從報(bào)稅表詐騙到WordPress漏洞、勒索軟件、商業(yè)電子郵件泄露、DDoS攻擊和總統(tǒng)大選被黑疑云——2016簡直就是網(wǎng)絡(luò)安全地獄年，而且這還沒完。

根本沒理由相信2017會(huì)有所好轉(zhuǎn)。若說有什么區(qū)別的話，那就是會(huì)變得更糟糕——因?yàn)榫W(wǎng)絡(luò)罪犯會(huì)繼續(xù)發(fā)動(dòng)社會(huì)工程，找到投送惡意軟件的新方法，破解有漏洞的數(shù)據(jù)庫，利用移動(dòng)技術(shù)來找出打破公司防御咬上目標(biāo)人物的途徑。

兩位杰出的網(wǎng)絡(luò)安全專家：安全訪問軟件公司Bomgar首席執(zhí)行官馬特·德克斯，安全設(shè)備管理和移動(dòng)安全公司 Cyber adAPT首席技術(shù)官斯科特·米里斯，為我們展望了一下2017網(wǎng)絡(luò)安全形勢(shì)。

1. 口令“成長”

10月21日造成互聯(lián)網(wǎng)大面積掉線的DDoS攻擊，至少有部分是因IoT設(shè)備上未修改的默認(rèn)口令被黑客利用而發(fā)起的。別覺得自己能幸免，有多少用戶用的是簡單、常見、過時(shí)的口令?2017年，更好的口令管理服務(wù)，會(huì)隨著企業(yè)意識(shí)到自己防護(hù)有多差而引起重視。

有太多特定用途的“啞”設(shè)備了，就像前面說過的助力DDoS攻擊的那些路由器，這讓黑客們的工作變得十分容易。

弱口令依然一統(tǒng)江湖的時(shí)候，網(wǎng)絡(luò)安全人員面對(duì)關(guān)鍵基礎(chǔ)設(shè)施、聯(lián)網(wǎng)系統(tǒng)和遠(yuǎn)程訪問系統(tǒng)及設(shè)備防護(hù)任務(wù)簡直一籌莫展，而且問題還不只是外部威脅一種。

內(nèi)部威脅緩解也可以通過更好的口令管理來完成。最佳方式，是實(shí)現(xiàn)用戶未知口令安全存儲(chǔ)的解決方案，并定期驗(yàn)證和輪轉(zhuǎn)這些口令以確保安全。

這里指的，其實(shí)就是憑證保險(xiǎn)柜。理想狀況下，用戶不會(huì)知道自己的口令，口令由保險(xiǎn)柜自動(dòng)填充，并且每周輪轉(zhuǎn)和改變。黑客本質(zhì)上是很懶的，他們也有自己的時(shí)間需求。如果你讓他們的破解工作更難，他們就會(huì)轉(zhuǎn)移目標(biāo)而不是投入時(shí)間精力來跟你死磕。

2. 權(quán)限受到重視

黑客想要高權(quán)限，他們通過瞄準(zhǔn)IT員工、CEO和供應(yīng)商之類的特權(quán)用戶來獲得高權(quán)限。雖然公司對(duì)重要系統(tǒng)、應(yīng)用和數(shù)據(jù)采取了安全措施，這些預(yù)防性措施顯然已不再足夠。2017年，懂行的公司最終會(huì)嚴(yán)肅對(duì)待特權(quán)用戶保護(hù)問題，而不僅僅是系統(tǒng)防護(hù)，他們會(huì)識(shí)別、監(jiān)視特權(quán)用戶的訪問，關(guān)閉他們不需要的權(quán)限。

有人說“我的用戶和外部供應(yīng)商都只能用VPN來連接，挺好的。”但其實(shí)他們根本不知道這些外部人士到底都在讀取些什么!權(quán)限管理就像電梯間，根據(jù)角色，乘客只能進(jìn)入某些特定樓層，切實(shí)地限制了用戶行為，尤其是在用戶懷有惡意的情況下。即便手握有效口令，只要權(quán)限限制了只能訪問第1和第7層，任何試圖闖入第6層的做法都會(huì)觸發(fā)警報(bào)并鎖定電梯。

