如今的科技行業充滿著活力,也在不斷髮生變化。處於IT安全領域的企業可能處於一個獨特的位置,即惡意黑客開發的技術可能會迫使企業業務進行更改。這意味著各行業中總會出現一些新的事物,並且還有一些技術和工具失去了可用性。
當涉及到技術安全趨勢時,很難擺脫一些宣傳和炒作:每個公司都希望讓用戶相信他們位於市場的最前沿。為了幫助人們瞭解當今安全領域中真正熱門或趨冷的內容,以下將深入探討熱門的網絡安全發展趨勢。
01憑證填充
每年針對大型公司的黑客攻擊行為似乎攻擊不斷,導致數以百萬計的用戶名/密碼洩露。當網絡攻擊者在大規模自動嘗試登錄各種網站時使用大量的被盜登錄憑據列表時,這些攻擊的後果就是所謂的憑證填充。攻擊者利用了許多人在多個站點上使用相同的用戶名和密碼的事實。由於攻擊的自動化性質,即使只有一小部分被盜登錄憑據是匹配的,它仍然值得攻擊者使用。
PasswordPing公司產品管理負責人兼首席營銷官Kristen Ranta Haikal Wilson說,“我們需要提高用戶憑證的安全性。通過在登錄、密碼重置和賬戶激活期間主動篩選受損的憑據,組織可以大大減輕在線賬戶接管和欺詐,而對最終用戶的影響非常小。”
關鍵數據:根據Sharpe Security公司的調查數據,2018年,航空公司60%的客戶登錄流量和零售店91%的客戶登錄流量都包含憑證填充。
02協作應用安全性
越來越多的企業開始依賴可幫助他們協調和協作工作的應用程序。也許最流行的是Slack,這是一個無處不在的消息傳遞和協作平臺,但此類別還包括虛擬工作區,如SharePoint和文件共享以及同步Dropbox等應用程序。這些工具提高了生產效率,但卻開放了攻擊面。“隨著越來越多的組織採用這些重要的應用程序,他們無意中擴大了黑客可以利用的渠道來分發惡意內容。”網絡安全即服務提供商Perception Point公司首席執行官Yoram Salinger說。由於許多是基於網絡或雲計算服務,個別業務部門在安裝應用程序時並沒有諮詢IT團隊,因此在安全性方面,它們通常受到關注。
關鍵數字:在Perception Point公司進行的一項調查中,超過80%的受訪者表示,其組織中的員工通過這些協作服務共享文件和URL,安全人員將通過電子郵件或其他更傳統的方式共享的文件進行掃描,但這不會通過協作應用程序得到這種處理。
03銀行特洛伊木馬
當被問及為什麼要攻擊和搶劫銀行時,惡名昭著的犯罪分子Willie Sutton表示:“因為這是金錢所在之地。”越來越多的惡意軟件作者將這一格言銘記於心,推出了更多的特洛伊木馬,專門用於獲取金融機構用戶賬戶的訪問權限。這些特洛伊木馬以更廣泛的方式傳播,例如網絡釣魚網站,被劫持的電子郵件等。一旦安裝,將專注於用戶與銀行網站的互動,試圖通過鍵盤記錄和其他間諜軟件技術收集登錄信息,然後告知攻擊者。
關鍵數字:去年,這些特洛伊木馬成為移動領域的特殊威脅,特別是在Android平臺設備上。安全廠商McAfee公司估計,銀行特洛伊木馬在2018年的數量增長了77%。
04物聯網
物聯網(IoT)是一個總稱,它涵蓋了比計算機更小、更簡單、連接到無線網絡併為特定目的部署的各種各樣的小工具。這些設備包括工業傳感器到智能家用恆溫器,並承諾互聯網可以超越人們在屏幕上看到的東西,真正與“現實世界”互動。
不幸的是,物聯網設備往往是非標準化的產品,缺乏內置的安全性,難以遠程管理,並且固有功能可能被黑客攻擊。近年來最大的物聯網爆炸事件之一是Mirai殭屍網絡,它讓連接互聯網的閉路電視攝像頭參與了一次針對Minecraft玩家的攻擊,在這一過程中意外地佔用了大量互聯網的資源。
