中文 英语

安全风险在2015年升级

看看当前的安全状态以及如何改变。

人气

从来没有像现在这样,恶意实体试图泄漏数据、破坏基础设施、破坏对我们生活至关重要的数据。对于安全行业来说,从来没有像现在这样的机会机会,让他们尽最大努力应对渎职挑战。

那么目前的网络安全状态是什么?

“不幸的是,没有很多好消息,”Paul Kocher,总裁兼首席科学家说兰姆斯密码研究部。”摩尔定律使我们能够更快地发展技术,从而确保技术的安全。”

很多组织都有困难地围绕着今天的网络景观的范围和复杂性,以及加速的硬件和软件开发步伐。甚至谷歌和Facebook等虚拟巨头都远非拥有他们的网络防弹。实际上,积极主动需要大量的能量和努力,许多组织仍然认为简单地推出防火墙或基于软件的网络解决方案就足够了 - 它不是。

但是,这个庞然大物正在慢慢地转向理解,一个人不能简单地建立一个反应系统,并期望保持防弹。其结果是,越来越多的公司努力经营,试图走在威胁格局的前面。

“有所进步,”Chaologix商业发展副总裁Chowdary Yanamadala Notes。“对于在生成,运输或以其他方式处理数据时,有必要结合安全性的需要提高了提高的意识感。许多非传统参与者现在都认识到需要在其筹码或应用程序中跨越安全性。接下来的几年对网络安全领域非常重要。“

这种解决方案必须紧密地集成到硬件和软件安全层中,硬件是沉重的击球手。到位的一些内容是寻求主动系统测试的高级指令,以寻找漏洞,并及时了解在内部的风险,实施流程,分配资源,在内部处理风险,威胁载体和各种形式的威胁。在外部,有效的反馈。

亚纳马达拉说:“在目前的形势下,有一件事很麻烦,那就是人才短缺,特别是在半导体领域,以跟上攻击领域的发展速度和技术。”这意味着我们正在以最快的速度前进,但攻击者知道,一家公司用来将他们拒之门外的人才或第三方资源已经捉短见。他们正在加大力度,因为他们知道,他们很有可能找到一个目标,而这个目标可能没有人才或资源来构建可靠的安全解决方案。”

统计数据
就目前的网络安全状况而言,究竟在多大程度上造成了安全人才的短缺,这是一个难以确定的指标。还有许多其他指标,比如财务、感知损害或责任、错误的代码,以及大多数非安全技术部门对威胁情况的普遍理解不足。

然而,所有载体的攻击次数仍然继续增加,这是一个指标,即攻击营并不像他们正在失去游戏。正如Kocher观察到的那样,“我们没有看到攻击者放弃试图闯入并获得合法的工作。”

例如,采用分布式拒绝服务(DDOS)攻击。2015年第一季度,与2014年的同一季度相比,DDOS攻击的数量增加了一倍多,从2014年第四季度顺序增长35%。

嗅闻ack
嗅出网络攻击。礼貌BusinessComputingWorld.co.uk。

如果只是袭击次数的增加,那就已经够糟糕的了。然而,攻击特征也在改变。2014年,DDoS攻击多为短时间、高带宽攻击。2015年第一季度,典型的DDoS攻击时间小于10gbps,持续时间也长得多,大多数情况下超过24小时。

大多数攻击都属于以下几类:本地文件包含(LFI)、PHP注入(phi)、SQL注入(SQLi)、命令注入(CMDi)、OGNL Java注入(JAVAi)、远程文件包含(RFI)和恶意文件上传(MFU)。总共有超过1.75亿次的尝试[见文献1]。第一季度还发生了8次大型攻击,每次攻击都超过100gbps。这样大规模的攻击在一年前几乎不存在。

其他类型的攻击也有类似的统计数据。数量有所增加,但袭击的构成正在发生变化。这是一个相当令人不安的指标,很多安全架构师都在关注它,也就是说,可能会出现一些他们没有准备好的完全不同的东西。

硬件发生了什么
在硬件方面有加密芯片。这些提供了最强硬的解决方案。建立起来是安全的代码和IP,安全软件堆栈。最后有系统在系统上运行的软件。所有这些,当明智地应用时,融入最佳的品种网络安全。

嵌入式系统也获得了发展,并且这一领域正在加速发展。原因之一是,针对金融、交通、电信、零售和身份应用等平台的攻击持续不断。涉及的资金数额是惊人的,所以这些是在今天的优先安全金字塔的顶部,其中一些在下面详细说明。

ABI Research公司网络安全业务的资深行业分析师Monolina Sen表示:“嵌入式安全元素(eSE)、可信平台模块(TPM)、可信执行环境(TEE)、主机卡仿真(HCE)和嵌入式SIM都是新兴技术,它们将在未来的安全领域得到更多的应用。”

其中,TEE是更令人兴奋的。“是什么让T恤如此吸引人,它提供了一种提高移动设备的安全性并在运行标准操作系统的设备上执行敏感操作,”注意事项SEM。“我们认为,越来越多的处理器将支持TEE,从而提供集成的基于硬件的安全性的设备制造商。”