解決權(quán)限問題，同樣需要公司愿意提供關(guān)于潛在危險(xiǎn)的擴(kuò)展教育和培訓(xùn)，尤其是在越來越多的移動(dòng)辦公人員太喜歡犧牲隱私和個(gè)人數(shù)據(jù)來換取訪問權(quán)，而且天真地以為自己的安全會(huì)被第三方服務(wù)提供商和App作者保護(hù)好的情況下。

尤其是最近幾代數(shù)字原住民，太愿意給出自己的個(gè)人數(shù)據(jù)來換取App、聯(lián)網(wǎng)、信息等等的訪問權(quán)了——利用這一點(diǎn)簡直不要太容易!他們幾乎默認(rèn)這些App開發(fā)者、服務(wù)提供商會(huì)確保他們的安全。天真!危險(xiǎn)!綜合考慮如今的網(wǎng)絡(luò)安全技術(shù)缺口、人才短缺、移動(dòng)辦公、App為中心的環(huán)境、更高級(jí)的黑客活動(dòng)，我們面對(duì)的根本就是一場完美風(fēng)暴。只會(huì)更壞，不會(huì)更好。

3. 安全責(zé)任推卸升溫

現(xiàn)在，安全公司的客戶傾向于連“假如”發(fā)生網(wǎng)絡(luò)攻擊事件都不提了，直接就問“什么時(shí)候”被攻擊?情況會(huì)有多糟?這種自己撒手不管，完全依賴安全公司服務(wù)的思潮，是十分恐怖的。

IoT和對(duì)安全解決方案提供商越來越重的依賴度，意味著公司企業(yè)可能在數(shù)據(jù)泄露發(fā)生時(shí)推卸其所有權(quán)和事件源頭的責(zé)任。誰應(yīng)該對(duì)保護(hù)、維護(hù)和修復(fù)各種技術(shù)負(fù)責(zé)?更糟的是，有沒有產(chǎn)品被接入根本無法打上補(bǔ)丁的內(nèi)部系統(tǒng)?很多IoT設(shè)備經(jīng)常因?yàn)椴辉贗T傳統(tǒng)管轄范圍內(nèi)而被無視掉，但這確實(shí)造成了對(duì)威脅的暴露面。

IoT、自動(dòng)化和云在不斷集成整合，但似乎沒人完全確定到底誰該對(duì)維護(hù)所有這些不同技術(shù)的安全負(fù)責(zé)：IoT設(shè)備制造商?安全服務(wù)提供商?內(nèi)部IT團(tuán)隊(duì)?個(gè)人用戶?在安全上，木桶理論完全適用——取決于最不安全的設(shè)備或關(guān)系。

當(dāng)數(shù)據(jù)泄露發(fā)生，即便有層次化的安全措施，誰負(fù)責(zé)、誰有權(quán)響應(yīng)的問題，也將引發(fā)激烈的爭執(zhí)和相互指責(zé)。

通過確保IT與業(yè)務(wù)部門之間的開放溝通，理解潛在威脅、安全選項(xiàng)、公司內(nèi)部的挑戰(zhàn)和限制，此類責(zé)任推卸游戲便可有效杜絕。

部分問題在于：作為CSO、CISO甚或CIO之類安全相關(guān)責(zé)任人，如果你工作做得超棒，那么你基本上毫無存在感;否則，你將如坐針氈。如果你定出了不錯(cuò)的策略、規(guī)程和安全措施，通常也得交給IT來實(shí)施。但如果因?yàn)槟銢]能理解業(yè)務(wù)需求、預(yù)算、各種要求而導(dǎo)致這些措施沒起到效果，那你就真的可有可無了。

4. 勒索軟件將失去控制

自2016年1月起，賽門鐵克安全響應(yīng)小組見證了每天平均4000+勒索軟件攻擊：比2015年的數(shù)據(jù)增加了300%。

大多數(shù)公司依賴低開銷預(yù)防技術(shù)來緩解此類威脅，比如防火墻、反病毒解決方案或入侵預(yù)防。然而，這些工具并不足以起到完全預(yù)防作用，被泄露的數(shù)據(jù)大軍赤裸裸地昭示著這些檢測(cè)和事件響應(yīng)方法必須改善。

隨著攻擊者繼續(xù)使用社會(huì)工程和社交網(wǎng)絡(luò)來鎖定敏感角色或公司內(nèi)部人士，全面安全教育的需求變得比以往更加緊迫。

如果安全策略和技術(shù)不將此類攻擊方法納入考慮，勒索軟件將持續(xù)滲入。還有檢測(cè)問題。有些攻擊者能在公司環(huán)境中暢游數(shù)月之久，而網(wǎng)絡(luò)、邊界、終端和數(shù)據(jù)安全系統(tǒng)及過程之間的隔絕卻限制了公司預(yù)防、檢測(cè)和響應(yīng)高級(jí)攻擊的能力。

