怀特哈特的2017年安全预测


security-predictions

 

每年,来自世界各地的组织都会开始关注新的一年,并试图预测将会发生什么。安全行业也不例外。我们的WhiteHat团队已经收集了他们对2017年的预测以及2017年可能出现的新漏洞或趋势的想法。我希望您发现他们的预测是启动2017年规划的好方法,并在威胁持续增加的情况下,开始植入一些关于如何在未来几年保护您的应用程序的想法。我们是一个小型安全社区,几乎全世界都在试图攻击我们的应用程序。我很自豪和荣幸地开始讨论我们如何反击并保护我们的资产和客户。

我们先从我的预测开始。

每年这个时候,人们都会问我,我认为明年的网络安全趋势会是什么。将会出现哪些新的漏洞?物联网会被大规模入侵吗?自动驾驶汽车会因为连接到互联网而开始相互碰撞吗?所有这些都是有效的问题,其中任何一个都可能在明年发生。然而,不幸的是,我预测会发生一件更令人沮丧和无聊的事情,…什么都不会改变。公司将继续因为简单的漏洞而被攻破。我们年复一年地看到,我们在世纪之交知道的漏洞继续被利用,导致大规模的数据泄露,对公司及其用户都造成了影响。Cross-site scripting并且SQL注入在一个又一个站点上不断出现。在WhiteHat这里,我们仍然发现,在我们评估的所有网站中,约有50%存在跨站点脚本。导致数据库泄露的SQL注入仍然发生在大约6%的站点上。令人震惊的是,我们没有从过去吸取教训,并继续引入这些容易被利用的漏洞。

作为一个安全社区,我们需要做得更好。我们需要开始训练所有developers从第一天开始就是关于安全编码的。大学需要开始向所有计算机科学专业的学生教授安全编码。安全团队需要与开发人员和公司的睡觉分享他们的知识。我们需要推倒经常出现在不同组织之间的墙。只有这样,我们才能开始在制止坏人方面取得进展。

好了,我的预测和建议说得够多了。继续关注WhiteHat…这里的一些团队的预测

马克·德鲁津(Marc Druzin),产品管理

(参考资料:http://spectrum.ieee.org/cars-that-think/transportation/systems/its-now-temporarily-legal-to-hack-your-own-car

汽车是黑客的主要攻击目标。明年,汽车中将会有更多浮出水面的漏洞。你可以打赌,一旦新车型推出更多自动驾驶/转向功能和逻辑上相互连接的功能,黑客大赛就会开始。

安托万·贝西,威胁研究中心

  • 汽车是黑客的主要攻击目标。
  • 谷歌主页(Google Home)或亚马逊回声(Amazon Echo)将被发布黑客攻击。

所以,当我凝视着放在桌子上的水晶球时,雾中出现了两件大事。一个是对自动驾驶汽车的另一次远程黑客攻击,这将继续反复强调,在向大众发布之前,需要妥善保护这些汽车。另一起是针对谷歌主页(Google Home)或亚马逊回声(Amazon Echo)的公开黑客攻击。Echo已经推出两年了,到目前为止它还很坚固。然而,随着谷歌主页的出现,人们家中的麦克风一直开着,这是普通消费者严重关注的问题。我相信谷歌和亚马逊都会在黑客发布之前打补丁,但我确实认为这两款设备在黑客社区都有目标。如果你相信水晶球,那就是。

布莱恩·威廉姆斯,威胁研究中心

DDoS攻击可能会成为一个大问题。

破纪录的Mirai僵尸网络,以及随后的release of its source code,是我们今年看到的一些最大的安全新闻。该恶意软件第一次抬头是在9月份,当时它被用来对Brian Krebs’ security blog。Mirai利用默认密码打开Internet of Things路由器、安全摄像头和DVR等设备,以便对其进行控制。数以千计的设备同时被感染,然后被用来向目标受害者发送大量请求,每秒卸载高达700G的数据。在Brian Krebs的博客遭到攻击后,Mirai的源代码立即向公众公布。

10月21日,Mirai被用来拿下DNS提供商,Dyn。通过瞄准互联网基础设施,攻击者能够在一天中的大部分时间拒绝向大量网站提供服务,包括Twitter、Amazon、Tumblr、Reddit、Spotify、Netflix和GitHub。

由于Mirai的源代码很容易获得,我预计这种性质的DDoS攻击将继续下去。

珍妮·华纳(Jeannie Warner),安全经理

世界各地的社会和政治动荡将鼓励激进主义的戏剧性上升。

我预计“匿名者”将回归,将美国的运营提升到前所未有的新水平。我们都习惯了www.Whitehouse.gov和www.cia.gov不断受到攻击、污损和下线。鉴于2016年美国大选的愤怒和挫折感,我们将看到许多媒体、右倾和左倾特殊利益集团,当然还有联邦调查局,将会发动更多的攻击、DDoS和曝光攻击。“匿名者”已经站在Standing Rock以及那里的抗议活动。*可能会有更多针对大型石油公司的袭击,以及支持这类活动的州级治安官和警察。在公平竞争的话题上,人们似乎不再保持沉默。谷歌和Facebook都宣布他们正在努力消除fake news issues在过去的12个月里,这一问题一直困扰着社交媒体。结果如何还有待观察,但我预测,新的自然语言处理技术将成为人们关注的焦点,新的自然语言处理技术将广告过滤器和URL处理作为Web应用程序的一部分进行检查。

NIST等组织将出台新的指导方针,要求应用安全供应商与设备制造商和测试实验室合作,以提供安全的物联网系统。

Internet of Things每天都在增长,智能设备和控制应用程序是每项业务的核心,Healthcare到智能汽车和智能建筑。保护智能的任何东西不受试图利用其漏洞的攻击者的攻击是至关重要的-我期待/希望看到术语“安全”向“安全”的转变,以及要求更严格的测试的立法增加。以同样的方式通过American National Standards Institute控制设备中的新版本,我认为美国国家标准与技术研究所的SP 800或者类似的机构将通过集成动态应用程序扫描技术和严格的设备控制测试来形成全面安全保证的指导方针。所有物联网系统的共性包括对跟踪和传感界面的控制,与支持网络或移动的控制应用相结合,以扩展安全生态系统的边界。新的指导方针将(理想情况下)迫使更多的应用安全供应商与设备控制测试实验室合作,在开发流程的早期支持制造,帮助创新型组织通过在开发早期识别漏洞来管理风险,继续监控测试过程中的挑战,并帮助发布更安全的产品。

丹·莱西,威胁研究中心

什么都不会改变。

攻击者将继续发现和利用零日。大大小小的公司将继续在常见的攻击中丢失数据和金钱,这通常是因为他们没有采取基本的安全预防措施。个人将继续以通常的方式赔钱,通常是因为他们缺乏基本的互联网安全知识。制造商将继续生产连接互联网的设备,没有安全措施,或者很容易通过安全措施,使攻击者能够劫持它们。有人可能会通过法律强制要求新的Internet of Things设备是有安全性的,但这些法律将无法执行,也不可能追溯适用。

没有人会部署比密码更好的身份验证系统。

政府将继续施压,要求加强监控,包括走后门。