2016年网络安全:向前看不如回头看

简介:

与其试图搞清将会发生什么,不如处理好现存的各种问题。

每年伊始的时候,厂商和科技预测师之类的总要对IT安全的未来做一番前瞻预言。这是可以理解的,毕竟能帮助人们辨别即将到来的威胁和新兴趋势。但事实真相却是:对广大IT用户而言,当前现有的威胁才是最应该关注的。

2016年网络安全:向前看不如回头看

网络犯罪是一门产业,与大多数现代产业一样,传播速度和市场大小才是成功的关键。这也是为什么漏洞利用工具包,比如Angler、Rig之类的,在2015年大为流行,且将在未来几年继续保持广为传播势头的原因。漏洞利用工具包可以使潜在攻击者轻易侵入用户系统。它不是一次性用过即弃的工具,但确实是为了大规模漏洞利用而设计的。而利用的通路,通常,恰是那些已经被受影响的软件厂商打了补丁的漏洞。

软件厂商发布了补丁程序未必意味着漏洞就不再被利用。你可以看看那些关于修复率的产业调查报告,无论你看的是哪家的报告或数据,2015(或者随便哪一年吧)漏洞修复率从未达到过100%,连逼近都称不上。终端用户修复从来就不是容易达成的任务。漏洞修复问题不是2016新趋势,也不是2015或2014的,但却是任意一年大量数据泄露事件的根源所在。

公平的说,2016年的修复工作应该比前几年更简单些。如今,自动更新机制已经成为众多操作系统和应用程序厂商常用的最佳实践。其中表现最好的,要数谷歌的Chrome浏览器,默认提供自动更新。Adobe的Flash和Acrobat Reader,以及流行开源内容管理系统WordPress同样提供自动更新。

其他科技公司,比如出品Windows的微软和带来OS X和iOS的苹果,自动更新不是默认设置,但都会以明确的方式通知用户什么时候该更新了。

但是,仍然有很多应用程序既没有自动更新系统,也没有适当地集成进操作系统级的通知。有时候,通过App商店,集成更新问题能够得以方便地解决。比如,OS X、iOS和Google Play就提供单一界面供用户更新App。Linux服务器和桌面系统从Linux发行版软件资料库安装更新包也是同样道理。

若是非自动化的更新,检查是否有更新的责任就落到了用户身上。这是老生常谈的问题了,2016年也将继续见证此类威胁。

真正令人惊讶的,是那些已经过时的软件还在被频繁使用的程度。这些过时软件,可以说某种程度上规避掉了自动更新或个人常规进行的更新检查。

更新问题也不总是归咎于用户的不作为。今天的手机世界中,真正的问题是那些不再从手机厂商那里获取安全更新的安卓手机。进一步的风险,则来自于不跟紧谷歌月度更新周期的那些安卓手机厂商。仅过去6个月里,谷歌就发布了93个安全漏洞补丁包。但,尽管谷歌已经为手机合作商准备好了补丁,却不是所有的厂商都能及时向全部受影响的设备发放更新。

综上所述,从桌面系统到手机平台和App应用,每一年都有大量漏洞曝出,但却不是所有的漏洞都会被用户打上补丁。其结果,就是形成了一个任君采撷的巨大果园,让攻击者可以携漏洞利用工具包随心所欲地采摘。画面太美,不忍直视。

IT安全里,另一个一直以来让人无言以对的问题就是:用户密码往往是安全防护中最弱的一环。同样,这不是个新趋势,是自现代IT诞生的那刻起就一直存在的问题。最近几年的变化,是双因子身份验证(2FA)系统的使用增多。

攻击者带着数据库泄露的用户名和密码溜之大吉的情况屡见不鲜。但如果你的账户设置了2FA,这些信息基本等于没用,风险也就相对降低了。这种经验教训,不仅仅是2016,而是每年都应该重新警醒一遍的。

2016 IT安全中应该注意的其他重点,与之前十几年一样,是常见类型的漏洞。在服务器方面,源源不断引发数据泄露的老问题,是SQL注入。这个问题能造成应用程序无法恰当地执行数据库输入验证。可供公司企业扫描SQL注入漏洞的工具很多,修复代码通常也就区区几行。

当然,新的零日漏洞肯定会出现,2016年也免不了要见证那么几个。但若说到数据泄露,大部分泄露事件还得归因于本可以规避掉的已知漏洞。

展望2016的安全,不应该拒绝了解若是回避新的威胁,但更重要的是先要“回头看”。


作者:nana

来源:51CTO

相关文章
|
6天前
|
SQL 安全 网络安全
网络安全与信息安全:知识分享####
【10月更文挑战第21天】 随着数字化时代的快速发展,网络安全和信息安全已成为个人和企业不可忽视的关键问题。本文将探讨网络安全漏洞、加密技术以及安全意识的重要性,并提供一些实用的建议,帮助读者提高自身的网络安全防护能力。 ####
44 17
|
17天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
18天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
40 10
|
19天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
46 10
|
20天前
|
存储 监控 安全
云计算与网络安全:云服务、网络安全、信息安全等技术领域的融合与挑战
本文将探讨云计算与网络安全之间的关系,以及它们在云服务、网络安全和信息安全等技术领域中的融合与挑战。我们将分析云计算的优势和风险,以及如何通过网络安全措施来保护数据和应用程序。我们还将讨论如何确保云服务的可用性和可靠性,以及如何处理网络攻击和数据泄露等问题。最后,我们将提供一些关于如何在云计算环境中实现网络安全的建议和最佳实践。
|
21天前
|
监控 安全 网络安全
网络安全与信息安全:漏洞、加密与意识的交织
在数字时代的浪潮中,网络安全与信息安全成为维护数据完整性、保密性和可用性的关键。本文深入探讨了网络安全中的漏洞概念、加密技术的应用以及提升安全意识的重要性。通过实际案例分析,揭示了网络攻击的常见模式和防御策略,强调了教育和技术并重的安全理念。旨在为读者提供一套全面的网络安全知识框架,从而在日益复杂的网络环境中保护个人和组织的资产安全。
|
18天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们日常生活中不可或缺的一部分。本文将深入探讨网络安全漏洞、加密技术和安全意识等方面的问题,并提供一些实用的建议和解决方案。我们将通过分析网络攻击的常见形式,揭示网络安全的脆弱性,并介绍如何利用加密技术来保护数据。此外,我们还将强调提高个人和企业的安全意识的重要性,以应对日益复杂的网络威胁。无论你是普通用户还是IT专业人士,这篇文章都将为你提供有价值的见解和指导。
|
19天前
|
安全 算法 网络协议
网络安全与信息安全知识分享
本文深入探讨了网络安全漏洞、加密技术以及安全意识三个方面,旨在帮助读者更好地理解和应对网络安全威胁。通过分析常见的网络安全漏洞类型及其防范措施,详细介绍对称加密和非对称加密的原理和应用,并强调提高个人和企业安全意识的重要性,为构建更安全的网络环境提供指导。
34 2
|
19天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:漏洞、加密与意识的艺术
在数字世界的迷宫中,网络安全和信息安全是守护者之剑。本文将揭示网络漏洞的面纱,探索加密技术的奥秘,并强调安全意识的重要性。通过深入浅出的方式,我们将一起走进这个充满挑战和机遇的领域,了解如何保护我们的数字身份不受威胁,以及如何在这个不断变化的环境中保持警惕和适应。
34 1