2012年的大門正在關(guān)閉,展望新一年的時候到了。在你為2013年制定商業(yè)與IT計劃的同時,網(wǎng)絡(luò)罪犯們也正在制定新年規(guī)劃,準備著針對特定計算機系統(tǒng)與大大小小的組織發(fā)起愈加復(fù)雜的攻擊。

  在過去的一年中,企業(yè)遭受了多起嚴重的黑客攻擊與破壞事件。隨著攻擊者與企業(yè)間的“軍備競賽”在2013年進一步升級,IT部門與安全專家將需要時時都比黑客罪犯技高一籌,以保護企業(yè)不受攻擊威脅。2013年,惡意黑客們將使用哪些手段,對企業(yè)帶來哪些大的安全威脅呢?以下是我的預(yù)測。

  第一大威脅:社會工程

  這一切將開始于社會工程——一種無論在實體還是數(shù)字都久經(jīng)沙場的“黑帽戰(zhàn)術(shù)”。在計算機時代來臨之前,它是憑借巧言令色(而非一封措辭巧妙的電子郵件)偷偷繞過一家公司的防線。如今,社會工程已經(jīng)開始利用起了包括Facebook和LinkedIn在內(nèi)的社交網(wǎng)絡(luò)。

  攻擊者正擴展社會工程的使用面,不再于致電目標雇員,然后釣出信息。在過去,他們也許會打電話到前臺,要求轉(zhuǎn)接到目標雇員,這樣從來電顯示看像是一個公司內(nèi)部電話。然而,如果網(wǎng)絡(luò)罪犯所尋找的細節(jié)信息早已被發(fā)布在社交網(wǎng)絡(luò)之上,那么不需要以上戰(zhàn)術(shù)了。畢竟,社交網(wǎng)絡(luò)是用來建立與經(jīng)營人脈的,只消一個令人信服的公司或個人主頁,再加之以一個加好友請求,足以成一場社會工程騙局。

  警惕社會工程的重要性不言而喻,因為它可能預(yù)示著某一旨在突破公司防御墻的復(fù)雜攻擊。過去一年發(fā)生了多起針對企業(yè)和政府的高調(diào)攻擊(如Gauss和Flame)。這些攻擊被稱為高級持續(xù)性威脅(APTs)。他們高度復(fù)雜,是精心構(gòu)建的產(chǎn)物,背后的用意是獲取某個網(wǎng)絡(luò)的訪問權(quán)限并神不知鬼不覺地盜取信息。他們采取“韜光養(yǎng)晦”的策略,通常難以被發(fā)現(xiàn),因而成功率頗高。

  此外,APTs不需要每次都將Microsoft Word這樣的知名軟件作為攻擊對象,它們也可以攻擊其他載體,比如嵌入式系統(tǒng)。隨著眼下?lián)碛谢ヂ?lián)網(wǎng)地址協(xié)議的設(shè)備日益增多,建設(shè)系統(tǒng)安全性的需要從未如這樣迫切。

  隨著各國政府和其他資金雄厚的機構(gòu)將網(wǎng)絡(luò)作為展開間諜活動的場所,APTs將繼續(xù)存在下去。實際上,APT此時此刻在活躍,所以務(wù)必警惕你網(wǎng)絡(luò)信息流通量中的異,F(xiàn)象。

  第三大威脅:內(nèi)部威脅

  一些危險的攻擊還是來自于內(nèi)部。考慮到一名特權(quán)用戶所能造成的破壞程度之大、其能夠訪問的內(nèi)部信息之多,這些攻擊的破壞性可能是大的。在一項由美國國土安全部、卡內(nèi)基梅隆大學(xué)(Carnegie Mellon University)軟件工程研究所的CERT內(nèi)部威脅中心(Insider Threat Center)和美國特勤局資助的調(diào)查中,研究者發(fā)現(xiàn),在金融行業(yè)中實施欺詐的惡意內(nèi)部人士普遍都能逍遙法外,往往需要近32個月之后才會被揭穿。正如俗語所說,信任是一種珍貴的商品,但太多的信任也可能讓你不堪一擊。

