梭子鱼网络:2018年网络安全威胁预测

本文涉及的产品
.cn 域名,1个 12个月
简介:

2017年即将结束之际,我们请到了多位专家,与我们共同展望和探讨明年的网络安全形势。他们都是梭子鱼博客的常客,曾发表过多篇文章。以下是他们对未来12-18个月安全形势的预测。

Eugene Weiss谈大规模勒索软件攻击和定向勒索软件攻击

Eugene Weiss,梭子鱼网络首席平台架构师

近期,大规模勒索软件攻击事件频发,未来1-2年,这种趋势也仍将持续。虚拟货币的日益普及让攻击者有机可乘,可以在匿名状态下实施大规模攻击。攻击者主要通过以量获利,他们通常实施大范围的攻击,并要求受害者支付相对较小金额的赎金,从而在获利的同时逃避法律责任。比比特币加密性更好的新兴虚拟货币会助长这一趋势,而较小的赎金也会让受害者更倾向于支付赎金。

不同于大规模勒索软件攻击,定向勒索软件攻击锁定的是大型且有良好网络保护的企业。在进行攻击前,黑客往往需要花些时间调查对象的信息,并对勒索软件进行调试。大规模勒索软件攻击下,黑客是广撒网,然后等待受害者上钩;而在定向勒索软件攻击中,黑客要冒着更大的风险和受害者交流,也可能遭到执法机构的调查。

由于小型企业往往会选择支付赎金,大规模勒索软件攻击已成为一种普遍性威胁,而且短期内不会有减弱的趋势。

SanjayRamnath谈勒索软件攻击、高级威胁和混合式多向攻击

SanjayRamnath,梭子鱼网络全球市场副总裁

大量公司的运营将持续遭受勒索软件攻击的袭扰。攻击者一直在不断寻找新的机制如僵尸网络来传送勒索软件。我们预测勒索软件还有可能演变成恐吓式勒索软件。攻击者可能会从要求受害者支付赎金以解锁数据,转变为要求受害者支付款项以避免遭受攻击。

未来高级威胁的最常见载体仍将是电子邮件。除了承载恶意病毒外,邮件攻击将变得更加复杂。攻击者还将利用社会工程、定向活动、鱼叉式网络钓鱼和鲸钓等手段来窃取安全证书、盗取数据、实施商业欺诈等。

随着各公司采用更加分散的网络系统和云平台,它们也为攻击者提供了实施混合式多向攻击的潜在机会。网络应用程序将愈发成为黑客攻击的目标,从中窃取数据,扰乱公司的业务运营。

FlemingShi谈域名欺骗和品牌劫持

FlemingShi, 梭子鱼网络技术高级副总裁

域名欺骗的骗术一直层出不穷,并且这种骗术还将在2018年继续蔓延。域名欺骗是一种盗用身份的欺骗手段,诱导受害者将黑客认为是自己熟悉的人员。黑客通过域名欺骗冒充某公司或某公司员工,向该公司的客户或合作伙伴发送邮件,以窃取公司的安全证书、进入公司账户。

这通常是一个多阶段战略的开始,目的是窃取数据,从组织机构骗取高额赎金。

近期,大规模网络钓鱼攻击的数量明显增加,攻击者正将目标瞄准热门的电商、消费者产品品牌和网站,窃取它们的用户信息。这些攻击者冒用的品牌并不重要,重要的是他们的作案手段,因为他们往往会在攻击新目标时迅速更换一个品牌名。其目的是诱使那些不知情的网络用户下载恶意文件,或者登录到一个虚假账户,从而将账户密码暴露给攻击者,造成不同程度的损失。攻击者可以通过用户保密信息检索出信用卡信息和其它的个人信息,了解受害者的在线行为,以便将来进行攻击。攻击者会模仿真实的品牌网站建立虚假网站,在购物高峰期间诱导受害者点击。尽管这些假冒网站与品牌的真实网站并不完全相同,但攻击者利用的是大多数消费者并不直接从这些品牌网站上购物的特点,因此也可能并不清楚这些品牌的官网究竟是什么样子。

