InformationWeek文章Top 10 Security Challenges For 2010列舉了2010年將面臨的十大安全挑戰,并逐一給出了反方觀點。
1. 垃圾郵件�、網絡詐騙轉向社會化網絡和實時信息
網
絡犯罪分子會擴大對社會化網絡站點的攻擊�����,如Facebook,MySpace和LinkedIn���,以及實時社會化網站,如Twitter��。通過
Google和Bing搜索引擎�,Google
Wave集成的實時功能,騙子接觸潛在受害者的機會越來越多���,而要辨別一個惡意鏈接或文件則越來越不容易。
反方觀點:對于不太使用社會化網絡的人來說��,問題就不嚴重���,速度可能是Google最珍視的目標�����,但也增加了危險的速度����。
2. 云中的犯罪
安
全廠家AVG�,M86和RSA預測犯罪人員會攻擊云服務,并利用它們來指揮和控制攻擊,網絡犯罪工具箱已被廣泛使用��,對于網絡犯罪人員來說��,轉移到云服務
只是一小步��,IBM ISS
X-Force研究人員預計會有更多的攻擊作為一種服務出現,當亞馬遜AWS被用于托管一個惡意命令和控制服務器時,時很難做出努力去解決的。
RSA產品管理兼戰略副總裁Sam Curry說:2010年����,如何緩解云服務風險將會備受關注。
反方觀點:雖然網絡犯罪人員已經嘗試使用如Google的App Engine來控制攻擊,但云服務提供商一般都會進行監督,更不用說它需要錢購買才能使用�,而那些不安全的網站才是托管惡意軟件的理想場所��,又何必要冒充付費客戶,去破壞其它人的機器呢。
3. 劫持信任網站
攻擊技術的發展已經威脅到受信任的網站�����,如果成功在受信任網站上加載惡意軟件�,危害面將會非常大,SQL注入技術已經被證明是非常成功的攻擊技術,對于犯罪份子�,通過受信任的第三方來傳播惡意軟件顯得更有實際意義�����,成功率會更高。
反方觀點:隨裁員浪潮和.com泡沫的破裂,將會涌現大量的博客�,也沒有那么多人去經營網站了���,犯罪份子有機可乘的目標不會太多����,加之人們開始轉向移動電話,Tablet和Chrome OS上網本,這些設備將會減少用戶出錯的機會,因此安全也將會得到改善�。
4. 蘋果電腦(終于)也受到大量攻擊了
安全公司一直對Mac電腦垂涎欲滴�����,Websense公司表示,2010年我們將看到對Mac OS X中Safari的攻擊,黑客將會更加關注Mac平臺��。
Symantec也同樣擔心��,未得到保護的Mac用戶可以購買其殺毒軟件���,每年只需支付30美元���,其它安全公司如Sophos也持同樣的看法。Zscaler公司認為,蘋果將會投入更多的資金保護Mac的安全,使其設備具有更好的抗攻擊能力�。
反方觀點:運行安全軟件的Mac用戶只是為了法規遵從需要��,除非Windows市場份額下降80%,或Mac市場份額下降20%,否則是不會改變的��,如果有一個漏洞����,對Mac影響非常廣,那它也可能是Adobe Flash漏洞引起的����。
5. 更多的搜索結果含毒
利用人們對搜索引擎的信任���,網絡犯罪份子將會在信任網站上投入更多精力�����,他們會使用搜索引擎和廣告感染未受保護的網站,AVG���,Websense和M86預計黑客對搜索結果的破壞將會加劇,同時會利用熱點新聞�,重大節日搜索結果進行惡意軟件的傳播����。
也許2010年將會是網絡犯罪人員創建假新聞流行的一年��,導致大量的網站感染惡意軟件�,最終形成一個大的惡意網站鏈���。
反方觀點:Google和微軟將繼續合作����,保證搜索和廣告的安全��,它們充分認識到不能失去用戶的信任��,預計將會大張旗鼓地打擊流氓廣告網絡。
6. 越來越多的僵尸程序
僵尸網絡將給犯罪份子帶來更多的收入來源�����,對于安全廠商��,它們認為僵尸程序將會變得更為復雜��,Symantec聲稱僵尸網絡已經成為網絡犯罪份子發起攻擊的基礎。
Websense 的CTO Dan Hubbard說:也有一些關于僵尸程序的好消息��,那就是在安全社區和執法方面加強了交流����,相對過去,有更多的僵尸網絡被阻止和瓦解����。
但由于僵尸網絡能給犯罪份子帶來現金收入�����,他預計更多的犯罪團伙會選擇更容易構建僵尸網絡的途徑:例如劫持一個由其它犯罪團伙操縱的僵尸網絡����,這種沖突會限制僵尸網絡的增長����。
反方觀點:僵尸網絡不僅要防衛安全專家,還要防衛其它僵尸網絡操縱者�����,Websense公司認為僵尸網絡團伙之間會發生沖突�����,類似的已經出現過Bredolab僵尸網絡關閉Zeus/Zbot感染的計算機。
7. 使用盜版風險增大
2009年12月初�,微軟做了許多努力減少軟件盜版�����,但它接收到越來越多的正版用戶的投訴,如果微軟不處理,這些用戶就會轉而使用盜版Windows�����。
看起來盜版軟件越來越容易受到惡意軟件的感染���,IBM互聯網安全系統公司X-Force的研究人員預計使用盜版軟件將會更容易遭受惡意軟件的感染���。
反方觀點:難道所有桌面軟件用戶都搬到云中就安全了嗎�����?Google Apps還不是有偽造的問題��,修改DNS host文件就可以實現。
8. 移動安全成為現實問題
Websense的Hubbard說蘋果對App Store的封閉措施和Google對Android Market的開放措施形成了鮮明的對比�,在安全領域我們也將看到雙方有趣的故事發生���。
反方觀點:IBM
ISS
X-Force的研究人員相信移動電話攻擊仍然很少��,在移動電話上基于網絡的攻擊可能也相對罕見���,但物理攻擊將會上升:搶奪和抓取攻擊比網絡攻擊相對要容
易得多�,也更容易獲得能夠出賣的數據和物品。另外����,由于失業率已經超過了10%����,私自收集電話號碼可能會成為一個迅速發展的行業����。
9. 內部人員監守自盜漸成問題
正在進行的網絡安全改進將會促使有組織的犯罪團伙開始思考未來的打算,或許明年在某個地方����,某個能夠訪問大型組織數據的人將會為網絡犯罪團伙工作�����。身份盜竊資源中心預計,不遵守工作場所安全協議的個案將會上升。
反方觀點:出現這種事情�����,組織一般會掩蓋事情真相��,至少會掩蓋到2011年�,這個預測在明年被證明是錯誤的也很困難��。
10. 點擊劫持(Clickjacking)卷土重來
Zscaler
相信點擊劫持漏洞 (一種通過修改Web應用程序用戶界面欺騙用戶的方法�,如使用一個隱藏按鈕) 會使攻擊更加頻繁,WhiteHat
安全公司的創始人和CTO Jeremiah Grossman,SecTheory公司的創始人和CTORobert "RSnake"
Hansen披露了2008年10月的技術信息�����,雖然已經通過努力減輕了點擊劫持風險��,Zscaler說這項技術仍然有效,特別是在社交工程攻擊中��。
反方觀點:當你可以啟動一個窗口�����,顯示一個虛假的安全掃描���,何必讓一無所知的用戶為偽造的安全軟件付費呢�?無知的確是致命的弱點����,是很難用補丁修補的。
-- 
學海無涯