2015年已经成为数据泄露事故受到广泛关注的一年。那么在即将到来的2016年当中,又会有哪些新型的网络犯罪活动逐渐出现并引发重视?网络专家们分享了他们对于新一年中安全形势的几项预测。
1.美国大选期间将引发一系列重大攻击活动
攻 击者们将利用政治活动的广泛关注、平台以及候选人作为跳板,借机对自己的社交工程入侵手段进行有针对性的调整。而作为防御一方,我们则需要关注黑客活动、 目标候选人以及相关社交媒体平台。除了与政治活动、平台及候选人相关的重大社交工程威胁之外,攻击者们在此类侵袭当中所使用的具体工具及基础设施也需要得 到高度关注(包括候选人发言账户、新闻站点以及选民支持小组等等)。黑客们甚至可能挖掘甚至捏造与候选人相关的负面个人资料或者账户使用信息。如果我们不 能在这一期间之内对防御体系中的漏洞与空白加以修复,那么必将付出惨重的代价。
2.移动钱包与新型支付技术将催生新的信用卡窃取与欺诈活动
针对移动设备与新型支付技术方案的黑客活动将影响到EMV之外的众多支付机制的安全性。移动设备、无线验证以及智能卡等非传统支付方式的逐步普及将敞开新的大门,而恶意人士很可能借此找到新的零售数据泄露通道。
3.未进行及时维护的互联网将在成本提升、管理能力下降以及人力资源匮乏的情况下成为新的安全隐患
与 船体上的藤壶类似,互联网在发展过程当中其安全实践也会不断变化并带来大量问题,相应的安全维护成本也将因此开始大幅提升。在互联网上,相当一部分极具人 气的网站在安全性方面并没有达到其应有的水准。除此之外,其它常见问题还包括:陈旧且残存的JavaScript版本包含安全漏洞;越来越快的操作系统更 新节奏与软件过期趋势令技术人员难以管理;新型应用由于采用大量回收代码而导致存在旧有漏洞等等。所有这一些麻烦都将在2016年年内继续给互联网安全带 来挥之不去的阴影。
4.通用顶级域名系统的出现给攻击者提供更多可乘之机
截至2015年 11月,世界上的现有通用顶级域名已经超过700个,另外还有约1900个正处于待启用状态。而随着新的顶级域名的不断出现,攻击者们将抢在合法用户之前 将其占领。凭借着域名混乱所带来的机会,犯罪分子与国家支持下的攻击者们将创造出更为高效的社交工程手段,诱骗毫无戒心的用户们上钩并借此注入恶意软件或 者进行数据窃取。
5.网络安全保险公司将提供更为精确的风险精算模型——这也将彻底改变安全事务的定义与实现方式
各 保险公司将提供更为成熟的产品,其中包含各类验证、例外与豁免条款,从而保证其无需为由无效安全实践引发的安全事故承担责任;与此同时,保费支出也将配合 更为合理的底层安全要求并提供更加确切的违约成本模型。另外,各保险公司所推出的安全保障产品将极大影响安全项目,并将大量监管要求(包括PCI、HIPAA、ISO27001等)纳入保险合同文书。
6.物联网将在帮助我们改善生活的同时,埋下大量“定时炸弹”
企业与个人设备之间的边界正变得愈发模糊,这意味着将有越来越多冲突及安全挑战对关键性基础设施造成影响。各行业在利用大量联网设备与网络系统以实现其日常业务运作的同时,特别是医疗卫生行业,可能也将同时面临着一系列不容忽视的安全漏洞与威胁隐患。
7.将有越来越多主流企业采用数据失窃防护方案
由 于2015年年内已经出现了大量公开的安全违规事件,预计网络保险行业据此做出调整,而各企业董事会也将高度关注各类网络事务并预防数据丢失状况。有鉴于 此,相信在传统金融服务行业之外将有更多主流企业采取更为积极的数据失窃防护策略。各安全团队开始普遍假设自身“已经被恶意人士所侵入”,并以此为出发点 帮助自身强化安全保护能力,以应对各类不可避免的突发性安全状况。
8.社会对于隐私保护的看法正在演变,防御者将因此承受更大压力
在 2015年年内,我们已经亲眼见证了数据泄露事故发生频率的不断提升,而这也改变了我们看待个人可识别信息(简称PII)的具体方式。此类可识别信息的泄 露与丢失事件将推动整个社会对相关保护工作加以高度重视,从而实现更为可靠的隐私保障效果。正如过去十年当中“被遗忘的权利”开始逐步成为共识,相信在未 来十年内同样的发展趋势也将出现在隐私保障领域,并因此给安全防御行业带来巨大影响乃至变化。
作者:蓝雨泪
来源:51CTO