對物聯(lián)網的攻擊將聚焦智能家居自動化

責任編輯:editor03

2014-12-10 15:25:38

摘自:賽迪網

2013年曾被安全專家稱為“大規(guī)模數(shù)據泄露”時代,而2014年發(fā)現(xiàn)的嚴重漏洞 Heartbleed和Shellshock也說明安全行業(yè)需要不斷保持對新型威脅的高度警惕。

2013年曾被安全專家稱為“大規(guī)模數(shù)據泄露”時代,而2014年發(fā)現(xiàn)的嚴重漏洞 Heartbleed和Shellshock也說明安全行業(yè)需要不斷保持對新型威脅的高度警惕。所有跡象表明,在即將到來的2015年里,安全行業(yè)的緊張局勢將不斷加深,制造新型威脅并利用漏洞和抵御安全威脅的對立雙方之間的戰(zhàn)爭將愈演愈烈。物聯(lián)網應用的發(fā)展意味著消費者將進一步通過網絡連接設備、數(shù)碼配件以及機器等,而這也將導致新一輪的安全隱患。

未來,物聯(lián)網是否會引發(fā)新一輪的安全攻擊?隨著全球各國逐步推進智慧國家長期發(fā)展計劃,大數(shù)據將會扮演什么樣的角色?移動安全領域又會面對怎樣的變化?針對亞太地區(qū)及日本所面對的網絡安全問題,賽門鐵克最新發(fā)布的2015年十大威脅趨勢預測將幫助政府機構、企業(yè)以及個人消費者,全面了解未來安全的發(fā)展趨勢,以更好應對潛在的安全威脅。

(1)對物聯(lián)網 (IoT) 的攻擊將聚焦智能家居自動化

隨著智能家居自動化在亞太地區(qū)和日本消費者中的興起,賽門鐵克預測商品化的“即插即用”設備將會被網絡犯罪分子利用,其中包括用于警報、照明和恒溫控制的 CCTV 攝像頭和遠程門禁控制設備。

當前,嵌入式小型設備的應用范圍越來越廣,但鮮有企業(yè)在部署這些設備時充分考慮網絡安全因素。這些設備通常不具備一般臺式機的計算能力和內存,并且系統(tǒng)資源有限。

搜索引擎支持用戶在線搜索那些具有網絡功能的設備,從安全攝像頭到汽車、家庭供暖系統(tǒng)等。盡管搜索引擎不會引起漏洞,但卻能夠使網絡犯罪分子更輕松地發(fā)現(xiàn)物聯(lián)網設備,找到可攻擊目標并加以利用,以近期有關 Insecam.com 的新聞為例,據說該網站建立在俄羅斯,并向全世界“直播”世界各地IP 攝像頭的影像信息。

可以說,我們不會看到利用物聯(lián)網的大規(guī)模攻擊,但是攻擊者會針對家庭路由器、智能電視和互聯(lián)汽車應用等互聯(lián)設備進行一次性攻擊,以獲取敏感和隱私信息。

(2) 移動設備將成為更具有吸引力的目標

移動設備將繼續(xù)成為網絡攻擊者的完美攻擊目標,尤其是移動設備存儲了大量的用戶個人隱私信息,并且設備一直保持開機狀態(tài)。

移動設備的價值正在逐漸增高,尤其是移動運營商和零售提供商正在逐步將支付方式過渡到移動支付。以Apple Pay為例,某些薄弱環(huán)節(jié)曾經為近期針對PoS系統(tǒng)的攻擊打開了方便之門,雖然Apple Pay的確可以彌補這些薄弱環(huán)節(jié),但這不應當成為掉以輕心的理由。賽門鐵克認為,一旦某個攻擊途徑被堵住,攻擊者往往會找尋其他弱點。倘若Apple Pay成為支付方法,攻擊者很可能會針對NFC支付的安全性發(fā)起猛烈的攻擊測試。

(3)機器學習將扭轉網絡犯罪斗爭的格局

隨著機器學習和大數(shù)據的融合,新一代的業(yè)務平臺正在誕生,并將扭轉網絡安全格局。機器學習是一種深度學習形式,可以被看做人工智能的第一步。面對威脅,我們必須保持“主動性”,而不是對威脅作出被動反應。機器學習將使安全廠商比網絡犯罪分子領先一步。機器學習擁有預測網絡攻擊的能力,能夠提升檢測率,這可能是扭轉網絡犯罪趨勢的關鍵點。

(4)移動應用將繼續(xù)犧牲用戶的個人隱私

賽門鐵克認為,一些移動用戶將繼續(xù)以自己的隱私為代價,交換移動應用的使用。盡管許多互聯(lián)網用戶并不愿意在網上分享銀行和個人身份信息,但另一些人卻愿意分享自己的位置信息、移動設備電池壽命、并允許移動應用訪問照片、聯(lián)系人列表和健康等信息。

