所发布的年度安全报告来看,社交网络无疑将成为2010年犯罪分子们的首要攻击目标。
社交网站是唯一被这5大安全机构同时列为首位的威胁,不过像搜索引擎优化(SEO)攻击、短网址仿冒与恶意广告,以及针对智能手机和Mac OS X平台的攻击也在多份报告中被提到。
未被5大机构重复提到的安全预测包括加密算法破解、僵尸网络圈地战、针对电子投票和电视节目的攻击、公用事业网络数据泄露,以及劫持电脑索要赎金等。
Info-Tech研究集团的资深分析师James Quinn预测,黑客们将会继续采取金钱激励政策。不过根据Quinn的说法,从2009年延续到2010年的最大的安全威胁趋势,将是攻击的速度会越来越快。
“安全公司响应威胁的速度已经非常之快了,结果呢,坏分子们也不得不提高他们的攻击速度……我认为将会看到威胁传播的速度不断增加,”他说。
下面就是我们从CA、思科、赛门铁克、Websense和Independent Security Evaluators的专家们那里收集整理的对于2010年即将出现的网络安全威胁的预测。
ISE预测,将会爆发一次大规模的移动蠕虫攻击。“如今的手机已成为经常在线的小型电脑。它们包含了不少的个人信息,因而正在成为僵尸网络很感兴趣的目标。今年出现了针对破解版iPhone的一个蠕虫,明年将会看到针对主要的移动平台如iPhone或Android的首次大规模蠕虫攻击。”
“主要的社交网站(Facebook、MySpace等)有可能会因为黑客事件或病毒攻击而关闭一段时间,”ISE称。“随着越来越多的信息储存在社交网站上,它们自然会成为攻击的目标。此外,对主要的社交网站实施漂亮的攻击也会让攻击者的名气更响。”
ISE还预测,“现在普遍采用的、可信任的加密算法可能会遭遇程度相当严重的破解。”最近对于保护电子商务安全的SSL协议就出现了大量的破解研究结果。从Marlinspike和Kaminsky所发现的数字证书零字节攻击,到无线网络WPA的破解,到SSL的重新协商漏洞,2009年真可以说是加密算法的破解年。这一趋势2010年将会持续,目前很多可信任的加密算法的严重漏洞都可能会被曝光。
ISE的第4个预测提到了美国的公用事业网络(电力网、核电网等)的重要漏洞被人发现从而导致泄密的事件。“美国的一些主流媒体在探讨网络战时都认为,研究者和攻击者都将会花费更多的时间研究与公用事业公司相关的SCADA(以计算机为基础的生产过程控制和自动化调度)系统。只要研究者发现一个重大漏洞或者比较薄弱的环节,那么攻击者就会充分加以利用。”
Websense安全实验室指出,2009年,各大僵尸网络黑帮相互较劲,这一趋势将在明年延续,导致出现僵尸网络的圈地大战。“我们预计各个僵尸网络之间将会出现更激进的行为,僵尸电脑会具备探测并消除和占领竞争方僵尸电脑的能力。”
E-mail将会再次吸引恶意攻击者的关注,2009年,有很多恶意攻击者是通过E-mail的附件来传播病毒文件和木马病毒的。
“2010年将会证明,Mac机不会再始终具有病毒免疫力了,”Websense称。很多人自以为Mac机不会被病毒感染,因而很多企业没有为Mac机部署完善的安全措施,及时升级补丁。Websense认为,恶意软件的首批攻击目标将会针对苹果的Safari浏览器,然后便会蔓延到Mac电脑。
CA特别提到了Mac OS X,认为恶意软件攻击者们将会更加关注这个64位的苹果操作系统平台。
“伴随着宽带连接普及率在全世界的逐步增长,尤其是在发展中国家的增长,非英语国家的垃圾邮件数量将会出现暴涨局面,”赛门铁克称。
自动柜员机、投票系统和线年,银行系统已经发现了一些针对自动柜员机(ATM)的高度专业的恶意软件,这种攻击趋势还将在新的一年中延续。赛门铁克指出,除此之外,恶意软件的目标还瞄准了电子投票系统,例如控制政治选举和电话选举的结果,还有跟电视真人秀和电视竞赛节目相关的投票系统。
赛门铁克预测,流氓安全软件的传播者们会将其欺诈行为提高到一个新的水平,甚至可能会劫持用户的电脑,随意涂抹其屏幕,除非用户支付“赎金”。
会将一些免费的、第三方的防病毒软件拿来包装成自己的品牌软件出售,骗取钱财,”赛门铁克称。犯罪分子会购买合法的广告位(恶意广告)
CA和Websense都预言了“恶意广告”的兴起——犯罪分子将会合法地购买网站的广告位作为传播其恶意软件的手段。