最后，新的攻擊界面，比如說：IaaS、SaaS和IoT。這些東西太新了，公司企業(yè)還沒弄清保護(hù)它們安全的最佳方法。

5. 駐留時(shí)間看不到多大改善

駐留時(shí)間——從攻擊成功到被受害者發(fā)現(xiàn)的時(shí)間間隔，在2017年不會(huì)看到任何改善。某些極端案例中，駐留時(shí)間甚至能達(dá)2年之久，給公司造成數(shù)每次泄露百萬美元的損失。

為什么會(huì)這么久?原因令人無奈的簡單——幾乎沒有對(duì)真正攻擊活動(dòng)檢測(cè)的關(guān)注。隨著惡意軟件時(shí)代的到來，公司、廠商和個(gè)人都繃緊了‘把壞人攔在門外’的弦，整個(gè)行業(yè)快速成長，專注于兩個(gè)基本主題：“深度防御”——用層次化預(yù)防戰(zhàn)術(shù)讓從外部滲透變得更難;以及“惡意軟件識(shí)別”——已證明自身是朝向100%檢測(cè)率的軍備競賽。

響應(yīng)技術(shù)和修復(fù)能力都有了進(jìn)步，受害者可以快速隔離和修復(fù)攻擊所造成的損害。但是，問題在于，這些技術(shù)對(duì)減少駐留時(shí)間沒什么卵用;除非響應(yīng)團(tuán)隊(duì)偶然遇到了某些惡意事件，或者意外發(fā)現(xiàn)了某個(gè)異常。

時(shí)至今日，安全人員使用網(wǎng)絡(luò)設(shè)備日志文件來搜索攻擊是否發(fā)生或已成功的線索，但存儲(chǔ)和分析這大量數(shù)據(jù)是花費(fèi)巨大且低效的。

大量數(shù)據(jù)存儲(chǔ)和大規(guī)模分析引擎的需求，驅(qū)動(dòng)了新安全信息和事件管理(SIEM)產(chǎn)業(yè)。但是，盡管SIEM是個(gè)很好的事后鑒證工具，卻依然對(duì)發(fā)現(xiàn)實(shí)時(shí)進(jìn)行中的攻擊毫無效果。分析原始網(wǎng)絡(luò)流量以發(fā)現(xiàn)攻擊指征或許會(huì)有所幫助。在黑客攻擊邊界或設(shè)備防護(hù)層時(shí)，或者在他們作為無辜/惡意內(nèi)部人士完全繞過防護(hù)措施后盡快發(fā)現(xiàn)他們，將大幅縮短他們的駐留時(shí)間。

6. 手機(jī)作為切入點(diǎn)的數(shù)據(jù)泄露將持續(xù)上升

2017年，至少會(huì)有1起(大概會(huì)更多)重大企業(yè)數(shù)據(jù)泄露事件由手機(jī)導(dǎo)致。波耐蒙研究所一份報(bào)告發(fā)現(xiàn)，對(duì)一家企業(yè)而言，手機(jī)數(shù)據(jù)泄露的經(jīng)濟(jì)風(fēng)險(xiǎn)可高達(dá)2640萬美元。該項(xiàng)調(diào)查中67%的受訪企業(yè)報(bào)告稱，曾因員工使用手機(jī)訪問公司的敏感和機(jī)密信息而導(dǎo)致數(shù)據(jù)泄露。

當(dāng)今世界的人員及其手機(jī)都流動(dòng)得太快太頻繁了，老一套網(wǎng)絡(luò)安全策略很難起效。而且，隨著用戶對(duì)其所選手機(jī)權(quán)利意識(shí)的增長，漏洞利用形勢(shì)堪稱成熟。

很多用戶覺得自己能在對(duì)公司和個(gè)人服務(wù)的持續(xù)訪問中保護(hù)好自身隱私。還有很多人絲毫不覺得自己是安全事件責(zé)任人;如果他們能規(guī)避“安全”以改善用戶體驗(yàn)，他們會(huì)的。CISO、CIO和CEO將之視為實(shí)現(xiàn)企業(yè)安全策略的復(fù)雜挑戰(zhàn)，而且是不能用通過SSL發(fā)送電子郵件和日程安排到單一指定OS能解決的。

