由移动、云计算、社交技术以及大数据应用为主导的各类创新型方案可谓方兴未艾,但由此带来的又一轮安全风险同样不容忽视。上述技术的出现一方面满足了我们对于IT创新的需求,另一方面却也成为培养新型网络威胁的温床。
移动安全四面楚歌
移动计算所引发的潜在威胁主要源自移动通信本身“安全性低下或者说通道安全性低下”的客观现实。据该机构披露,此类系统中所使用的软件尚不够“成熟”,而且由于自身“便携性”的原因此类设备很容易丢失或被盗。事实上,移动设备普及程度的不断提高也使这一领域成为黑客技术的主要目标,这从另一个侧面加剧了安全问题的严重程度,该机构补充道。
目前最常见的安全威胁源自黑客在网页浏览器及其它移动软件中安插恶意内容,即俗称的网页挂马。黑客通过不被计算机使用者察觉的方式使浏览器自动下载恶意程式,意图渗透网络防护措施并盗取敏感数据,也就是常说的“偷渡式攻击”。
专门针对网页浏览器的偷渡式下载攻击已经成为当下的首要网络威胁。令人防不胜防的是,攻击者们开始将目标转向安全性更脆弱的浏览器插件,例如Java(Java漏洞已经成为最主要的跨平台安全威胁)、Adobe Reader以及Adobe Flash等等,偷渡下载攻击几乎无一例外地以冲击合法网站为前导,在将其攻破后再将恶意链接及恶意代码植入网站之中。
日益严重的威胁还可能以数据破坏为手段影响到各类机密信息,其中包括由移动通信通道所发出的各类数据。随着移动设备成为支付及银行业务操作的新兴平台,各类前所未见的安全问题也将汹涌袭来。
攻击者还可能对社交网络技术中尚未成熟的安全控制机制展开一波又一波强有力的冲击。在这种情况下,最值得关注的新兴威胁之一就是黑客们对公共领域中已有信息的“滥用”,这将成为其盗取社交网络账户的重要手段,也就是安全界常说的社会工程学攻击。
黑客将越来越多地利用“虚假认证”迷惑用户,借以“在受信设施组件中获得虚假信任”。面对这一情况,各类受信业务系统必须尽快将“实名制电子身份验证系统”部署到位,否则将很难破除攻击者设置的陷阱。
把各类私人敏感数据加以收集及存储当然不错,然而一旦这里出了问题,产生的后果将无法估量。
受信设施组件应该被贯彻到信息系统的各个层面,即从应用层到网络层,受信设施自身一般都受到强加密技术与密钥管理机制的严格保护,以身份验证机制、安全通信协议及公共密钥组件为代表的防护措施成为用户信任该系统的核心理由。
受信基础设施的存在对于信息安全极为关键,这类设施以多层安全体系为基础,有助于通过建立相互信任的认证机制实现合作伙伴或系统的验证工作(包括可信连接、可信交易以及电子签名等)
须谨慎对待云与大数据
在云计算方面,由于其数据的“集中化”特性,一旦黑客成功利用漏洞侵入云系统、由此造成的潜在影响将极为严重。网络犯罪分子还可以利用云计算资源实现个人目的,例如通过在此类系统中存储恶意软件来将云环境作为发动攻击的根据地。前不久曝出伊朗政府支持的穆斯林黑客开创以服务器为攻击源的DDoS攻击手段,将阶段性改写DDoS历史。
大数据是社交技术、云计算、移动计算以及互联网的交叉使用所带来的必然性信息集合,同时也是新的安全隐患。
对大数据的开发及利用会影响数据的隐私性,与此同时,恶意人士则可能利用大数据创造出新的攻击类型与攻击载体。
目前大数据安全方面已经暴露出很多严峻挑战。概括地来说,这些挑战主要包括数据保护、数据访问控制以及数据过滤等问题。由于大数据所带来的海量信息完全超过了目前各种安全信息及事件管理(简称SIEM)产品的处理能力,我们还没有太好的办法保护大数据万全。