MyException - 我的异常网
当前位置:我的异常网» 互联网 » 互联网络威胁:“超连接”时代的4大安全漏洞

互联网络威胁:“超连接”时代的4大安全漏洞

www.MyException.Cn  网友分享于:2013-08-14  浏览:0次
互联网威胁:“超连接”时代的4大安全漏洞

原文地址

2016年7月25日,中国北京——我们正身处于一个“超连接”的世界,由互联网所驱动的事物比以往任何时候更多。研究公司IDC 亚太区认为,到2020年,在除日本之外的亚太区(APeJ)内,互连设备将多达86亿件,该地区所蕴藏的商机价值高达5830亿美元[1]。这些互连设备将成为物联网(IoT)生态系统的一部分,而该生态系统有望带动新商业模式、提高运营效率、并加速创新[2],但其同时也带来了新的挑战。


李若怡,戴尔软件安全事业部总经理

 

除了催生更多需要加以传输、分析与存储的数据外,各互连设备也为企业带来了新的安全漏洞。由于需要跟踪的设备数量极多,在传统接入点处保护网络边界不再行之有效。为了防止出现安全缺口、数据丢失、或者数据泄漏,也必须对各互连设备及网络事务处理予以保护。

细观国内的安全需求,亦呈现了不同特点。首先是跨度大,既有超大型需求,也有极小型需求,且不论是大型企业还是中小企业,企业对安全设备的操作系统和管理的需求水平并无二致;其次是大多数中小企业并无专业的安全人员来维护企业安全,这让企业对安全设备及方案的依赖就更强,对其稳定和易操作性均提出了更高要求;最后,在中国移动应用的增长是巨大的,这使得企业防御点更为分散,网络边界无限扩展,让本就不易的安全管理更是雪上加霜。

多年来,安全威胁的形式与数量与日俱增。根据戴尔SonicWALL下一代防火墙团队记录的数据而编写的戴尔安全2016年度威胁报告,定义了各类组织必须在其2016年安全战略方面加以考虑的4大安全漏洞趋势:

· 恶意软件攻击显著增加

戴尔安全2016年度威胁报告显示,2015年共发生了81.9亿次恶意软件攻击,几乎是2014年攻击数量的两倍。相比2014年,更加独特的恶意软件样本在2015年增加了73%,显示出网络罪犯在猛烈地利用恶意代码侵入组织系统。或许在不久的将来,恶意人员将可渗透至任意互连设备,从典型的垃圾邮件到可穿戴设备、甚至汽车。

· 漏洞攻击套件的可利用性

现今,搭载各种恶意软件以帮助网络罪犯侵入组织的漏洞攻击套件已随处可见。此类套件可用来攻击尚未来得及修补的新安全漏洞(也称为“零日”漏洞),并具有当前安全系统尚未包含的新机制。

· 安卓系统将成为受欢迎的目标?

据调查显示,目前59.65%的平板电脑与移动设备均使用安卓系统[3],约40%的亚洲客户选择使用在线或移动银行[4],因此相对于其他任何移动操作系统,网络罪犯可能更加集中于攻击安卓系统。

与漏洞攻击套件的情况一样,网络罪犯正在开发新的攻击方法。例如,戴尔团队发现了一个在Unix库文件(而非安全系统通常扫描的classes.dex文件)内存储其恶意内容的新型安卓恶意软件。在2015年11月,戴尔SonicWALL团队还发现了一场意图从受感染设备窃取信用卡与银行相关信息的安卓系统入侵活动。许多恶意套件还将官方的Google Play Store用作欺骗受害者输入其信用卡信息的通道。

· SSL/TLS加密剧增

因可以防止或篡改互联网流量,HTTPS连接倍受青睐。截至2015年第4季度,HTTPS互联网连接(SSL/TLS)平均占到了所有网络连接的64.6%。然而不幸的是,HTTPS也并非绝对安全。网络罪犯可以利用SSL/TLS躲避可能无法探测恶意软件的陈旧安全系统。事实上,2015年8月的一场恶意广告活动将多达9亿个雅虎用户重新定向至已经受Angler漏洞攻击套件感染的站点。

