ENGLISH 4006-WOSIGN
首页>安全资讯>转载:2016上半年网络安全威胁分析报告

转载:2016上半年网络安全威胁分析报告

1、无处不在的勒索软件

勒索软件是一种恶意软件,感染后它会阻止你访问文件系统,以此来要挟你支付赎金。而勒索软件的类型大概有两种:

(1)加密型勒索软件,它会运用先进的加密算法加密你的文件系统,如果你想要获得解密密钥,你就需要支付相应的金钱。

(2)锁定型勒索软件,它会锁定你的操作系统,这样你根本没法访问任何应用程序或者文件,也就是说不付钱压根就没法访问系统了。

这类的软件通常要求使用比特币支付,要是你在一定的时间内没有进行支付,它会自动将赎金加倍。而且在你支付之前,这个循环会无限滚雪球下去。

下面是一个简单的勒索软件感染链:

勒索软件感染链

虽然这并不是一个新兴威胁,但却是影响力最大的威胁。这种攻击的强度和频率会持续增加,而它给受害者造成的损失也会一路狂飙。

下面是部分数据统计:

“勒索软件受害者的数量在上升,在2015年4月到2016年3月之间有大概718536位受害者,这相当于2014-2015年同期的5.5倍。”

(参考来源:ITSecurityGuru)

当然,我们不可能知道勒索软件攻击的准确数量,或者列出所有勒索软件的类型,因为大多数攻击是没有被报道出来的。但我们所知道的是,勒索软件的创造者们正向着更大的目标前进,比如开始攻击企业和公共机构组织。

没错,他们这样做当然是为了钱。只有从普通家庭用户转移到更高的目标,才能挣到更多的钱。勒索软件的创造者们对待这些软件,就像对待正常的产品一样用心。

医疗行业是勒索软件在世界范围内最投入的行业,这占了第二季度勒索软件统计总量的88%(参考来源:DarkReading)。

今年医疗行业的首次大型攻击,是那场Hollywood Presbyterian医疗中心的案件。他们的系统在感染了勒索软件后,不得不在工作中暂时使用普通纸张进行办公。在十天后,医院实在没办法还是支付了赎金,这才拿回了对系统和病人数据库的访问权。

当然,这只是许多次攻击的其中一场。我们建议您平时备份好所有的重要数据,使用云服务储存您的重要文件。这样,即使您的系统感染了勒索软件,也不会失去太多有价值的数据。

扩展阅读:

什么是勒索软件,15个简单步奏保护您系统的安全

为什么医院是勒索软件的理想目标

Motherboard:勒索软件一年获利150万美元

 

2、大型数据泄露

今年春天是大型数据泄露事件的多发期,LinkedIn, MySpace, Tumblr几家大公司的数据,大约有5亿已经在暗网兜售。

LinkedIn是第一个被黑的社交网络,这件事发生在2012年,当时泄露了大约有650万账户(官方说法)。然而泄露的库在暗网出售时,真实数目至少是上面数字的25倍(1.67亿)。

更多在售的数据:

·MySpace:3.6亿账户

·Tumblr:6500万账户

·Fling(一个约会型社交网络):4000万账户

当然,黑客也会利用账户密码去其他大型网站撞库,从而获得更多的受益,毕竟不少普通人采用的是相同的账户密码的。

即使是Facebook老总扎克伯格也没能幸免,他LinkedIn的密码与其他账户相同,黑客利用密码进入了他的Twitter、interest和Instagram账户。

当然,还有Katy Perry、Drake、ana del Rey等社会名流的账户也被黑了。

此外,Twitter的CEO Jack Dorsey、 Google的CEO undar Pichai、Oculus VR的联合创始人Brendan Iribe,他们的Twitter账户也惨遭黑手。

所以,在某个在线服务网站沦陷后,你需要尽快更改你的密码,并确保口令足够强劲且未重复。

同时,社交网络不是唯一的突破口,下面是世界上最大的数据泄露事件统计图:

数据泄露事件统计图

今年我们也经历了以下的大事件:

·菲律宾选举记录数据泄露

·美国大选选民数据泄露

·土耳其4900万多公民信息泄露

·美国政府宣布自2009年来,约1.21亿人的健康信息被黑客窃取

这里还有一些来自最新的Verizon数据泄露行业报告的统计:

·在93%的攻击里,黑客花费很少的时间就攻陷了系统;

·五个受害者里有四个人,会在事件发生后很久才意识到被攻击了;

·在7%案例中,可能数据泄露后一年之内都不会被发现;

·63%的数据泄露可能是由于弱口令;

这里有一些资源,可以帮助你做好安全工作:

·第一步:如同安全专家一样,学习如何管理你的认证信息;

·第二步:尽可能使用双因子认证;

·第三步:避免曾经泄露的数据带来的二次危害;

Motherboard也给出了图表,向大家展示越来越多的数据泄露事件:

数据泄露事件

 

