2016網路攻擊前所未有 2017或許沒有那麼糟糕

02-03

2016年是讓網路黑客興奮的一年，但對於那些遭受了網路攻擊的個人和組織，以及那些整天對自己的網路安全惶恐至極的人來說，2016年讓他們備受煎熬，大家都在期待著2017，黑客們渴望著在新的一年繼續震驚世界，而網路安全保衛者則希望通過2016年的教訓讓2017的網路變得更加安全一些。

2016年的安全狀態回顧

卡巴斯基實驗室和身份盜竊資源中心(ITRC)近日都對2016年網路威脅進行了整體性的回顧及分析：

1. 根據美國身份盜竊資源中心（Identity Theft Resource Center，ITRC）公布的數據，2016年黑客攻擊的數量為980次，身份數據遺失多達35233317條，而2015年，黑客攻擊的數量為僅為781次。並且受黑客攻擊的重災區為商業和醫療領域。

2.2016年企業要快速發現安全事故所需的時間：28.7%的企業表示他們需要幾天才能夠發現這樣的安全事故，而19%的企業則承認需要幾周甚至更長時間才能夠發現。還有一小部分企業甚至需要幾個月時間。儘管如此，很多安全事故都是通過外部或內部安全審計發現的，或者是通過第三方如顧客或客戶告知的。

3.2016年，全球最大的網路威脅同金錢、信息以及破壞欲有關。這些威脅中，包括對數萬台被盜伺服器、被劫持的ATM系統、勒索軟體以及手機銀行惡意軟體的地下交易以及針對性網路間諜攻擊和黑客攻擊以及敏感數據的交易。

4.地下經濟比以往的規模更大，複雜程度更高：以xDedic為例，這個地下黑市就包括超過7億條被盜伺服器的登陸信息待售，可以讓任何人購買對這些被盜伺服器的訪問許可權。例如，一台位於歐盟國家的政府網路中的伺服器售價僅為6美元。最大的金融盜竊案同我們預測的不同，並沒有涉及證券交易：而是利用SWIFT轉賬盜竊了1億美元。

5.關鍵基礎設施在很多層面都容易遭受攻擊：正如2015年末和2016年發生的針對烏克蘭能源行業的BlackEnergy網路攻擊揭示的那樣。這種攻擊能夠關閉電網、清除數據，實施DDoS攻擊。2016年，卡巴斯基實驗室專家調查了工業控制威脅，發現全球有數千台主機暴露在互聯網上，其中有91,1%的主機包含能夠被遠程利用的漏洞。

6.針對性攻擊可以沒有固定的模式：ProjectSauron APT高級模塊化網路間諜攻擊組織能夠為每個被攻擊目標定製攻擊模式。

7.家庭的智能控制設備可能成為全球物聯網殭屍網路大軍的一部分：2016年臨近年底，很顯然，Mirai這類的殭屍網路攻擊才剛開始。

8.目前，針對在線銀行的攻擊中，有36%均是針對安卓設備。而在2015年，這一比例僅為8%。卡巴斯基實驗室的產品識別出2.62億惡意URL鏈接，全球的在線攻擊數量達到7.58億次，其中有三分之一（29%）的攻擊源自美國，17%源自荷蘭。針對銷售終端和ATM的惡意軟體家族新出現8個，同2015年相比，增加了20%。攻擊者利用Google Play應用商店傳播安卓惡意軟體，受感染的惡意應用下載數量達到數十萬次。

除了被動遭受這些暗地裡的攻擊之外，2017年我們的網路隱私環境可能也要更加惡劣。

針對政府與黑客的關係問題，萬維網基金會的 Craig Fagon 警告說，一些政府正通過新法律「破壞每個人的互聯網安全」。例如，英國新的《調查權力法案》要求互聯網服務提供商存儲用戶 12 個月的瀏覽歷史。這給詐騙者和勒索者製造了理想目標。其他國家可能會以英國為榜樣，讓所有人的隱私面臨嚴重後果。電子前沿基金會的律師 Andrew Crocker 也認為立法者會利用人們恐懼網路攻擊的心理，通過一些有未知後果的反黑客法律。

就像對付海盜一樣，網路安全人員也找到了維護網路安全的三大法寶：

安全意識、安全標準、安全創新

安全意識

很少有人注意到，從2016年開始互聯網用戶開始意識到他們的數據有價值，這是網路安全思想意識多年深化教育的結果，現在大多數人都把保護自己的賬號和密碼放到了安全位置，比如讓自己的密碼變得更加複雜一些，開始使用雙因素身份驗證，甚至為了面對可能的信息攻擊，還專門配置秘鑰……

移動安全公司TeleSign最近的一項研究顯示，73％的受訪者希望公司能夠提供超出現有密碼保護的一些措施。調查還顯示，使用雙因素身份驗證的人數在2015年和2016年之間增加了18%，現在有46%的消費者使用雙因素身份驗證。

安全標準

如果說提高安全意識是未來保護網路安全的前提，那麼安全標準的提升則用具體的行動保障了想法的落實，在安全業界，密碼面臨的問題有目共睹，谷歌的Oauth和OpenID認證標準開發者Tim Bray曾抨擊「用戶名和密碼是一種愚蠢的方式，而且也跟不上互聯網的規模發展。」FIDO聯盟正是在這個背景下應運而生的一個推動去密碼化的強認證協議標準的組織。

FIDO聯盟的目標是創建一組新的協議，支持對web應用持續的、安全的、無需密碼的訪問。FIDO聯盟目前擁有超過250個企業成員，包括設備製造商、銀行、支付卡網路、安全和生物認證廠商以及多個政府部門，包括微軟、Google、Paypal、MasterCard等重量級企業都是FIDO的成員。

與白宮「扶正」FIDO的策略相呼應，英國政府近日發布的國家網路安全戰略白皮書報告中也同樣將FIDO作為「去密碼化」的在線認證技術路徑。

安全創新

當前，網路安全的內涵也發生了變化。過去的IT和信息安全強調的是信息，因此我們主要關注數據的保密性、完整性和可用性，卻不關注安全。但在新形勢下， IT、OT、IoT甚至是物理環境都對我們提出了新的挑戰。

知名研究機構Gartner表示在2016年超過1000名員工的公司平均花費160萬美元用於IAM（身份認證與訪問管理，一個加快管理電子身份的業務流程框架），而且在2017年這方面的支持會更多。

據Gartner所稱，網路安全支出在2020預計將達到1700億美元。對網路安全創業公司的風險投資也在持續增長（比如我們嘶吼公司就是再次背景下應運而生的），光2015年將就有大概35億美元之多。巨大的市場需求和大量的資本進入都激勵著網路安全企業從各個方面來對目前的防禦手段進行改造和升級。

註：本文參考來源於ZDNET