以假邮件和域名欺骗为手段的品牌欺诈行为明年仍将继续蔓延,企业与消费者都应谨慎防备,多了解相关知识,防备无处不在的网络骗术。

Fleming Shi谈日益增长的伪银行安全信息威胁

FlemingShi, 梭子鱼网络技术高级副总裁

现在,越来越多的黑客通过模仿金融机构的安全信息以邮件攻击的形式来欺骗用户。这些假的安全信息携带有恶意内容和恶意软件下载的链接。

盗用身份是邮件攻击中最常用的策略之一,因为这种手段十分有效。这些盗用身份的骗术利用了受害者与银行的关系以及受害者在和银行进行在线交流时对银行的信任。那些与银行进行在线交流的人往往会成为网络犯罪分子的重要目标。

这些盗用身份的骗术往往携带恶意的word文档。这些文档通常看起来是无害的,但它们却包含有一个嵌入的脚本,攻击者可以在日后远程更新脚本,并通过修改脚本,部署各种安全威胁,包括勒索软件或更高级的威胁。这些攻击很难被终端用户发现,因为攻击者将攻击中使用的电子邮件域名设计成真实电子邮件的域名,让客户感觉邮件可能就是由银行发送的。

这种骗术的数量正在迅速增加,请网络用户擦亮眼睛,在今后谨慎应对此类虚假安全信息。

Asaf Cidon谈鱼叉式网络钓鱼

Asaf Cidon,梭子鱼网络内容安全副总裁

鱼叉式网络钓鱼的犯罪手段将会长期受到攻击者的青睐。鱼叉式网络钓鱼是一种有高度针对性的攻击,它通过冒用雇员身份或伪装成常见的网络服务欺骗网络客户。这种骗局的数量一直在上升。根据美国联邦调查局的信息,攻击者尤其青睐这种骗术。

此类攻击将不断增多,其调查和针对受害者的手段也会变得更加复杂。在2018年将会有大量的多阶段鱼叉式钓鱼攻击,攻击者将会针对少量目标进行多个步骤的长期研究和侦察,以其获得大笔赎金。攻击者正在瞄准企业。与B2B(企业对企业的电子商务模式)的企业销售类似,攻击者锁定的目标更少,通过高度个性化的攻击来获取大量赎金。他们会参考社会工程对骗术进行最新迭代,将其发展为多个步骤。经验丰富的攻击者不会对公司高管实施突然的电信欺诈。相反,他们会先渗透到公司中,然后进行侦察,等待时机,通过一个预先攻击过的邮箱对整个公司发起全面攻击。

要防范此类鱼叉式网络钓鱼攻击,公司需要投资先进的网络安全防护工具和战略。在此领域,人工智能对实时鱼叉式网络钓鱼攻击的防范作用最为有效。

Wieland Alge物联网

Wieland Alge,梭子鱼网络欧洲、中东和非洲区域总经理

勒索软件Wannacry及其对企业生产环境的恶劣影响让很多公司意识到了网络基础设施的脆弱性。今天的工业企业已经感受到了脆弱的网络基础设施带来的后患,未来更加智能化、连接更广的企业的攻击面将会扩大。攻击者和企业都已经意识到了这一点。

攻击者已经意识到,更智能化、更有针对性的安全攻击可以让他们索取到更多的赎金。许多企业现在已经着手准备对这些攻击的防御措施。不过,我们肯定会看到几起攻击者针对联网机器的高调攻击。

攻击者青睐的目标是那些仅沿用之前的方法或安全工具,没有实施全面数字安全策略的公司。为保护我们的资源不受到这些攻击,公司需要寻找OTIT人员之间合作的新方法,建立全新的安全体制。

Tim Jefferson

Tim Jefferson,梭子鱼网络公有云事业部副总裁

2017年,我们进入了云时代。展望明年,随着API被越来越多地用来帮助实现安全控制的自动化,我们将继续看到云自动化的增长趋势。对于企业来说,为了保障网络负载和应用程序的安全,了解公有云环境也变得前所未有的重要。关于云安全仍然存在诸多问题,其一就是安全职责的问题。如果您的数据和应用程序在云中,则您有责任确保它们安全,了解这一点很重要。今年,公有云在功能方面已经获得了一些重大进展。毫无疑问,它将继续向前发展,此时使用云的公司步伐也在加快。我相信,在2018年,客户将开始更多地使用共享责任模式(SRM),开始加快部署更多敏感的工作加载到公有云中。

