| 摘要:安全牛近日发布的《2014年网络安全大事记》记述了2014年发生的重大安全要事,其文尾的最后一段话这样写道:“这就是即将过去的2014,未来的2015将发生什么、改变什么、扬弃什么。” |
| window.getPageInfoURLFileName('0') |
那么,未来的这一年即将发什么呢?在我们“拭目以待”的同时,安全牛依据过去已经发生的事情和相关资料,结合相关专业领域标杆人物的评论,对未来一年中将会发生的网络安全大事做出一些推测,希望能带来一定的参考和借鉴作用。
趋势一:安全漏洞不可避免
尽管《大事记》在漏洞一节表达了漏洞出现的不可预知性,但我们可以知道的是它一定会出现。而且,随着安全意识和安全编程标准被人们逐渐接受,新开发的软件和系统中出现重大漏洞的可能性变小。重大漏洞将更多的出现在过去开发出来的,但已经得到普及和广泛流行的软件、系统或协议中。
尤为需要注意的是所谓“长老级”和“功能型”的漏洞,前者是指埋藏在系统中多年未被发现的漏洞,后者是指本来是系统为了方便用户而提供的功能,但由于应用环境的变化和技术的飞速发展,被黑客发现并加以利用因而成了漏洞。
按照这个思路,明年将有可能爆出通信协议和操作系统级别的严重漏洞,同时,那些建立在通信协议和传统操作系统之上的,成熟期较早并在目前得到广泛应用的软件和系统可能性较大,比如Java,安卓。至于智能家居或可穿戴设备,虽然生产商缺乏安全考虑,但由于未得到大规模应用,尽管可以预见很多漏洞的发现,但巨大影响力的漏洞无法形成。
“操作系统级别的漏洞每年都会有,新的严重漏洞出现的可能性依然很大,但漏洞利用越来越难。”--Keen Team CEO 王琦
趋势二:信息泄露在劫难逃
人类生活越来越依靠现代科技、互联网、移动互联网和物联网,以及随之而来的大数据和云服务,加上黑客行为的组织化和产业化,下一次重大信息泄露事件的发生可以说是板上钉钉。
新兴社交网络和电子商务由于与互联网紧密相关,较早的具备一定的安全认识和网络基础,因此发生重大隐私泄露的可能性较小。目前网上泄露出的个人信息,多为用户自行泄露或被黑客利用撞库技术而得到。
相比而言,医疗行业、物流行业、零售业等传统行业,其数据大多是用户的真实身份,而且这些行业的网络安全意识落后,信息技术基础薄弱,随着线上业务与线下业务的交融,这些行业必将是隐私泄露的重灾区。
此外,云服务的快速普及和应用,越来越受到恶意黑客的关注。而且其完全依赖在线服务和一套登录口令对应所有信息存储服务的特性,更有可能使其曝发出大规模的恶性信息泄露事件。
“信息泄露屡发不止,根源不在于数据安全技术,而在于收集用户信息的服务商不重视保护用户隐私信息,并且法律上对这些服务商没有严肃追究刑责。”--明朝万达总裁王志海
趋势三:攻防技术的矛与盾
攻击者的技术也在不断进化。从自动化工具、边信道攻击和图片密写技术,到零日漏洞、APT攻击和社会工程。
同样,随着网络攻防强度、频率、规模,以及影响力的不断升级,未来的安全技术将逐渐朝自动化、智能化、定制化和整体化等方向发展,在单点防护和检测上越来越深,同时在整体防护上更加系统和智能。不仅能够防范已知的攻击,还能够感知即将发生的威胁,预先采取措施。
提到社会工程,不得不强调“人”的重要性。人是需要处理事务的,不断发展的事务以及人的思想认识中的“漏洞”永远无法避免,社会工程学的威力正在被发挥到极致。“道高一尺,魔高一丈”的斗争不断上演,这是一个矛与盾的寓言,也是一个永不停息的猫和老鼠的故事。
“攻防对抗是信息安全最重要的内容,背后是人和人的较量。随着对抗的发展,其中也逐渐呈现出像 SR-71侦察机和燃料空气炸弹一样或精妙或宏大或优雅或暴力的智慧之美。”--腾讯玄武实验室负责人于旸
评论表单加载中...