許多消費者在下載應用時根本不知道自己同意了什么條款。例如,諾頓調查顯示,盡管千禧一代用戶可能認為自己了解允許移動應用可訪問的內容,但事實上,在用個人信息交換應用使用方面上,用戶其實并不清楚自己同意了什么條款。

(5)詐騙分子將繼續(xù)通過有利可圖的勒索軟件進行詐騙

賽門鐵克《互聯(lián)網安全威脅報告》顯示,在2013 年下半年,勒索軟件的攻擊次數(shù)增加了 5 倍并顯現(xiàn)出愈演愈烈的趨勢。很大程度上,這種快速增長是由Ransomcrypt,也被稱為Cryptolocker的惡意軟件造成的。在10月份,55%的威脅都是由這種攻擊力迅猛的勒索軟件造成的。這種勒索軟件會加密用戶文件,然后要求用戶提供贖金來解密文件。勒索軟件對企業(yè)的危害更大,這不僅僅是因為受害人的文件會被加密,共享或關聯(lián)網絡驅動器上的文件也會被加密。

挾持加密文件以索取贖金并非是全新的伎倆,但事實證明,對于詐騙分子而言,如何得到贖金是一個難題。近期的勒索軟件制造者已經開始利用網絡和電子支付系統(tǒng)解決以上問題。例如,通過使用Bitcoins、Webmoney、Ukash、 greendot (MoneyPak) 等即時可用的途徑,詐騙分子利用電子支付的相對匿名性和便利性,使企業(yè)和消費者面臨丟失數(shù)據、文件或寶貴記憶等更大風險。

(6)2014年發(fā)生的大型數(shù)據泄露事件讓網絡安全繼續(xù)成為 2015 年的關注重點

鑒于全球互聯(lián)網和云基礎結構的互聯(lián)性特點,跨境數(shù)據傳輸不可避免,并且需要得到妥善的解決。2015年將迎來“個人數(shù)據保護法”的改進,尤其在亞太地區(qū),這是因為該法案對人們的生活產生了實際影響,使個人和企業(yè)對網絡安全和網絡犯罪擁有正確的防范意識。

(7)分布式拒絕服務 (DDoS) 的威脅將更趨向嚴重

2014 年還呈現(xiàn)出另外一種趨勢,即受攻擊的 Unix 服務器的數(shù)量以及在DDoS攻擊中被占用的帶寬資源不斷上升。攻擊者的動機各不相同,主要原因包括黑客行為、利益和爭端??紤]到大規(guī)模DDoS攻擊的輕易程度,賽門鐵克預測未來面向DDoS攻擊將繼續(xù)增長,遭遇短而密集的 DDoS攻擊的可能性將會增加。

(8)安全性超越密碼范疇,用戶行為將成為焦點

由于密碼系統(tǒng)頻繁遭到網絡犯罪的攻擊,安全廠商和提供商正在面臨日趨嚴峻的挑戰(zhàn)——在為用戶提供無縫體驗的同時,平衡便利性和復雜度。采用一次性密碼或虹膜、指紋掃描等多因素身份驗證技術可以成為安全維護的替代方法,但這些方法也并非是最安全的選擇。保護重要信息的真正解決方案在于用戶行為,而最終問題更在于我們如何保護個人在線資產和身份信息免受入侵威脅。

(9)云將為我們打開無限廣闊的空間

2015年,我們將看到越來越多的云托管數(shù)據。在發(fā)生這一轉變時,企業(yè)需要更加嚴密地監(jiān)管數(shù)據,并在執(zhí)行云托管之前,確保數(shù)據經過處理。除此之外,脫離管理的遺留數(shù)據將持續(xù)累積,對企業(yè)或將構成長期威脅。對消費者而言,在2015年,云代表了遠程托管的海量個人信息,圍繞訪問權限、控制和保護云中私有數(shù)據等話題所展開的討論也將繼續(xù)升級。

(10)通過加強企業(yè)聯(lián)合協(xié)作,強化網絡安全防線

孤軍奮戰(zhàn)是無法在對抗網絡犯罪的戰(zhàn)役中取勝的。世界各地的安全行業(yè)、電信服務運營商和政府部門正在聯(lián)手打擊網絡犯罪。安全行業(yè)是世界上擁有“對抗行業(yè)”的少見行業(yè)之一,前者堅持不懈地要擊垮后者。這也是為什么在對抗網絡犯罪的戰(zhàn)役中,獲得勝利需要采取不同的方法和舉措。2015 年,攻擊者將繼續(xù)尋找新的漏洞以“占領陣地”,開源平臺將繼續(xù)通過更緊密的行業(yè)協(xié)調、協(xié)作和響應來應對這些漏洞。賽門鐵克認為,這是一個積極的現(xiàn)象,開源平臺的未來將會更加美好。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號