科技: 人物 企业 技术 IT业 TMT
科普: 自然 科学 科幻 宇宙 科学家
通信: 历史 技术 手机 词典 3G馆
索引: 分类 推荐 专题 热点 排行榜
互联网: 广告 营销 政务 游戏 google
新媒体: 社交 博客 学者 人物 传播学
新思想: 网站 新书 新知 新词 思想家
图书馆: 文化 商业 管理 经济 期刊
网络文化: 社会 红人 黑客 治理 亚文化
创业百科: VC 词典 指南 案例 创业史
前沿科技: 清洁 绿色 纳米 生物 环保
知识产权: 盗版 共享 学人 法规 著作
用户名: 密码: 注册 忘记密码?
    创建新词条
科技百科
  • 人气指数: 2556 次
  • 编辑次数: 1 次 历史版本
  • 更新时间: 2010-12-29
高兴
高兴
发短消息
相关词条
MIT黑客全纪录
MIT黑客全纪录
中国黑客18年
中国黑客18年
2014中国黑客榜
2014中国黑客榜
黑客微百科
黑客微百科
《通天神偷》(Sneakers)
《通天神偷》(Sneakers)
黑客定义
黑客定义
科技史上臭名昭著的13大罪犯
科技史上臭名昭著的13大罪犯
泄密者大盘点
泄密者大盘点
盘点泄密者结局
盘点泄密者结局
让美国国安局不安的11部电影
让美国国安局不安的11部电影
推荐词条
希拉里二度竞选
希拉里二度竞选
《互联网百科系列》
《互联网百科系列》
《黑客百科》
《黑客百科》
《网络舆情百科》
《网络舆情百科》
《网络治理百科》
《网络治理百科》
《硅谷百科》
《硅谷百科》
2017年特斯拉
2017年特斯拉
MIT黑客全纪录
MIT黑客全纪录
桑达尔·皮查伊
桑达尔·皮查伊
阿里双十一成交额
阿里双十一成交额
最新词条

热门标签

微博侠 数字营销2011年度总结 政务微博元年 2011微博十大事件 美国十大创业孵化器 盘点美国导师型创业孵化器 盘点导师型创业孵化器 TechStars 智能电视大战前夜 竞争型国企 公益型国企 2011央视经济年度人物 Rhianna Pratchett 莱恩娜·普莱契 Zynga与Facebook关系 Zynga盈利危机 2010年手机社交游戏行业分析报告 游戏奖励 主流手机游戏公司运营表现 主流手机游戏公司运营对比数据 创建游戏原型 正反馈现象 易用性设计增强游戏体验 易用性设计 《The Sims Social》社交亮 心理生理学与游戏 Kixeye Storm8 Storm8公司 女性玩家营销策略 休闲游戏的创新性 游戏运营的数据分析 社交游戏分析学常见术语 游戏运营数据解析 iPad风行美国校园 iPad终结传统教科书 游戏平衡性 成长类型及情感元素 鸿蒙国际 云骗钱 2011年政务微博报告 《2011年政务微博报告》 方正产业图谱 方正改制考 通信企业属公益型国企 善用玩家作弊行为 手机游戏传播 每用户平均收入 ARPU值 ARPU 游戏授权三面观 游戏设计所运用的化学原理 iOS应用人性化界面设计原则 硬核游戏 硬核社交游戏 生物测量法研究玩家 全球移动用户 用户研究三部曲 Tagged转型故事 Tagged Instagram火爆的3大原因 全球第四大社交网络Badoo Badoo 2011年最迅猛的20大创业公司 病毒式传播功能支持的游戏设计 病毒式传播功能 美国社交游戏虚拟商品收益 Flipboard改变阅读 盘点10大最难iPhone游戏 移动应用设计7大主流趋势 成功的设计文件十个要点 游戏设计文件 应用内置付费功能 内置付费功能 IAP功能 IAP IAP模式 游戏易用性测试 生理心理游戏评估 游戏化游戏 全美社交游戏规模 美国社交游戏市场 全球平板电脑出货量 Facebook虚拟商品收益 Facebook全球广告营收 Facebook广告营收 失败游戏设计的数宗罪名 休闲游戏设计要点 玩游戏可提高认知能力 玩游戏与认知能力 全球游戏广告 独立开发者提高工作效率的100个要点 Facebook亚洲用户 免费游戏的10种创收模式 人类大脑可下载 2012年最值得期待的20位硅谷企业家 做空中概股的幕后黑手 做空中概股幕后黑手 苹果2013营收 Playfish社交游戏架构

