赛门铁克对2015年以及后网上安全形势的预测（亚太地区）

230f4

   2013 年被安全分析师称为“数据大泄露之年”，而 2014 年的严重漏洞Heartbleed 和 Shellshock 也表明安全行业绝不能躺在过去的功劳上停止不前。

   各种迹象表明，2015 年的安全形势同样不容乐观，制造新威胁和利用漏洞进行攻击的一方与抵御这些威胁的一方之间的拉锯战可能会愈演愈烈。物联网的发展意味着消费者将加大设备、工具和机器之间的连接，而这种连接也将招致一系列全新的安全隐患 。

物联网是否会引发新一轮的安全攻击？

   随着全球各国逐步推进智慧型国家总体规划，大数据将扮演怎样的角色？移动安全领域接下来会呈现怎样的局面？

   赛门铁克发布的 2015 年亚太安全形势预测探讨了将影响该地区个体消费者、企业和政府机构的安全问题：

1.对物联网 (IoT) 的攻击将瞄准智能家居自动化：

   随着智能家居自动化在亚太及日本地区消费者中渐趋流行，赛门铁克预测，商品化“即插即用”消费设备将被网络罪犯利用，其中包括用于警报、照明和气候控制的 CCTV 摄像头和远程门禁控制设备等。

   嵌入式小型设备日益普遍，然而遗憾的是，人们在部署这些设备时往往没有将网络安全因素考虑在内。这些设备的内存和系统资源通常有限，而且不具备一般台式机的计算能力。

   显然，人们可借助搜索引擎对可连接互联网的设备进行在线搜索，包括安保摄像头、汽车、家庭供暖系统等。 虽然搜索引擎不会暴露漏洞，但会使网络罪犯更容易发现物联网设备，继而加以攻击和利用。以近期有关 Insecam.com  的新闻为例，这个据说来自俄罗斯的网站向全世界播放全球各地 IP 摄像头的监控画面。

   也就是说，我们不会看到利用物联网的大规模攻击，但是攻击者会针对家庭路由器、智能电视、互联汽车应用程序等互联设备进行一次性攻击，以获取敏感和隐私信息。

2.移动设备将更容易成为攻击目标：

   移动设备将继续是网络攻击者的目标，因为移动设备存储了大量用户个人隐私信息，并且设备一直保持开机状态。

   随着移动运营商和零售商店陆续转向移动支付，移动设备将越来越有价值。例如，Apple Pay  就解决了一些导致近期发生的销售点 (PoS)  系统被攻击的漏洞。但我们不应因此而自满，因为在某个攻击途径被阻截后，攻击者往往会另外寻找其他漏洞。倘若 Apple Pay 发展成为一种支付途径，攻击者很可能会大势挑战近场通信 (NFC)  支付的安全状况。

3.机器学习将扭转对网络犯罪的打击能力：

   随着机器学习和大数据的融合，新一代的业务平台正在形成，并将扭转网络安全格局。

   机器学习是一种深度学习形式，可视为人工智能的第一步。面对威胁，我们必须保持“主动性”，而不是对威胁作出被动反应。机器学习将有助于安全厂商比网络罪犯领先一步。机器学习预测网络攻击的能力可提高检测率，可能正是扭转网络犯罪趋势的关键。

4.要使用移应用程序就必须分享分人隐私为代价的问题将继续存在：

   我们认为，某些移动用户仍会为了使用移动应用程序，而甘愿以分享个人隐私为代价。

   虽然很多互联网用户并不愿意在网上分享银行信息和个人身份信息，但也有不少用户为了使用移动应用程序，愿意分享自己的所在位置和移动电池寿命，并允许移动应用程序访问照片、通讯录、健康等信息。

   此外，很多消费者在下载移动应用程序时根本不清楚自己所同意的条款内容。例如，Norton Reseach显示，尽管新生代用户自认为他们知道应用程序可以访问哪些内容，但事实上，在用个人信息交换应用程序时，他们对自己同意的条款内容知之甚少。

5，诈骗者将继续通过勒索软件牟利：

   根据赛门铁克发布的《互联网安全威胁报告》，在2014年下半年，勒索软件的攻击次数增加了5倍，攻击方式更趋恶劣。

   在很大程度上，这种增长势头是拜Ransomcrypt（又名Cryptolocker）的成功所赐。仅仅在2013年10月，就有55%的勒索软件威胁来自于这种凶猛的勒索软件。勒索软件会加密用户文件，然后要求用户提供赎金来解密文件。勒索软件对企业的危害更大，因为被加密的不仅仅是受害者自己的文件，还包括网络共享或网络附加硬盘上的文件。挟持加密文件以索取赎金不算什么新伎俩，如何收款才是困扰以往勒索者的棘手问题。但是，新进出现的勒索软件制造者已开始利用bitcoins、Webmoney、Ukash、greedot（MoneyPak）等在线支付和电子支付系统来解决这个难题。电子支付的相对匿名性和便利性正中勒索者下怀，为企业和消费者带来丢失数据、文件或存储内容等更大风险。

