最近McAfee实验室发布了威胁预测报告,这份报告由33位英特尔Security意见领袖的观点,希望以群策群力的方式帮助企业解决当前存在的威胁及其在未来可能发生的转变,其中特别指出未来安全威胁将进一步扩大到虚拟机、可穿戴设备以及其它攻击面当中。
以下为对报告内容分项整理后的内容:
硬件: McAfee安全实验室副总裁Vincent Weafer指出尽管市面上的相关设施保护方案不断增加,但面向硬件与固件的攻击活动仍将继续存在。系统固件工具包亦可能会将目标转向虚拟机层面。
实际上,在国内的安全圈,360已经抢先成立了专项针对虚拟化安全的专家团队——360Marvel Team,从统计看,仅这只团队就在2015年挖出了接近20枚高危虚拟化漏洞。
勒索软件:勒索软件已经成为一类持续增长的威胁形式,且主要影响匿名支付方案及网络环境。很多经验积累较差的网络犯罪分子将会选择勒索软件即服务等实现手段。
可穿戴设备:大多数可穿戴设备只存储一小部分信息,不过网络犯罪分子可能会利用它们破坏智能手机的管理机制。安全业界将需要对网络以及Wi-Fi软 件、操作系统内核、内存、用户界面、存储系统与本地文件、Web应用、虚拟机乃至安全与访问控制软件等潜在攻击面进行保护。
员工系统:攻击者可能会通过内部员工对目标企业发起入侵,具体途径包括突破员工的家庭安全系统等,从而借道访问企业网络。各企业将需要采取新型安全技术、创造有效的管理政策并启用经验丰富的安全保护技术人才,从而以高度警惕的态度应对这些新兴威胁。
云服务:攻击者能够利用存在漏洞的安全管理政策对其保护之下的云服务加以入侵。这些服务可能涉及商业策略、金融信息、资产组合战略、下一代创新、员工数据、收购意向以及资产剥离计划等各类敏感性数据。
包括赛门铁克、360、卡巴斯基等一线大型安全厂商都提出了在2016年企业在云安全方面的投入将会进一步加强。
车载系统:联网车载系统往往缺少良好的安全保护功能,这也使其成为网络攻击活动的潜在目标。汽车制造商及IT供应商将携手合作,以推出行业标准与解决 方案的办法保护各类汽车之内的攻击面,例如动力总成控制单元(简称ECU)、远程钥匙系统、高级驾驶辅助系统ECU、无钥匙进入、USB、OBD II、V2X接收器、智能手机接入以及远程连接型应用等等。
对于汽车的安全担忧起源于查理·米勒远程踩下吉普车的刹车,随后日本的一位大学教授也在公开场合展示了对汽车发动DDOS攻击,在国内,来自360的安全专家刘健皓也在今年的HackPwn大会上展示了破解特斯拉等。
失窃数据仓库:在2016年面向失窃个人身份信息及用户名/密码数据的交易黑市将进一步增多。而大数据仓库技术在与失窃个人身份信息集相结合之后,将为攻击者带来极具价值的宝贵记录。
完整性攻击:针对特定系统与数据的选择性攻击活动已经成为最为可怕的新型攻击手段之一。此类攻击会拦截并修改事务或者数据内容,从而帮助恶意人士获得 收益。攻击者能够变更受害者的工资存款数额,并将多余存款直接转存至另一个账户。根据McAfee实验室的预测,网络窃贼在2016年年内将造成高达数百万美元的损失。
共享威胁情报:各企业与安全供应商将进一步实现威胁情报共享。而通过推出相关法案,政府能够与企业方面就威胁情报共享建立更为紧密的联系。这方面的最佳实践将持续增加,从而确保成功指标能够不断增长并用于推动保护效果的改善。另外,不同安全厂商之间的情报共享活动也将有所增加。
相比较于美国,国内还没有国家级威胁情报中心。但是在今年的中国互联网安全大会(ISC2015)上,360宣布成立了国内首个威胁情报中心,并投入使用。
特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