  第四大威脅:BYOD

  企業(yè)想方設(shè)法以合適的技術(shù)與政策組合追趕“設(shè)備自帶”(bring-your-own-device;簡稱BYOD)潮流的同時,他們也將信任問題帶到了手機領(lǐng)域。用戶正日益將自己的手機當成電腦使,這使他們暴露在原本只有在操作臺式機時才面臨的網(wǎng)絡(luò)攻擊風(fēng)險之下。

  而攻擊者也很可能會更加頻繁地試圖繞過手機供應(yīng)商用來保衛(wèi)應(yīng)用市場而設(shè)置的應(yīng)用審核以及檢測機制。這一切都意味著,涌入辦公室的iPhone、谷歌安卓(Android)手機等設(shè)備正在開啟另一個有待把守的黑客入口。想想看,你的智能手機有攝像頭,也有麥克風(fēng),它可以用來錄制談話。這些功能再加上訪問公司網(wǎng)絡(luò)的權(quán)限,一把翻越公司防線的完美活梯造成了。

  第五大威脅:云安全

  然而,BYOD還不是改變企業(yè)關(guān)鍵數(shù)據(jù)防護墻的變化趨勢。眼下還有一種“小”趨勢,它的名字是“云計算”。隨著越來越多的企業(yè)將更多信息移入公共云服務(wù)中,這些服務(wù)變成誘人的獵物,可以成為扼住一家公司的咽喉。對企業(yè)而言,這意味著在企業(yè)與云服務(wù)提供商的對話中,安全問題必須繼續(xù)占據(jù)重要地位,而企業(yè)也需要明確自己的需求。

  第六大威脅:HTML5

  正如云計算的普及改變了攻擊面的分布,HTML5的普及也是如此。在今年早些時候召開的“黑帽會議”上(安全專家通常會從中預(yù)測未來可能出現(xiàn)的攻擊),有人曾指出,HTML5的跨平臺支持與多種技術(shù)整合為攻擊打開了新的可能性,比如抓住Web Worker功能(HTML5 提供的javascript多線程解決方案——譯注)實施破壞。盡管人們對HTML5安全的關(guān)注度越來越高,HTML5的初來乍到意味著開發(fā)者在使用時勢必會犯錯,而攻擊者則將趁虛而入。所以做好心理準備,基于HTML5的攻擊可能在明年出現(xiàn)大幅飆升,但理想情況下應(yīng)能隨著安全性的日漸提高而逐漸減少。

  第七大威脅:僵尸網(wǎng)絡(luò)

  盡管研究人員與攻擊者之間的“軍備競賽”對創(chuàng)新情有獨鐘,但網(wǎng)絡(luò)罪犯預(yù)計還是會花大量時間完善他們的“拿手好戲”,比如確保僵尸網(wǎng)絡(luò)的高度可利用性和分散性。盡管諸如微軟等公司依法發(fā)起的反攻措施卓有成效,暫時性地阻斷了垃圾郵件和惡意軟件的運作,但以為攻擊者不會從中吸取教訓(xùn)并增強未來攻擊力,這種想法未免有些天真。僵尸網(wǎng)絡(luò)已經(jīng)在我們的生活中安家落戶。

  第八大威脅:精確定位的惡意軟件

  攻擊者也會從研究人員在分析他們的惡意軟件時所采取的步驟中吸取教訓(xùn),近的某演示證明,一種技術(shù)可以通過設(shè)計惡意軟件使分析無效,這種軟件的特點是除了在目標環(huán)境中以外,在其他任何環(huán)境中都無法被正確執(zhí)行。此類攻擊的例子包括Flashback和Gauss.兩者都成功破壞了研究人員實施自動化惡意軟件分析的可能性,Gauss尤甚。新的一年中,攻擊者將繼續(xù)提升這些技巧,使他們的惡意軟件更加“專一”,只攻擊那些擁有特定配置的電腦。

  有一點可以肯定——2013勢必將通過從社交網(wǎng)絡(luò)到移動設(shè)備到雇員本身的各種載體帶來數(shù)量龐大的漏洞利用與惡意軟件。隨著計算機與操作系統(tǒng)安全性的不斷提升,網(wǎng)絡(luò)罪犯繞過這些防御措施的技能也會隨之提高。因此,我們又多了一個將安全作為新年決心的理由。