根据CA和Websense的预测,搜索引擎优化(SEO)攻击将会在2010年出现增长势头。SEO攻击可能引发消费者对于搜索结果的不信任,“除非搜索引擎服务商能够改变他们链接文档和结果的方式,”Websense称。
“Google会成为一个经常遭攻击的目标。攻击者们会使用复杂的SEO来操控搜索引擎的结果排序,感染用户的搜索结果,将他们直接引向可能导致恶意软件感染的网站,”CA称。
HA水军将大量涌现由于CAPTCHA(验证字)用自动化进程很难破解,垃圾邮件发送者们将会创造出一个黑色产业链——利用真人手动创建新的垃圾邮箱账户,赛门铁克称。该公司预计,垃圾邮件发送者们会付给这些水军每创建1000个账户30到40美元。
按照Websense的说法,Windows 7的用户访问控制实际上很脆弱,略施小计便可很容易地绕过它。而且它的4级控制也会出现很多其他的漏洞。“实际上,2009年10月的一轮补丁周期,Windows 7就进行了5次升级补漏,这还是在Win 7尚未正式发布之前进行的。”Websense预计,明年,Win 7以及用户访问控制的不漏行为将成为一种频繁的常态。
ker?CA认为,很有可能还会出现类似Conficker的又一个重要的电脑蠕虫。“随着Web应用的日益增多,会有越来越多的关键性零日漏洞被发现,尤其是像Windows 7和Google Ch
e这样一些新的操作系统,所有这些都会给新的蠕虫爆发提供很好的机会。”网银木马泛滥
CA预计,2010年将会出现更多的网银木马盗用客户的金融账号等个人身份信息。
思科预计,很多在发达国家早已过时了的网络犯罪手法可能会在很多发展中国家重现。犯罪分子将会使用一些又低级、又简单的欺诈手法去欺骗数百万没有经历过网络诈骗陷阱的用户去上当。
思科预计,短信钓鱼(smishing)和VoIP钓鱼(vishing)欺诈手段在2010年将成为普遍现象。黑客们攻击VoIP网络实施钓鱼的手法会尤其盛行,因为这些手法很难被监管者所跟踪。
赛门铁克称,Fast flux是僵尸网络的一种常用技术,它能将钓鱼网站和恶意网站隐藏在动态变化的代理服务器上。当业界开始采取各种手段削弱传统僵尸网络的攻击性时,预计将会有更来越多的黑客使用这种技术来实施攻击。
的僵尸网络赛门铁克称,一些托管僵尸网络的ISP,如McColo和Real Host的出现,使得僵尸网络的恢复时间从以往的数周到数月缩短到只需数小时。预计2010年僵尸网络将会变得更为自治,更加智能。
使用其API,攻击者们很可能会利用那些要求用户提供社交网站账号的第三方应用的弱点来实施攻击。基于信誉的安全技术将成主流
赛门铁克认为,目前已达到了这样一个拐点,新的恶意软件甚至要比善意软件编写的水平更高。因此只是简单地去分析恶意软件已没有意义。我们需要的是对所有软件进行信誉评级的一种安全方法,比如用基于信誉安全的技术去评估所有的软件,这种趋势在2010年将成为主流。
SPAM法案失效赛门铁克认为,由于明年的经济将会继续低迷,因此会有更多的人会寻求绕开CAN SPAM(控制非自愿色情及病毒营销)法案的限制,我们将会看到更多的机构会出售未经授权的邮件地址列表,会有更多的营销人员行走在灰色地带,利用买来的这些邮件列表大量发送垃圾营销邮件。
CA认为,DoS攻击将会越来越流行,成为一种发表政治声明的手段。而像Twitter和Facebook等
赛门铁克预测,到2010年底,“每300条即时消息中将会有1条含有URL”,而“每12个超链中将会有1个超链链接到托管恶意软件的域名。”而在2009年年中,这个数字还是1:78。
赛门铁克认为,社会工程攻击早已成为今天攻击者们惯用的手法之一,但是使用社会工程技术进行攻击的数量在2010年将会激增。
“2009年有90.6%的垃圾邮件含有超链,短网址已被犯罪分子越来越多地用来仿冒合法的网站超链。这种趋势在2010年将会持续,”赛门铁克称。
思科的报告也提到了与短网址相关的安全问题,并建议机构“生成自己的短网址并在自己的域名中加以管理。”个人用户则应在浏览器中安装插件以便能够显示完整、真实的网址。
“当数以百计的智能移动设备能够像传统的电脑平台一样工作时,用户就需要及时更新移动设备的安全软件了,”思科称。
思科预计,社交网站在2010年将成为“网络犯罪的渊薮”。Websense也做出了类似的预测,认为大量的垃圾邮件与黑客攻击的目标将会指向社交网站以及实时搜索引擎。“垃圾邮件发送者与黑客将会利用充分这些成功的Web 2.0网站,因为它们在用户中间有很高的信任度。”
