在不久的将来,我们将开始怀念那些以出名为驱动的群发邮件及网络蠕虫爆发的日子了。曾几何时,LoveLetter、SQLSlammer以及Melissa在刚被“释放”的数小时内便摧毁了不计其数的系统。今天,这些威胁现在看起来很少见了,我们已经进入安全威胁的第三个重要转变阶段。
在过去的十年里从追求出名转变为追求经济利益,犯罪软件频频出现。恶意软件取代了群发邮件,它们盗取信用卡信息,同时还贩卖虚假的反病毒安全软件。恶意软件已经发展成一种成功的犯罪业务模式,涉及数十亿资金。它们的目标是窃取机密信息以换取经济利益,受害者则是那些毫无防范的计算机用户。而像Zeus这样的木马和工具包正是它们的现代化交易工具。
目前,我们已经进入到第三阶段——网络间谍和网络破坏活动。Stuxnet并不是网络间谍的开始,而网络间谍也不会是犯罪软件的终点。事实上,现实给网络罪犯带来了更多更好的商机。随着新移动平台的大量增加,网络罪犯将有更多的地方可以攻击,更多的不合规则的社会工程技巧可以拿来研究,从而继续盗取我们的机密信息和财富。
然而,Stuxnet是一个标志。它清楚地告诉我们世界正在变化,2011年的安全威胁状况将不同于以往任何一年。
在对所掌握情况进行综合考量后,我们整理出了对2011年网络安全的分析。从对关键基础架构的攻击,到管理一名持续在线的移动工作者所面临的安全挑战,再到控制数字军备竞赛,将涵盖2011全年的主要趋势。
关键基础架构将遭遇更多攻击,服务供应商会做出相应反应
攻击者们很可能一直在观察Stuxnet对使用工业控制系统的行业所产生的影响,并且从中吸取经验。我们预计他们将从Stuxnet中获得经验,毕竟这是目前为止最显著的一个例子:这种计算机病毒通过修改控制硬件系统的行为变化,从而对现实世界产生影响。这些攻击者们很可能在2011年发出针对关键基础架构的新型攻击。尽管起步较慢,但是这种类型的攻击频率预计会有所增长。
为证明这一趋势,赛门铁克近期做了一项研究,询问关键基础架构供应商对其行业所遭受的网络攻击的看法。48%的调查对象表示他们预计明年会遭遇攻击,而80%的调查对象认为此类攻击的频率正在加快。
调查结果所传递的最主要信息是关键基础架构供应商们已经高度意识到安全威胁的存在,并认为关键基础架构保护(CIP:CriticalInfrastructureProtection)是当务之急。因此,预计这些供应商会加强网络安全防范措施。这些防范措施不仅能够抵御攻击,而且还具备攻击后继续生存的弹性—这就包括备份与恢复、加密、存储以及信息管理计划。
目标高度明确的威胁无论在出现频率还是影响方面都在不断增强,这导致零日漏洞愈加普遍
2010年,Hydraq以及a.k.a.Aurora为我们展示了一种目标高度明确的威胁类型,它们可以利用先前未知的软件漏洞,进而入侵特定的企业或某种特定类型的计算机系统。多年来,攻击者们一直都在利用这些安全漏洞。但是,这些目标性极强的威胁在2011年才出现迅猛势头,预计今后的一年中将出现比以往任何一年更多的零日漏洞。
赛门铁克已经注意到了这一趋势的发展。整个2009年,赛门铁克发现了12个零日漏洞。截至2010年11月初,赛门铁克在2010年已经跟踪了18个之前未知的安全漏洞,这些漏洞都曾经或正在被网络攻击所利用。其中,半数或者更多的漏洞都已经被Stuxnet、Hydraq、Sykipot、Pirpi等目标高度明确的威胁所利用。其中,Stuxnet创纪录地利用了4个零日漏洞,而Pirpi则是本月刚刚被识别的威胁。
