安全关注:2009年信息安全八大预测

 http://safe.csdn.net/n/20090108/314.html

 

恶意软件即服务

2008年刚被赛门铁克收购的MessageLabs,近日做出了关于恶意软件发展趋势的预测,MessageLabs认为,“2009年恶意软件将作为一项服务出现。”

回顾2008,恶意软件及其大量变种一直在与各种反恶意软件解决方案进行殊死较量。我们注意到一些黑客组织在2009年中将把病毒木马等恶意软件的制作商业化,通过让需求者定购个性化的恶意软件并自动发送,来保证恶意软件数量和变种的要求,实现MAAS(malwareasaservice,恶意软件即服务)。

说起来有些滑稽,SAAS(软件即服务)的理念已经被恶意软件传播者如此快速的借用。但要想实现恶意软件的商业化运作也并非易事,毕竟传播恶意软件是不被法律所容许的。

UTM大势所趋

作为一家率先实现万兆UTM的厂商Fortinet预测,“由于受金融海啸的影响,企业IT预算紧缩将给各种威胁攻以可趁之机,从而不可避免地提升市场对UTM(UnifiedThreatManagement,统一威胁管理)设备的需求。”

UTM作为企业解决一体化边界安全防护、降低运维成本的希望,一直由于其性能瓶颈饱受争议。2008年随着多核技术的成熟,UTM有望真正实现统一安全管理。IT专家网认为受到金融危机的影响,在今后一两年中,节省开支将成为公司选购产品或者开发产品的前提,因此2009年UTM将受到越来越多的企业用户关注。当然,国外的UTM是否是最省钱的解决方案,笔者并不好直接回答,可以肯定的是2009年国内信息安全市场将会更多的看到天融信、启明星辰、联想网御等国产品牌的身影。

信誉危机

另外,不断增长的“信誉危机”,不得不让企业在2009年绷紧神经,特别是当DNS的漏洞攻击问题迅猛增加的今天。2008年,DNS漏洞已经引起业内的广泛关注这,一些恶意软件(如DNSChanger等)能够将恶意DNS服务器替代为合法的DNS服务器向用户提供服务,当用户输入合法网址时就会被链接到恶意网站。IT专家网不得不警告您,2009年很可能成为DNS漏洞满天飞的一年。

漏洞带来的定向攻击将会增加

ScanSafe预测,有针对性的专业攻击将会增加,这个预测也是很有意义的。2008年中出现了大量的安全漏洞,笔者曾经在08年安全市场回顾中提到过,随着漏洞挖掘技术及漏洞提交机制的完善,将会有更多的安全漏洞将会公布于众。更为严重的是,网络攻击技术的门槛不断降低,这种针对特殊漏洞的攻击行为几乎每时每刻都会发生,再加上经济利益的影响,所以针对漏洞的攻击防不胜防。

CAPTCHA带来的邮件隐患

2008年2月,黑客首次成功破解了邮件验证码系统CAPTCHA,一眼之间基于Web证明的垃圾邮件威胁剧增。事实证明CAPTCHA还不足以保护帐户申请过程,虽然CAPTCHA攻击所波及面积还不是很大大,但2009年必将越演越烈,攻击者的速度总是快于防御系统。不过,对于大家对于这个预测却持不同意见,有人预测改进后的CAPTCHA将让攻击者无计可施。CAPTCHA最总将何去何从,我们将拭目以待。

针对基础设施的攻击行为将增加

SecureComputing最新的调查显示,能源等行业关键基础设施易受网络攻击。专家指出,除了金融服务业外,大多数行业对于网络攻击几乎毫无准备,包括:水利、电力、石油天然气行业、电信、运输、服务业、化工和物流业。基础设施的网络安全防护将成为2009年,行业用户关注的焦点。

网络战争将越演越烈

这听起来仿佛和企业安全关系甚微,然而网络战争的目的即是破坏或干扰敌对国家网络通信、截取关键信息、扰乱对方网络正常秩序,其危害是巨大的,对于企业而言也是毁灭性的。2008年,我们已经看到到俄罗斯对爱沙尼亚和格鲁吉亚发动网络战争而造成的影响。所谓“防人之心不可无”,对于政府以及敏感行业而言,加强网络防护能力是十分必要的。

SQL注入、XSS攻击仍将威胁Web安全

对于web安全,IT专家网认为将会2009Web安全仍将是最为严重的威胁之一。究其原因,首先SQL注入攻击使得攻击者可以在网站上注入各种恶意内容,而针对SQL注入的防御却相对较难;其次跨站脚本攻击(XSS)对Web安全的威胁将会继续加大。2009年跨站脚本攻击和SQL注入攻击将会变得更加普遍,并且很难从网站代码中消除。

尽管有这么多困难摆在前面,但是我们有理由相信2009年安全行业将迈进一大步,至少安全产业已经开始稳步发展。与此同时,我们希望看到政府与相关机构能够规范制度、加大监管力度,真正从源头上消除威胁。当然我们更期待未来的某个时候我们不再需要安全产品,用户们能够在安全稳定的环境畅游。

推荐,网络安全中的漏洞挖掘实践合集,仅供大家学习参阅,包含内容如下: 针对现实应用的文本对抗攻击研究 安全众测下的漏洞发展新趋势 安卓应用漏洞挖掘 从0到1-发现与拓展攻击面 对基于Git的版本控制服务的通用攻击面的探索 对民用飞行控制系统固件的逆向与漏洞分析 卫星通信的安全缺陷 基于全流量的智慧漏洞挖掘 基于运行时类型嗅探技术提高模糊测试的漏洞发掘效果 漏洞挖掘进化论-推开xray之门 逆向在漏洞挖掘中的应用 苹果攻击面和漏洞挖掘自动化研究 如何从高赏金项目中拿到高危 如何去挖掘物联网环境中的高级恶意软件威胁 如何在3个月发现 12 个内核信息泄露漏洞 沙箱内持久化.行之有效的沙箱攻击新思路 深度解析Weblogic_XMLDecoder反序列化 使用数据流敏感模糊测试发现漏洞 锁不住的安全 谈谈工业协议转换器的一些问题 逃逸IE浏览器沙箱-在野0Day漏洞利用复现 为何自动化漏洞挖掘如此困难 现代可抵赖后门研究 一扇虚掩的大门-现代智能系统的重要攻击面 源代码漏洞挖掘 远程root现代安卓设备 在现代Windows内核中发现存在20的漏洞 针对智能设备漏洞挖掘的一些新方法 AI用于软件漏洞挖掘 AndroidWebView安全攻防指南2020 Java反序列化漏洞自动挖掘方法 macOS从运行库劫持到内核提权 MTK安全启动大剖析.CIS大会分论 MyBatis框架下SQL注入解决方案 Qemu-kvm和ESXi虚拟机逃逸实例分享 WEB常见漏洞与挖掘技巧研究 Web漏洞挖掘速成特训营 混合式漏洞挖掘研究进展
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值