手機(jī)支付，也將成為安全責(zé)任的一方面。MasterCard的“自拍支付”和英特爾的人臉識(shí)別解鎖軟件 True Key 只是冰山一角。個(gè)人應(yīng)當(dāng)明白，自身生物特征數(shù)據(jù)應(yīng)像其他財(cái)務(wù)和私密數(shù)據(jù)一樣得到妥善保護(hù)。而這，又落到了教育和培訓(xùn)的身上。

公共WiFi接入提供商像香煙盒上印制“吸煙有害健康”標(biāo)語一樣豎起互聯(lián)網(wǎng)安全警示牌或許會(huì)比較好。比如說，“警告：本公共接入連接不安全，您收發(fā)的信息有可能被罪犯偷看、收集并用以盜取您的資產(chǎn)、身份或私密信息。”

7. IoT = 威脅網(wǎng)?

IoT漏洞和攻擊還會(huì)繼續(xù)增長，對(duì)各類安全措施的標(biāo)準(zhǔn)化需求亦然——今年DefCon上的黑客展示了47個(gè)新漏洞，影響21個(gè)廠家的23種設(shè)備。

還有，今年10月讓包含推特、Netflix、Reddit和英國政府網(wǎng)站在內(nèi)世界主要站點(diǎn)掉線的大規(guī)模DDoS攻擊，據(jù)說也是由不安全I(xiàn)oT設(shè)備組成的Mirai僵尸網(wǎng)絡(luò)造成的。

投放到“智能設(shè)備”上的大量關(guān)注正好印證了IoT日益擴(kuò)張的影響力。現(xiàn)實(shí)卻是，聯(lián)網(wǎng)設(shè)備未必是智能設(shè)備。聯(lián)網(wǎng)的“東西”，通常因其簡單性而是“即發(fā)即棄”沒有后續(xù)維護(hù)的，或者干脆就是我們根本不知道的一些內(nèi)置功能或工具——就像Mirai僵尸網(wǎng)絡(luò)中使用的那些路由器。這導(dǎo)致了一種無視這些“啞”設(shè)備的思維，根本沒注意到這些設(shè)備雖然“悶不吭聲”，卻是連接到聯(lián)通全球的互聯(lián)網(wǎng)上的。

這還不僅僅是小型消費(fèi)級(jí)設(shè)備，甚或智慧家居或智慧汽車的問題。更令人不安的，是對(duì)廣泛使用的大型基礎(chǔ)設(shè)施系統(tǒng)的攻擊，比如電網(wǎng)、航空電子設(shè)備或鐵路系統(tǒng)。

聯(lián)網(wǎng)噴頭忽冷忽熱都是小問題，2017年遭遇電網(wǎng)或交通系統(tǒng)大型黑客事件的極高可能性才令人擔(dān)憂。這些來自50或60年代的技術(shù)依然在為關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)服務(wù)，而且?guī)缀跬耆珱]有防護(hù)，這才是實(shí)實(shí)在在一點(diǎn)就爆的“啞”IoT。

其實(shí)這是個(gè)認(rèn)知問題。普羅大眾似乎不認(rèn)為這些系統(tǒng)與他們?nèi)找骖l繁使用的IoT設(shè)備類似——甚至手機(jī)都能落入該分類范疇。

就像之前的智能手機(jī)，IoT設(shè)備被認(rèn)為是新的、獨(dú)立的一類東西，不屬于老一代技術(shù)范疇，不受過往技術(shù)的限制。但這種想法很是荒謬：智能手機(jī)根本是最常見最廣泛的互聯(lián)網(wǎng)設(shè)備。IoT則是下一個(gè)大規(guī)模風(fēng)行的東西。有些公司這次稍微前瞻了一點(diǎn)點(diǎn)，試圖摒除掉IoT上類似手機(jī)當(dāng)前面臨的那些安全問題。目前為止，采取的行動(dòng)還是又落回了預(yù)防上，但每個(gè)設(shè)備/連接都是可被攻擊的?？s短駐留時(shí)間和保護(hù)IoT安全，取決于能否盡快以最高置信度報(bào)出這些不可避免的攻擊所發(fā)生的時(shí)間。

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】