零日漏洞之所以会在目标高度明确的威胁中越来越多地被利用,关键原因是此类恶意软件具有传播范围小的特点。传统的大范围安全威胁是通过感染尽可能多的计算机实现攻击,与此相反,目标高度明确的威胁仅仅锁定一小部分企业或个人,或者仅仅关注一个企业或个人,旨在盗取高价值的数据或侵入目标系统。在这种情况下,攻击者们面临的挑战就是确保他们能一次击中目标而不被发现。利用一个或多个零日漏洞能够有效地增加他们的胜算,并大大削弱目标设备或计算机对攻击的抵抗力。
没有一种传统安全技术擅长发现此类威胁。传统保护要求安全软件开发商先获取并分析恶意软件的具体类型,然后再对其加以防范。而目标性威胁分布范围小并具有隐秘性,安全软件开发商很难再用传统的检测方法来对这些威胁进行防御。但是,赛门铁克利用SONAR技术,根据安全威胁的行为探测到威胁,并利用基于信誉的安全技术分析某种威胁的情境而非内容,辨别出这些威胁的行为特征和低分布特性,使针对这些威胁的监测成为可能。#p#
智能移动设备使用的指数式增长使商业应用与个人应用之间的界限变得模糊,进而促使产生新IT安全模式
智能手机和平板电脑等移动设备的使用正以史无前例的速度增长,它们同时满足了企业和个人联系的需求。分析机构IDC预测,截止到2010年年底,新型移动设备的发货量将增长55%。而Gartner也预测在同一时间段内,将有12亿人使用具有丰富网络连接功能的移动电话。由于这种增长趋势在未来一年没有减缓的迹象,企业更趋向于使用新安全模式来保护存储在移动设备上的敏感数据的安全,使其可以安全地存取。
相同的移动设备正在被越来越多用于个人和商务。这给三个关键群体带来了安全和管理的双重挑战,即IT企业、消费者和电信运营商。
◆IT企业:消费者正在促使移动设备的创新并将这些设备带入企业,这也是当前IT消费化的一个有力证明。而有的企业也在削减成本,要求员工使用个人设备办公,这一点更印证了该趋势。但是,许多企业并没有一个针对多个不同操作系统的万全解决方案,以确保在允许使用个人设备情况下的企业数据及应用访问是安全的。
◆消费者:消费者的IT化意味着今天的消费者每天在家里正在使用更多的技术,但是却没有专门的IT人员来管理这些设备。这往往也说明了消费者没有工具能够让他们在病毒威胁和设备失窃的情况下恰当地保护个人信息。事实上,消费者移动设备的安全将在未来一年成为一个切实痛点。这将激发对定位、锁定和远程擦除服务的需求及应用。
◆电信运营商:电信运营商面临着不断下降的用户满意度造成的客户流失,以及移动带宽的失控增长、网络滥用、恶意软件蔓延及垃圾邮件带来的成本增加。运营商需要一个单一的解决方案来管理消费者的选择及语音、电子邮件、短信、彩信、Web、即时通信、P2P等各种服务的安全。
传统而言,网络罪犯对移动设备的兴趣只是一闪而过,他们的注意力都集中在高回报的个人电脑上。除了缺少鲜明的特色,制造成功的移动威胁最主要的障碍便是市场上缺少占据明显领先优势的移动平台,这就导致一个攻击者不得不制造多个攻击——每个攻击针对一个平台,从而提高成功率。但是,IDC预测,到今年年底,Android和AppleiOS设备预计将占有全球31%的市场份额。
随着移动设备技术的日益精进以及一些移动平台对市场的垄断,攻击者们在2011年不可避免地将攻击重点放在移动设备上,而移动设备即将成为机密数据丢失的主要源头。根据移动专家Mocana公司的研究,参与调查的企业中,65%的IT从业人员已经或将要定期关注针对智能移动设备的攻击。