3、身份认证盗窃依然严重

当黑客窃取了你的数据,他们会利用它做一些金融方面的恶意操作。比如,他们会开设新的银行账户,以你的名义取出贷款,毁掉信用卡和信用评级等等。

除了可能给你造成经济损失外,还会导致其他额外的后果。比如有一天,你可能莫名其妙就帮人背了一系列犯罪的指控。

大部分的身份认证盗窃的受害者,其实并不知道当初发生了什么。

身份认证

最近的统计结果表明:

·大约有70%的受害者,其实并不知道黑客是如何获取他们的信息的

·92%的受害者甚至不知道被窃取了个人信息

(来源:IdentityForce)

这些是由于黑客们大多都能很耐心地潜伏等待,直到获取合适信息的时机。

当然,你可能会产生一种错觉,觉得这些身份盗窃事件不会影响到你,但其实它是最严重的欺诈行为之一。

这里还有更令人头疼的统计数据:

“在2015年,身份盗窃成为了第二热门的欺诈类型,比之2014年增加了47%以上,而在2016年这个数字应该还会上升。”

(参考来源:联邦贸易委员会的年度报告)。

在美国,每年大概有1200万左右的身份欺诈受害者,总经济损失约263.5亿美元

(参考来源:StatisticBrain)。

你可以从我们的安全指导中,找出确保自身信息安全的方法:简单20步避免身份信息失窃

 

4、移动安全

大家可能知道,今年媒体的热门话题之一,便是FBI和苹果公司的解锁撕逼大战。

让我们回顾下这件事:

FBI想要获得San Bernardino射击案件中某嫌疑人的iphone控制权,所以联邦法官要求苹果公司提供工具帮助他们解锁手机,但苹果拒绝了。

在苹果公司的一封公开信中,库克表示,他们未曾在系统中插入后门,只因为害怕这会成为不法之徒的利器。

当然,FBI最终发现了另一种方法来突破该手机,这个案件后来被驳回了。

当然,我这里不会过分强调这些东西,相信大家都很清楚智能手机安全的重要性。

手机这种便携设备占用了我们大部分时间,而且正在变得越来越强大,我们也越来越依赖它们。

移动安全

在未来,我们希望看到更多类似于FBI和苹果的安全讨论大战,然而我们需要思考:

·我们应该怎样在隐私和安全之间画一条线?

·我们应该如何实现隐私安全之间的平衡?

·如果黑客打算进入我们加密的系统,访问我们的隐私数据,我们应该如何应对?

那么,如何保持我们的智能手机安全呢?这里是智能手机安全指南:

最简单的保持手机和数据安全的方式

 

5、物联网

物联网的威胁来得比以前任何时候都真切,这不仅是关乎到我们的隐私,也关系到我们的物理安全。

物联网

想象一下这样的情形:

·窃贼正在想法子从你家里打开一个突破口,而你家的智能家居系统其实并不符合网络安全标准

·你在开车时,可能会失去车子的控制然后出现意外,因为智能汽车也会被黑

·国家的发电厂也可能受到网络攻击

·恐怖分子可能会控制你所在的火车

不幸的是,这些事件都是可能发生的,而且它们已经影响到了我们的生活。如果真的会因此发生一场大灾难,也只是时间问题。

现在产品供应商不得不寻求安全性和数据隐私之间的完美平衡,尽管现在技术已经有了进步,我们也无法想象几年前物联网安全的窘况。

相关阅读:

物联网会导致有史以来最大的网络灾害

欢迎来到隐私地狱:物联网

 

6、增强现实游戏(AR)

现如今口袋妖怪(Pokemon Go)已经成为世界性的流行宠儿,我们也开始意识到增强现实游戏会给我们带来的新兴威胁。

增强现实游戏

我们当前的技术是先进而让人欣慰的,但游戏的创造者和国家当局必须解决新出现的安全问题。

首先,是关于物理安全方面的问题。我们肯定都听过那些受伤、抢劫和自杀的案例。他们太沉迷于增强现实这块儿,却不太关注真实的世界。

还有就是在真实世界中,有关网络安全和隐私问题。大家想想,如果咱们都玩这类游戏,我们智能手机中的图像和音频、定位跟踪和其他信息肯定会因此泄露。

如果这些数据最终落入了不法之徒的手中会怎么样?

拓展阅读:

新兴增强现实游戏带来的威胁

美国中情局、海外国家和数据安全专家对于Pokemon Go的风险分析

增强现实和网络安全的未来

 

结论

虽然可能有些多余,但是我必须重复一下上面所述的要点,保证大家有自我安全保护的意识:

·了解网络安全的新闻

·对于新的技术,大家可以尝试,但也需要知道它存在的潜在威胁

·任何时候都需要设身处地,想象可能发生的事和应对方法

·采取所有可能的措施,减少网络攻击带来的危害

·不要任何威胁让你措手不及

文章来源:FreeBuf,本文地址:http://www.wosign.com/news/2016SEC.htm