网络安全技术供应商赛门铁克综合2014年全球智能网络收集的数据分析和研究结果,在最新一期ISTR中揭示了企业成为网络攻击的主要群体以及企业网络所面临的新旧安全威胁。
相比2013年的大规模数据外泄事故,在2014年,重大安全隐患无疑成为年度焦点,也让人们不得不将注意再次转向安全漏洞。2014年4月,Heartbleed(心脏出血)漏洞公开仅4小时,就有大量攻击者闻风而至。相比之下,软件供应商发布补丁的时间则滞后达200多天。而在网络攻击的实施手段方面,攻击技术也在不断地升级和简化,2014年网络攻击者借助针对性极强的鱼叉式网络钓鱼不断入侵网络,整体增长8%,同时攻击者发送的恶意电子邮件数量减少了14%,发送目标减少20%。相比之下,潜在攻击目标企业通常在安全防御方面投入较少,很多企业甚至尚未部署拦截可执行文件和电子邮件附件等基本安全措施。报告指出,去年有6成的攻击目标是中小企业。
在大规模攻击中,恶意软件的数量激增并且适应性更强。报告指出,绝大多数恶意软件仍属于非目标性攻击。2014年,恶意软件数量新增3.17亿,比前一年增加26%,这意味着平均每天会有上百万的新恶意软件出现。从攻击平台的角度看,电子邮件仍然是网络犯罪分子的重要攻击途径,然而针对移动设备和社交网络的新的攻击尝试也在快速上升。赛门铁克大中华区安全产品技术总监罗少辉表示:“网犯络罪分子本性懒惰,他们更喜欢利用自动化工具让不知情的用户来帮助他们进行卑鄙勾当。攻击者利用人们对朋友所分享内容的信任,让骗局得以迅速传播。2014年有70%的社交媒体骗局都是通过用户手动分享而传播。”
针对移动设备的安全防护似乎从来不受重视。去年有将近100万个基于安卓平台的移动应用是伪装的恶意软件,占安卓平台总应用的17%。另外,虽然没有被定义为恶意软件,但是可被用来跟踪用户习惯的软件应用也处于灰色地带,而这部分应用则占到了全部应用的36%。
值得注意的是,“数字勒索”的兴起成为2014年网络安全威胁的最新发现之一。报告指出,2014年勒索软件攻击增长113%,而其中加密勒索软件攻击激增45倍。密码勒索软件的攻击策略并不会采取传统勒索软件那样伪装成执法部门对盗取内容收取罚金的方式,而是更加恶劣地劫持受害者的文件、照片和其他数字内容,毫不掩饰他们的攻击目的。
物联网安全方面,针对销售网点系统、ATM机、家用路由器等设备的网络攻击日益猖獗,虽然这些还只是带有操作系统的联网设备。那么在未来万物互联的时代,世界流畅运行背后的安全隐忧绝非杞人忧天。
云服务成为网络安全的另一个战场,云和IaaS公司将就其管理和保护数据能力彼此竞争。IDC认为安全软件本身就应该入云,企业将把安全软件作为一种服务(SaaS)。至于大数据和分析,有分析指出,通过社交网络、信用卡交易、网络摄像头和数字足迹收集的大量数据能够拼凑出一张令人害怕的完整画面。这将威胁到包括个人在内的政府、企业等各个组织部门。对此,赛门铁克给出了积极的预测“机器学习将成为对抗网络犯罪的游戏改变者”。
综合以上种种安全态势,赛门铁克认为,网络威胁与安全防御正不断进行着军备竞赛,企业要清醒的认识到,安全问题是一个永恒的,不断变化的的问题。而面对问题,我们要将警惕和防备滥熟于心,不断进化安全防御,而相关执法部门也应通过立法严厉打击网络威胁。要知道,如果我们有所作为,我们就能继续保护造福于全世界人民的科技。