IDC还预测,截止2011年底,10亿工作人员将会在部分时间处于移动状态,或者在离开公司所在地的地点办公。随着这一情况的发生,企业将不得不采用新模式来应对由此产生的一系列挑战,如云安全,进而实现在多平台和设备之间工作的无缝链接。预计IT管理人员由于业务需要也会执行更加精细的网络安全策略。
法规遵从超过数据泄露,将成为部署加密技术的首要原因
移动设备的大量使用使各企业面临着新的挑战,那就是对这些设备上以及通过这些设备存取的敏感数据的保护。此外,这些企业还必须遵从各种行业数据保护及隐私保护法规。
为了满足一系列法规遵从的标准,企业面临着越来越大的压力。美国去年所颁布的医疗行业法规HITECH以及几个州的立法都把目标指向数据保护。国际上,PCIDSS也更新到2.0版本。但是,尽管有各项规定的限制,当储存着机密数据的移动设备丢失时,目前很多机构都选择不公开这些丢失事件,这与它们对笔记本丢失事件的处理原则一样。实际上,员工并不一定会将移动设备丢失的情况上报给上级。今年,我们预计监管者们会对此类事件采取严厉措施,而这些措施会促使各企业加强对加密技术的使用,尤其是在移动设备上使用加密技术。
PonemonInstitute的《2010年度研究报告》指出,《美国企业加密趋势》研究表明,法规遵从第一次超过数据泄漏缓解,成为企业部署加密技术的首要原因。企业逐渐在数据泄漏之前,而不是之后,便开始调整他们的加密战略。
2011年,我们将会看到各企业更积极地应用加密技术进行数据保护,从而满足法规遵从,并避免数据泄漏导致的高额罚款及对品牌的破坏。
政治目的驱动下的攻击将浮出水面
根据赛门铁克CIP调查,超过一半的企业表示怀疑或相当肯定自己曾遭受过带有特殊政治目的的攻击。过去,这些政治目的驱动的攻击主要出现在网络间谍领域或针对网络服务的拒绝服务类攻击。在最近的一个例子中,攻击者针对批评南亚某个政党的博客和论坛发起了分布式拒绝服务攻击。然而,随着Stuxnet潘多拉盒子的打开,这些威胁将远不止于间谍游戏或给人们带来小烦恼这么简单,武器化的恶意软件将给人们的实际生活造成破坏。
Stuxnet是一种高度复杂的威胁,其目的是将工业控制系统的程序重新设定,即用来管理工业环境(如发电厂、炼油厂和天然气管道等)的计算机程序。它是第一个已知的针对此类系统的恶意软件。Stuxnet的终极目标是对与具体工业控制系统相连的物理设备进行操纵,使设备按照攻击者所指示的方式运行,但与其预设的目的相悖。这种攻击有多种潜在目的,但最大的可能是进行破坏,这种破坏会造成实际的损害。
虽然迄今为止Stuxnet的具体目标仍不得而知,但间接证据显示,这种由资金雄厚的组织或某个国家创造的恶意软件的攻击目标是伊朗或伊朗境内的某个组织。鉴于这些事实,我们可以毫不夸张地假设这种病毒是受政治目的驱动的,这使得Stuxnet成为第一个旨在造成实际破坏、具有政治目的的网络攻击。
赛门铁克认为Stuxnet可能只是某些人所说的以“网络战争”为企图的首个极为明显的迹象,这种战争其实由来已久。2011年,更多旨在控制数字军备竞赛的迹象将浮出水面。
未来一年,我们将看到网络安全方面许多新的发展,然而,也许最重要的是,安全行业将继续迎接不断变化的威胁环境的挑战。可以肯定的是,新的安全技术将不断出现,数十亿计算机用户将得到保护,从而使这些威胁不会入侵个人计算机和网络系统、盗取个人的敏感信息、掠走个人的宝贵资产。事实上,整体的预测并非消极,打击网络犯罪的战斗也将继续下去,包括赛门铁克在内的安全软件公司将坚守在阵地前沿,时刻准备着在每条战线上与网络罪犯战斗到底。
【编辑推荐】