2016年,企业应将安全视为一项端到端的问题,并找到可以抵御威胁但维护用户的解决方案。在企业内部运用整体解决方案分享见解将会非常有效。虽然这四个趋势每项都可以单独解决,但通过360度安全方法来部署主动和被动安全措施就可以轻松应对安全格局中的变化:

1. 进行全面的风险分析以确定风险和需求。

2. 运用整体入侵防御服务(IPS)和SSL检查升级至下一代防火墙(NGFW)。

3. 更新安全政策以抵御广泛的威胁向量,包括建立多个防护设备以应对HTTP和HTTPS攻击。

4. 确保所有软件均为最新版,这将保护企业免遭中和后的旧版恶意软件的攻击。

5. 发展可以专门应对潜在威胁的团队资源。

6. 与可靠、合格的合作伙伴合作,并选用全球知名的安全品牌,第三方供应商也要符合安全标准。

对于企业安全来说,除了部署方案外,流程管理也十分重要。“安全是技术占一半,人的管理占一半”,很多时候安全事故往往是管理方面的问题造成的。企业安全管理人员应及时对无效的策略进行清理,并重新制定满足企业运行的安全策略及建立清晰的流程管理。

随着更多个性化的互联移动设备的兴起,制造商的安全意识日益增强,对他们而言,提供更多保护和安全解决方案的负担也在成正比例增长。然而,这种负担与企业内的人员并存。企业也需要采取全面的安全计划来提高个人意识,并提供持续的培训。企业还应培训员工不断提升对社交平台、社交工程、可疑网站、下载、各类垃圾邮件和网络钓鱼式攻击相关风险的认知。同时,在提升公司数据存取可能性和采取不妥协安全措施之间的平衡仍是一项重大挑战,因此,对用于削弱安全风险的企业流程和程序进行反思就显得至关重要。

此外,由于许多此类设备可能为个人所有,因此对于设备的提供与管理可能更加复杂。例如,对任何组织来说,确保用户以可信数据源对其设备进行更新是一个明智之举,但可能难以实施。然而,如果将设备按企业和个人用途进行划分,并经用户同意安全接入公司网络将可缓解这类挑战。

在“超连接”的格局下,要预先部署安全风险措施需要全面努力。新式安全方法必须符合多维度要求,确保覆盖设备和网络安全的所有基本成员齐心协力,包括政府、企业、制造商、供应商和终端用户在内。

[1]IDC 亚太区,Asia Pacific becomes the Frontline for IoT,基于2015年4月的调研

[2]戴尔新闻稿, Dell launches its first Asia Pacific Internet of Things (IoT) Lab in Singapore, 引述自Glen Burrows,2016年1月19日

3NetMarketShare,平板电脑/移动设备操作系统,2016年2月

[4]麦肯锡公司,Digital Banking in Asia,2014年

 

 

原文地址

文章评论

“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
程序员都该阅读的书
程序员都该阅读的书
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
中美印日四国程序员比较
中美印日四国程序员比较
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
Google伦敦新总部 犹如星级庄园
Google伦敦新总部 犹如星级庄园
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
老程序员的下场
老程序员的下场
旅行,写作,编程
旅行,写作,编程
为什么程序员都是夜猫子
为什么程序员都是夜猫子
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
鲜为人知的编程真相
鲜为人知的编程真相
漫画:程序员的工作
漫画:程序员的工作
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
如何成为一名黑客
如何成为一名黑客
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
总结2014中国互联网十大段子
总结2014中国互联网十大段子
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
一个程序员的时间管理
一个程序员的时间管理
那些争议最大的编程观点
那些争议最大的编程观点
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
我是如何打败拖延症的
我是如何打败拖延症的
程序员必看的十大电影
程序员必看的十大电影
程序员和编码员之间的区别
程序员和编码员之间的区别
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
每天工作4小时的程序员
每天工作4小时的程序员
那些性感的让人尖叫的程序员
那些性感的让人尖叫的程序员
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
程序员应该关注的一些事儿
程序员应该关注的一些事儿
编程语言是女人
编程语言是女人
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有