犯罪份子的兴趣大幅转向到较不受到注意的软件和系统─所以企业也应该准备好因应的策略。
5. 监管机构要求揭露更多讯息和担负更多责任,尤其是在欧洲
和技术及安全领域相比,法律进步的脚步相对较慢,但是姗姗来迟的重大监管政策改变已经近在咫尺。这些改变很可能会促使其他司法管辖区制定更为激进的资料保护法规。
6. 攻击者对移动支付系统的兴趣增加了,但短时间内仍将重点放在传统金钱诈骗
在Apple引发Apple Pay风潮之后,移动支付系统成为2014年的主要话题。网络犯罪份子会寻找这些系统的漏洞,但现在的设计中已经具备几个积极的安全功能。我们预估网络犯罪分子短时间内会继续将目标放在传统的信用卡和签帐卡,因为这些目标更容易得手。
7. 全球技能差距持续扩大,对事件的回应和培训将是主要重点
随着技术越来越融入我们的日常生活,并且成为撑起全球经济的支柱,各国政府和业界都认为网络安全技术人才短缺的问题越来越重要。部分政府预估到2030年时,合格IT安全专业人员不足的差距会越来越大。
8. 锁定移动(和其他)平台的攻击服务和入侵攻击套件增加
在过去几年里,由于攻击的产品和服务盛行,只要简单操作就能使用骇客手法和发动攻击,使得网络犯罪更容易达到目的。由于移动平台非常热门 (包含越来越多令人垂涎的资料),我们将会看到有更多明确锁定这些装置的犯罪套件和工具出现。我们也可以看到这个趋势在IoT领域的其他平台出现,因为这些装置在我们身边快速增加。
9. 在工业控制系统和实际环境安全之间的缺口越来越大
由安全的角度来看,工业控制系统(ICS)通常落后主流技术十年或更多。在未来几年,我们预估会出现更多被骇客利用的严重漏洞,因为一波波由国家支持的攻击或经济动机的犯罪会随之而来。总之,这是一个有着显着风险的领域。
10. 引人注目的rootkit和僵尸程式的能力会找出新的攻击管道
科技产业正在改变,从那些我们长期依赖的主要平台和作法开始转移,而这些较为底层的改变会出现让网络犯罪份子感兴趣的漏洞,进而利用它们发动攻击。这些重大改变并非老旧的防护技术标准所能保护,可能会让补强过的弱点再次出现,并发展出新的安全漏洞类型。 |