2011年十大安全威胁趋势 发表评论(0) 编辑词条

目录

2011年十大安全威胁趋势编辑本段回目录

应用程序和数据安全解决方案厂商Imperva公布了2011年十大安全威胁趋势的预测,将有助于IT安全专业人员帮助组织抵御下一波网络安全攻击。

1、国家资助的黑客攻击:APT趋向产业化

国家赞助的黑客通常会实施有针对性的网络攻击,混合了商业黑客行业的观念和技术,这种攻击和传统的以金钱利益为目的的攻击有所不同,但使用的技术都 差不多,这些高级持续性威胁(Advanced Persistent Threat[APT])攻击会使用诸如自动化和病毒传播技术,使它们更加强大,攻击成功的可能性更大,大家还记得Stuxnet吧,它就是这样的例 子,Stuxnet不是为了获得你的银行卡密码,相反它是为了获得你基础设施的控制权。

这两种攻击(商业黑客产业和APT)使用相同的技术,因此有些安全保护措施可以适用于两者,从积极的一面来看,你可能还没有被网络黑手党发现,因此 不会受到APT攻击威胁,因为APT是持续的,如果一个攻击不成功,另一个马上就会开始,传统的安全保护措施在这时会显得苍白无力,无法抵御这些由国家支 持的黑客组织发起的冷酷攻击。对企业和政府而言,这意味着要在整个组织层增加监控和建立安全控制。

2、内部威胁远比你想象的要糟糕

在新的一年里,我们预计来自内部的攻击将会与日俱增,数据窃取和安全破坏常常有内部员工的份儿,这个时候最重要的是要揪出始作俑者,而不是考虑如何保护数据,如果你不知道内部威胁源隐藏在哪个角落,谈何保护呢?为了阻止内部威胁,组织应该:

实施强制访问控制,根据业务需要,该访问的则授予访问权,不该知道的就永远接触不到,最主要的就是消除权限分配不当。

给数据中心提供适当的访问审计工具,这些审计工具应该能监控谁在什么时候访问了什么数据。

3、浏览器中间人攻击将会膨胀

浏览器中间人(Man in the Browser,MitB)攻击将会上升,进而将目标转向更多类型的在线应用程序,因此,在线服务供应商应该将其列入2011年重大事项清单,尽量将消费者头上悬着的风险转移到自己头上。

虽然代理木马大多数时候责任都在用户一方,但MitB攻击迅速成为在线服务供应商关注的焦点,他们必须为自己的用户提供保护,正如汽车制造商也必须 遵循行车安全技术的发展,类似ABS,安全气囊和ESP等保护司机和乘客的技术才会越来越多,而不是仅靠我们小心驾驶,因此在线服务供应商必须在安全保护 方面加大投入,要能够监控已感染的用户,并能提供有效的指导消除威胁,这样的技术包括强设备认证,客户分析,会话流跟踪和站点到客户端验证。

4、社交网络中的隐私和安全

2011年我们将会看到社交网络的安全威胁会越来越大,隐私保护将成为焦点。最重要的两个因素是安全和信任,虽然可以保护个人信息不被其它应用程序 用户看到,但对于受信任的朋友,你却无法保证他不会泄露你的私密资料或以此为目的来接近你,就目前的社交平台来看,安全和信任还存在相当大的问题,跨站脚 本(XSS)和跨站请求伪造(CSRF)正成为巨大的威胁。

明年在社交平台安全保护方面各个服务商肯定会投入更多资源,在应用程序层保护,强认证,帐户控制和恶意软件检测等方面将会有所突破。

5、文件安全

2011年我们将会看到更多资料外泄案例,特别是非结构化数据,我们会看到各类组织在这方面加大保护力度,主要是做好文件服务器的安全措施和文件本 身的访问控制。明年会有更多针对企业机密文件的攻击,这类数据将会受到极大的威胁,不仅仅是被复制,还可能会遭致彻底毁坏,在重视数据库安全的今天,企业 必须提前做好敏感文件的防护工作。

但凭现在的技术和工具,要做好文件保护可能是一件很困难的事情,因为每个文件都是一个独立的实体,确定其所有者,设置访问权限和跟踪访问情况都是无比巨大的工作量,即使你再仔细,总会有疏漏,因此对敏感文件作强加密保护是稍微可靠的方法。

6、云数据安全

我们希望在2011年能看到更多云数据安全产品,这些产品必须适应私有云和公共云环境,在这方面安全厂商还滞后于云计算和黑客产业的发展,许多小型在线服务供应商目前正面临云安全威胁。

如果将所有云计算类型统一起来看(私有云,公共云,PaaS,IaaS和SaaS),不管是服务商还是用户都面临许多挑战,概括起来如下:

维护不同用户数据集之间的防弹分区;

为共享相同逻辑或物理平台的应用程序提供不同级别的数据安全保护;

保护用户数据,预防云管理员的窥视;

提供特殊基础设施(VM,Amazon AMI)上的解决方案;

管理云中应用程序和数据安全。

我们预计2011会出现更好的云应用程序安全保护技术,但数据安全解决方案将会稍微滞后一点。

7、移动设备危及数据安全

移动设备的迅速普及将会在来年给应用程序和数据安全工作带来极大的挑战,我们将会看到越来越多的组织在忙于传统的应用程序和数据安全工作外,疲于应对数量越来越多的移动设备带来的安全风险。

过去两年的事实证明,移动设备已经成为企业员工广泛使用和接入企业网络的办公工具,如ERP,CRM和文档管理都可以看到移动设备的影子,安全人员时刻担心这些设备是否会丢失或被盗,因为一些敏感数据可能会因此而泄露。

随着移动设备渐渐成为主流,在线服务供应商也会提供适合这些设备使用的应用程序版本,我们预计这样下去以前一些旧的漏洞可能会再次浮出水面,特别是身份识别和验证,应用程序很可能会被攻击者伪造的信息欺骗。

此外,一些所谓的"强"多因子身份验证方案会失效,例如,使用一次性密码(OTP)的应用程序往往会通过手机短信的方式给用户发送一次性密码,但经过精心设计的木马可以轻易获得通过手机短信发送的一次性密码。

可感染移动设备的恶意软件已经出现(如Zitmo),复杂的应用程序更容易遭受它们的攻击,这和我们现在使用的桌面平台是一样的。

我们预计明年与移动设备相关的事故会呈指数级增长,组织必须开始规划如何保护这些设备,以及如何与企业网络交互,工具和程序必须到位,如杀毒软件, 加密和认证,特别要监控这些设备访问了哪些企业资源(数据库,文件,内部网络),应用程序提供商也要一起配合做好安全防护工作,包括漏洞修复,信任度重新 评估,以及新的认证和授权计划。

8、黑客们在打压下试图奋起反抗

2011年,网络犯罪将会出现两种变化,首先,许多小型犯罪团伙将会歇业,为什么呢?安全研究人员将会持续观察黑客的行动,一有机会就会将他们从地 洞中揪出来,黑客们也不会甘心束手就擒,他们会想出更多反侦察方法。其次,大一点的团伙会兼并或组合,以巩固和壮大他们的实力。

2010年即将画上句号,我们也看到更多这样的例子:

9月底,Zeus僵尸网络头目和相关成员被逮捕,其实安全人员早已跟踪了他们一年时间,包括成功渗透了他们的C&C服务器,同样命运的是Bredolab僵尸网络的主要成员,在Zeus头目被逮捕三周后,他们手上也戴上了冰冷的手铐。

10月中旬,Avalanche钓鱼诈骗集团结束了长达2年的疯狂,它们释放的MitB木马曾让无数人中招。

10月末伊朗网军(ICA)发起了带有强烈政治目的的DDoS攻击,并登广告出租他们的机器人。

10月末,曾经是竞争对手的spyEye和Zeus开始寻求合并,以谋求重生。

9、网络安全已成为业务流程的一部分

英特尔CEO欧德宁说:"我们认为安全已经成为计算的第三大支柱",可见厂商对安全的态度已经发生了重大转变,那么企业是怎么想的呢?

目前,网络安全不能脱离业务,为此,安全团队必须重新审视自己的角色,例如,过去,CIO的职责是销售笔记本电脑,今天,CIO必须建立供应链,过 去,CISO负责分发杀毒软件和设置防火墙,今天他们必须知道数据驻留在哪里,数据的移动,以及如何保护它们,很明显,今天的工作也比过去复杂多了,这意 味着安全专家首先要成为业务流程专家。

10、数据安全和隐私法规

就象报纸的头版一样,许多企业每天都会泄露大量的机密信息,政府部门应通过立法来加强对敏感数据的保护,前不久FTC(联邦贸易委员会)和欧盟 (OU)协商在大西洋两岸建立统一的数据安全法,因为对跨国公司而言,要同时遵守两边的法律可能会比较困难,政府应该出面建立一个共同的框架,给企业带来 真正的方便。

→如果您认为本词条还有待完善,请 编辑词条

词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。
0

标签: 2011年十大安全威胁趋势

收藏到: Favorites  

同义词: 暂无同义词

关于本词条的评论 (共0条)发表评论>>

对词条发表评论

评论长度最大为200个字符。