如果事实证明如此的话,我们没有理由不相信公有云使用将继续增长。特别是如果您思考为什么企业站点没有使用云——因为安全是首要原因。而且,现在也是更好理解共享安全模式的理想时机,因为历史告诉我们关于网络犯罪活动的事实就是——通常攻击是针对大量用户。公有云的使用将继续发展,但IT将面临更大的压力,他们需要全面理解公有云、混合部署以及公司上下使用的未授权SaaS(软件即服务)。由于潜在的巨大回报和不断增加的机会,攻击者将继续探索公有云部署的缺点,从而加以利用。





本文出处:畅享网
本文来自云栖社区合作伙伴畅享网,了解相关信息可以关注vsharing.com网站。
目录
相关文章
|
11天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第23天】在数字时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将探讨网络安全漏洞、加密技术和安全意识等方面的内容,以帮助读者更好地了解如何保护自己的网络安全。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,我们将为读者提供一些实用的建议和技巧,以增强他们的网络安全防护能力。
|
3天前
|
存储 安全 网络安全
云计算与网络安全:保护云服务免受网络威胁
【10月更文挑战第31天】在数字化时代,云计算已经成为企业和个人存储和处理数据的首选方式。然而,随着云计算的普及,网络安全问题也日益凸显。本文将探讨云计算与网络安全之间的关系,分析云服务面临的安全挑战,并提出相应的解决方案。通过本文,您将了解到如何保护云服务免受网络威胁,确保数据的安全性和隐私性。
|
3天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第31天】本文将探讨网络安全和信息安全的重要性,以及如何通过理解和应用相关的技术和策略来保护我们的信息。我们将讨论网络安全漏洞、加密技术以及如何提高安全意识等主题。无论你是IT专业人士,还是对网络安全感兴趣的普通用户,都可以从中获得有用的信息和建议。
14 1
|
3天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第31天】随着互联网的普及,网络安全问题日益突出。本文将探讨网络安全漏洞、加密技术和安全意识等方面的内容,帮助读者了解网络安全的重要性,提高自身的网络安全防护能力。
|
4天前
|
安全 算法 测试技术
网络防线的构筑者:探索网络安全漏洞与加密技术
【10月更文挑战第31天】在数字时代的浪潮中,信息安全成为我们不可忽视的盾牌。本文将深入浅出地探讨网络安全的核心问题——安全漏洞与加密技术,并强调提升个人和组织的安全意识的重要性。我们将从基础概念出发,逐步深入到防御策略、加密算法,最终聚焦于如何通过教育和实践来提高整个社会的安全防范意识。文章旨在为非专业读者提供一扇了解网络安全世界的窗口,同时为专业人士提供实用的知识分享和思考启发。
|
5天前
|
存储 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第30天】在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术以及安全意识等方面的知识,帮助读者更好地了解网络安全的重要性,提高自己的网络安全意识和技能。
|
6天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第28天】在数字化时代,网络安全和信息安全已经成为了我们生活中不可或缺的一部分。然而,随着技术的发展,网络安全漏洞也越来越多,加密技术和安全意识的重要性也越来越被人们所认识。本文将分享一些关于网络安全漏洞、加密技术和安全意识的知识,帮助读者更好地保护自己的网络信息安全。
|
14天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第20天】在信息技术飞速发展的今天,网络安全和信息安全问题日益突出。本文将围绕网络安全漏洞、加密技术和安全意识等方面进行深入探讨,旨在提高读者对网络安全的认识和重视程度。文章首先介绍了网络安全漏洞的概念、分类和成因,然后详细阐述了加密技术的基本原理和应用,最后强调了提高个人和组织安全意识的重要性。通过本文的学习,读者将能够更好地理解网络安全的重要性,掌握一些实用的防护措施,并在日常生活中提高自己的安全意识。
60 10
|
11天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第23天】在数字化时代,网络安全和信息安全已经成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,帮助读者更好地了解网络安全和信息安全的基本知识。通过本文的学习,您将能够更好地保护自己的个人信息和数据安全。
|
11天前
|
监控 安全 网络协议
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第24天】在数字化时代,网络安全和信息安全已经成为了我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的知识,并提供一些实用的技巧和建议,帮助读者提高自己的网络安全防护能力。
26 4

热门文章

最新文章