6.2014年的主要数据泄露事件将使网络安全在2015年继续勒索受到高度关注：

   鉴于全球互联网和云基础的互联性，跨境数据传输不可避免，并且需要妥当对待。

   2015年将见证个人数据保护法的进一步发展，尤其是亚太地区，这是因为它切实影响到人们的生活。个人数据保护法的演进将确保个人和企业对网络安全和网络犯罪形成正确的防范意识。

7.分布式拒绝服务（DDoS）的威胁将更趋严重：

   2014年出现的另一趋势是，受攻击的UNIX服务器数量以及在DDoS攻击中被占用的带宽资源不断上升。

   攻击者的动机各式各样，而主要原因包括黑客行动主义、利益和争端。考虑到进行大规模DDoS攻击并不困难，赛门铁克预测DDoS攻击将在今年继续增长。遭受短暂而密集DDoS攻击的可能性正在上升。

8.仅靠密码已经无法保证安全，所以，用户行为将成为关注的焦点：

   由于密码系统频频遭遇网络罪犯的黑手，安全厂商和提供商正面临日趋严峻的挑战：一方面要在兼顾密码复杂性的同时满足对便利性的需求，另一方面还要提供用户所需的无缝体验。

   采用一次性密码、虹膜和指纹扫描等多因素身份验证技术可能是备选的安全保护方法，但这些方法并不见得是最安全的选择。保护重要信息的真正解决之道在于用户行为，而用户行为归根结底在于我们如何保护个人在线资产和身份信息免受威胁。

9.“云”将引领我们踏入无限广阔的空间：

   2015年，越来越多的数据将托管在云端。然而，在实施这一举措时，企业需要加进对数据的监管，并确保先将数据处理妥当后再托管到云端。

   不受管理的遗留数据将持续累积，对企业来说，这将是一个长期无法解决的问题。而对消费者而言，2015年的云计算意味着将有海量的个人信息进入远程托管，而围绕访问权限、控制和保护云端私有数据等话题的辩论也将继续升级。

10.更加紧密的行业协作将增强网络安全防线：

   孤军奋战无法取得打击网络犯罪的胜利。世界各地的安全行业、电信供应商和政府部门正在联手打击网络犯罪。安全行业是世界上少数几个存在“敌对行业”的行业之一，这些敌对者不断企图击垮这个行业。正因如此，对抗网络犯罪的战斗需要采取不一样的制胜策略。

   2015年，攻击者将继续寻找新的漏洞以“黑翻全球”，开源平台将继续通过更加紧密的行业协调、协作和响应来应对这些漏洞。赛门铁克认为，这是一个积极的现象，并且相信开源的未来必定会更加美好。

sunnyjianna

F4又发新消息啦，不过这东西不是该放在咨询区吗

230f4

sunnyjianna 发表于 2015-11-11 13:09
F4又发新消息啦，不过这东西不是该放在咨询区吗

这个 “资讯” 标签是干嘛用的呢

sunnyjianna

230f4 发表于 2015-11-11 13:12
这个 “资讯” 标签是干嘛用的呢

能不能不要这么高大上的水

不说话我就帮你转发到资讯区去了

230f4

sunnyjianna 发表于 2015-11-11 13:13
能不能不要这么高大上的水

不说话我就帮你转发到资讯区去了

随便你咯

绯色鎏金

@230f4  您的帖子已被推荐到论坛首页发现&分享频道，感谢提供分享，望再接再厉，分享更多有价值的内容


云和物联网，我觉得最危险的东西。以后万物联网，万一被哪个黑客给黑进去了，所有设备被对方控制，那就太危险了

欧阳宣

铁壳和咖啡的威胁报告侧重似乎不是很一样

铁壳喜欢关注物联网和移动设备，而咖啡喜欢关注漏洞和勒索软件

1518589226

IOT物联网家具自动化在亚太实现应该很慢吧

Q1628393554

一直觉得身边的各种东西都联网好没安全感，电影里的一幕幕正变得很现实

pixiuwan

什么都要网络的支持啊，可是网络真的好慢...但是病毒可真小啊