2016年網(wǎng)絡安全：向前看不如回頭看

2016-01-28 11:12:49 大云網(wǎng)　點擊量：評論 (0)

與其試圖搞清將會發(fā)生什么，不如處理好現(xiàn)存的各種問題。每年伊始的時候，廠商和科技預測師之類的總要對IT安全的未來做一番前瞻預言。這是可以理解的，畢竟能幫助人們辨別即將到來的威脅和新興趨勢。但事實真相卻

與其試圖搞清將會發(fā)生什么，不如處理好現(xiàn)存的各種問題。

每年伊始的時候，廠商和科技預測師之類的總要對IT安全的未來做一番前瞻預言。這是可以理解的，畢竟能幫助人們辨別即將到來的威脅和新興趨勢。但事實真相卻是：對廣大IT用戶而言，當前現(xiàn)有的威脅才是最應該關注的。

網(wǎng)絡犯罪是一門產(chǎn)業(yè)，與大多數(shù)現(xiàn)代產(chǎn)業(yè)一樣，傳播速度和市場大小才是成功的關鍵。這也是為什么漏洞利用工具包，比如Angler、Rig之類的，在2015年大為流行，且將在未來幾年繼續(xù)保持廣為傳播勢頭的原因。漏洞利用工具包可以使?jié)撛诠粽咻p易侵入用戶系統(tǒng)。它不是一次性用過即棄的工具，但確實是為了大規(guī)模漏洞利用而設計的。而利用的通路，通常，恰是那些已經(jīng)被受影響的軟件廠商打了補丁的漏洞。

軟件廠商發(fā)布了補丁程序未必意味著漏洞就不再被利用。你可以看看那些關于修復率的產(chǎn)業(yè)調查報告，無論你看的是哪家的報告或數(shù)據(jù)，2015(或者隨便哪一年吧)漏洞修復率從未達到過100%，連逼近都稱不上。終端用戶修復從來就不是容易達成的任務。漏洞修復問題不是2016新趨勢，也不是2015或2014的，但卻是任意一年大量數(shù)據(jù)泄露事件的根源所在。

公平的說，2016年的修復工作應該比前幾年更簡單些。如今，自動更新機制已經(jīng)成為眾多操作系統(tǒng)和應用程序廠商常用的最佳實踐。其中表現(xiàn)最好的，要數(shù)谷歌的Chrome瀏覽器，默認提供自動更新。Adobe的Flash和Acrobat Reader，以及流行開源內容管理系統(tǒng)WordPress同樣提供自動更新。

其他科技公司，比如出品Windows的微軟和帶來OS X和iOS的蘋果，自動更新不是默認設置，但都會以明確的方式通知用戶什么時候該更新了。

但是，仍然有很多應用程序既沒有自動更新系統(tǒng)，也沒有適當?shù)丶蛇M操作系統(tǒng)級的通知。有時候，通過App商店，集成更新問題能夠得以方便地解決。比如，OS X、iOS和Google Play就提供單一界面供用戶更新App。Linux服務器和桌面系統(tǒng)從Linux發(fā)行版軟件資料庫安裝更新包也是同樣道理。

若是非自動化的更新，檢查是否有更新的責任就落到了用戶身上。這是老生常談的問題了，2016年也將繼續(xù)見證此類威脅。

真正令人驚訝的，是那些已經(jīng)過時的軟件還在被頻繁使用的程度。這些過時軟件，可以說某種程度上規(guī)避掉了自動更新或個人常規(guī)進行的更新檢查。

更新問題也不總是歸咎于用戶的不作為。今天的手機世界中，真正的問題是那些不再從手機廠商那里獲取安全更新的安卓手機。進一步的風險，則來自于不跟緊谷歌月度更新周期的那些安卓手機廠商。僅過去6個月里，谷歌就發(fā)布了93個安全漏洞補丁包。但，盡管谷歌已經(jīng)為手機合作商準備好了補丁，卻不是所有的廠商都能及時向全部受影響的設備發(fā)放更新。

綜上所述，從桌面系統(tǒng)到手機平臺和App應用，每一年都有大量漏洞曝出，但卻不是所有的漏洞都會被用戶打上補丁。其結果，就是形成了一個任君采擷的巨大果園，讓攻擊者可以攜漏洞利用工具包隨心所欲地采摘。畫面太美，不忍直視。

IT安全里，另一個一直以來讓人無言以對的問題就是：用戶密碼往往是安全防護中最弱的一環(huán)。同樣，這不是個新趨勢，是自現(xiàn)代IT誕生的那刻起就一直存在的問題。最近幾年的變化，是雙因子身份驗證（2FA）系統(tǒng)的使用增多。

攻擊者帶著數(shù)據(jù)庫泄露的用戶名和密碼溜之大吉的情況屢見不鮮。但如果你的賬戶設置了2FA，這些信息基本等于沒用，風險也就相對降低了。這種經(jīng)驗教訓，不僅僅是2016，而是每年都應該重新警醒一遍的。

2016 IT安全中應該注意的其他重點，與之前十幾年一樣，是常見類型的漏洞。在服務器方面，源源不斷引發(fā)數(shù)據(jù)泄露的老問題，是SQL注入。這個問題能造成應用程序無法恰當?shù)貓?zhí)行數(shù)據(jù)庫輸入驗證。可供公司企業(yè)掃描SQL注入漏洞的工具很多，修復代碼通常也就區(qū)區(qū)幾行。

當然，新的零日漏洞肯定會出現(xiàn)，2016年也免不了要見證那么幾個。但若說到數(shù)據(jù)泄露，大部分泄露事件還得歸因于本可以規(guī)避掉的已知漏洞。

展望2016的安全，不應該拒絕了解若是回避新的威脅，但更重要的是先要“回頭看”。