的资产清单 全可见性 发现您甚至不知道的资产并消除盲点。 风险缓解 通过审计预防措施
11月22 – 25日展会地点:阿联酋迪拜世贸中心展览馆展会主办:DMG World Media Dubai Ltd展会周期:一
、流程和技术时使用的术语的神秘面纱。我们会定期更新它,希望它对于你来说是有用的。
CI/CD 管道 的支持。因此,Klocwork是理想的 SAST 工具。使用 Klocwork 可帮助您的开发团队及早预防
的“黑科技” 没有意识到风险是最大的风险。正所谓‘患生于所忽,祸起于细微’。
技术趋势时,可以看看过去几年的主要主题,以了解这些趋势在全球疫情面前的表现。
攻击是家常便饭的时代,即使投入了大量保护资金,较小型公司也更容易受到攻击。许多企业仍然没有将
漏洞案例中,企业都建立了“足够好”的控制措施,并且遵守了行业法规要求。
与行业主管部门颁发的产品和服务资质作为主要考量标准,通过对产品、能力、场景、服务、解决方案5个维度做深入细分和梳理,从收录的1036项报名中甄选出367家国内优秀的
4月26日,北京——是德科技公司(NYSE:KEYS)今日发布第四期《是德科技
挑战正在成为人们关注的焦点,特别是远程办公以及接触者追踪应用和可穿戴设备的数据
数据隐私问题将变得更加紧迫,而潜在的预算问题和不断变化的国际关系也将影响
和数据泄露方面至关重要。而人工智能处于数字革命的最前沿,人工智能改变人们工作和生活的重要方式之一是
公司ImmuniWeb发布了一份今年暗网泄漏数据来源的研究,发现暗网上泄漏的数据,97%出自
谋求非对称优势、捍卫全球领导地位,早已成为美国霸权的主要手段。而这背后,持续涌动的
一直令强权国家“如鲠在喉”。尤其,对于将太空能力视为所有军事能力的决定因素的美国,维护其太空领域
技术理念,汇聚产学研用等创新资源,具备核心技术攻关、产业化应用推广等关键环节协同创新环境和载体的
问题,对美国全国范围的用户都产生了影响,其中不少用户反映了通话和数据服务方面的问题。
根据一份新的报告,智慧城市有潜力为阿拉伯联合酋长国(UAE)释放巨大的商业潜力,但它也警告了物联网(IoT)和连接设备带来的巨
进行的病毒净化能力测试,其中米家空气净化器Max增强版和米家空气净化器Pro H对H1N1病毒的去除率达到了99.99%。
震网病毒、乌克兰电网大停电事件、韩国核电站资料泄露、勒索病毒爆发等事件暴露了工业控制系统
曾经在物联网世界,一切都变得更加庞大。不仅是设备本身——有些小到只容纳几个芯片,他们通常隐藏其中,眼不见心不烦。但物联网中庞大的数据和设备规模令任何
随着新的技术进步而增加。关系数据库带来了SQL注入攻击,Web脚本编程语言助长了跨站点脚本攻击,物联网设备开辟了创建僵尸
事件频繁出现,但infosec社区正在为新年的到来做准备。随着新出现的
攻击浮出水面,新的APT集团现身,以及围绕数据隐私的更多规定,2019
的动态特点和快速移动性使之容易超出监管,而监管的缓慢和不灵活不会给我们带来任何好处。实际上还可能因为死板的因循守旧,以及无法正确感知
近日,由中央网信办、工信部指导,省政府、中国工程院、中国科学技术协会、国防科技大学和中国电子信息产业集团有限公司共同主办的2018中国(长沙)
对其数据中心的具体状况进行评估与判定。使他们新的数据中心获得一个来自第三方的认证。如果这个认证获得股东的同意,公司就会发布新闻稿并且以此来作为宣传资料。
监测与处置办法》(以下简称《办法》),按照及时发现、科学认定、有效处置的原则,工业和信息化部组织各省通信管理局、基础电信企业、
黑帽大会上对与会者做了一项调查,76%的与会者将高级恶意软件视为一个大问题,37%的与会者每周至少要花10小时来应对
和数据管理需要解决方案,在传感器整体市场成长中,我们迎来更智能的生活。
评估难的现状,提出一种基于和声搜索算法和相关向量机( HS-RVM)的
的覆盖范围指的是它能够有效覆盖的面积,是指能够有效访问它的物理区域。在绝大部分情况下,无线
的125亿猛增至250亿。放眼于这个快速增长的新兴市场,CSO们(首席
3月全国两会期间,LED照明成为代表们的热议焦点,中国发改委副主任指出,
许多通信协会例如国际电联和IEEE正在致力工作于第四代(4G)通信。本文提供了关于