關鍵數據:安全專家表示,如果要讓這項技術存活下來,物聯網設備需要被鎖定,或者至少要與互聯網隔離。在對過去十年學術安全研究的分析中,Crossword Cyber security公司估計,在過去十年中,專注於物聯網的項目數量增加了123%,目前所有此類項目中有14%專注於物聯網。
05量子密碼學
用於加密通信的當前方法本質上不安全。相反,它們依賴於加密密鑰的交換,理論上這些密鑰可以被攻擊者破壞。安全性依賴於這樣的事實:這些密鑰只能通過計算密集型數學來破解,在某種程度上,其問題的難度使得這種方法成為一種不切實際的攻擊方法。
因為如果人們對計算機有一點了解的話,那就是隨著時間的推移,新的計算機可以更快地處理數字解密。被稱為量子計算機的下一代計算機將能夠對以前幾乎不可能實現的加密問題在短時間內解決,這些計算機的工作原理是量子物理學,而不是二進制計算。量子密鑰分發用一個理論上完美的安全性的密鑰基礎設施取代了當前的加密密鑰基礎設施。由於人們無法在不改變量子狀態的情況下觀察到它,因此,如果中間人試圖窺探他們的對話,通過特殊硬件共享密鑰的計算機將立即得到警報。
關鍵數字:這可能聽起來都很具有未來感,而且大多數估計是廣泛的量子計算在五到二十年得到應用。在分析的十多年的學術研究中,Crossword Cyber??security公司發現,專注於量子加密的項目數量飆升了227%。
06網絡釣魚
網絡釣魚是誘騙用戶交出登錄信息的騙術,這一點並不新鮮,但這並沒有阻止它成為攻擊者的最愛。雖然人們主要將網絡釣魚與電子郵件聯繫在一起,但攻擊者正在利用各種各樣的攻擊媒介來欺騙受害者。
SlashNext公司首席執行官兼創始人Atif Mushtaq說:“越來越多的員工在瀏覽器中直接受到針對性的網絡釣魚攻擊,這些攻擊具有高度合法性的網站、廣告、搜索結果、彈出窗口、社交媒體帖子、聊天應用程序、即時消息以及流氓瀏覽器擴展和免費網絡應用程序。大多數IT主管也沒有意識到網絡釣魚威脅移動的速度有多快,通常只持續幾分鐘到幾小時,然後其網站關閉,網絡犯罪分子可以繼續逃避現有的安全控制。”
關鍵數據:根據Verizon Data Breach公司2019年開展的調查報告,93%的數據洩露最終涉及網絡釣魚攻擊。
07多因素身份驗證
文中討論的許多安全漏洞歸結為:如果密碼以某種方式被盜,則攻擊者可以無限制地訪問私人信息或功能。為了克服這個困難,安全系統應該將這些密碼視為訪問受限數據所需的幾個因素之一。這些因素可能包括用戶知道的東西(如密碼),他們擁有的東西(如安全令牌),或者他們所擁有的東西(與生物識別安全相關)。一個典型的例子是ATM機,它需要PIN和物理卡才能訪問;許多網站現在都需要密碼和通過短信發送到用戶手機的代碼才能登錄。
關鍵數據:隨著大規模黑客攻擊使得密碼的可靠性降低,越來越多的公司開始轉向多因素安全認證。根據Okta公司的2019年Business @ Work報告,令人放心的是,70%的公司正在使用兩到四個因素來保證安全,這比前一年的65%有所上升。
雖然人們希望這些觀點已經成為IT安全中一些不斷變化的挑戰的焦點,但人們也希望,某些最佳實踐將繼續支持智能安全專業人員解決問題的方式。很多人正在認識到,不可能捍衛無法看到的東西,而最簡單的方法就是保持系統最新狀態,並防止憑證填充攻擊。”
閱讀更多 嘉益仕 的文章