手臂例如,该公司已经将其TrustZone架构集成到每一个Cortex-A处理器中,该公司目前正在推销从智能手机、平板电脑到定制服务器的一切产品。

另一种获得势头的技术是令牌化。“虽然EMV对销售点终端的卡卡交易有效,但对于在线支付和其他卡不当前交易并不是很有用的,”SEN说

目前,世界上最大的22家最大的银行在船上,也有压力在美国采用。代币在物理销售点使用主机卡仿真提供了较少的移动联系付款的保护。它们特别好,因为来自捕获数据的点的信用和借记卡的数据加密。这意味着加密数据是离开POS站点的全部。它保持加密,直到它到达付款处理点。

“近距离和远程支付类型以及越来越多的愿望用令牌替换支付卡或银行账号,以便在销售点,在线或移动支付正在推动这种技术进入主流,”仍在继续。

在硬件安全领域还有许多其他工作正在进行。在前面的文章中已经讨论了很多内容,因此在这里重新散列会造成冗余和空间消耗。(进一步阅读,请参阅相关文章12,3.)。

即将到来的是什么
在确保网络未来安全方面发挥重要作用的一个更重要的途径是投入大量资源来识别黑客本身——键盘背后的思想。因此,我们期待看到针对袭击者和威胁的新进展。

在各个层面上,也会有很多关注来防止违规。这涉及到很多因素。2014年和2015年初发生的引人注目的黑客入侵事件让它们成为了新的优先事项,因为事实证明,几乎没有什么是站得住脚的。人们可以辩称,此类入侵部分或全部是由于松懈的网络安全造成的,但无论如何,这是一个警钟。

在另一个频道上,基于互联网的技术将沉浸在社会结构中。在这些技术融合在一起,在应用程序,网络和服务之间将是最脆弱的。

中间运动员也会看到增加的努力。将看到新版本的“ClickJacking”和“浇水孔”的目标攻击。而且,令人恐惧的是,黑暗的网络将成为网络犯罪的存储库,这将比以往任何时候都更困难。

图3.
未来的全球网络。由nextbigwhat.com。

此外,诸如量子计算,融合移动技术(移动计算和无线网络),自组织网络,云计算和其他技术的新兴技术将融入一个无缝的世界,这些世界将在物理和虚拟世界之间没有区别。所有这一切都将对加密行业的新挑战展示。

我们会生存下去吗?
要跟上所有这些未来颠覆性技术的步伐,就需要安全思维的新范式。它是在硬件、软件或两者的结合中实现的并不重要。重要的是世界在朝着它前进。

这些新范式包括语义集成和动态网络。还有其他的,但这两个是最有趣的。

语义集成(SI)是为网络安全的未来制作的。它已经存在了几年,但现在开始被视为下一代平台的解决方案。该技术支持水平和垂直尺寸的网络架构基础架构的所有层,这将是全球网络的未来架构。在顶级语义集成上建立网络安全应用方向的发展,这将统一许多网络安全向量。

其声称的名声是它可以设计用于在所有架构中无缝地工作 - 应用程序,中间件和数据,这是设计安全性的巨大福利。它仍在SI游戏中仍在早期,但理论是声音,一旦一些应用程序开发开始,它应该抓住。

动态网络是管理安全性的另一种有前途的解决方案。网络正在智能地发展。HetNets、网络功能虚拟化(NFV)和软件定义网络(SDN)等平台正在模糊网络节点或参与者与网络本身之间的界限。最终,从高层次的角度来看,只有一个虚拟的全球网络。

网络域不再是可以单独定义和安全的明确定义企业网络。因此,随着心态接近网络安全是一种故障的算法。网络空间现在包含任何跨依赖性的所有其他域。实质上,它是多维网络网络。

网络攻击跨该网络将不同。下一代网络模式将是不对称和异步的,这意味着它们也是多维的。这些网络攻击能够跨越时间,地理区域和多样性的目标。它们将由攻击技术的多样性组成,旨在实现一组目标。处理这些的唯一方法是通过实施动态网络并使用网络安全的新范式保护它们。


这将是一个勇敢的新世界。本文中讨论的一些是非常高的水平,只有刷新。即将到来的进入更多的深入讨论。而且,所有这一切都将真正摇动仍然在空中。然而,硬件和软件的技术演化都是可预测的开发路径。这么多这个未来的技术及其实施是对什么的推断,因此是合理的。

有一件事是公平的:安全必须赶上技术或会有大规模的辐射。芯片工业处于切削刃,并将与硬件解决方案做好准备。软件行业也将在那里。障碍将是安全性不是选项的验收。缺乏安全的成本远远大于实施它的成本。无论成本如何,供应链都必须以安全为单位的载体。

参考文献1:Akamai 2015年第一季度互联网安全状况报告。



发表评论


(注意:此名称将公开显示)