趋势三:恶意软件数量的大幅度上升,分散应该部署在高级安全问题的IT资源
恶意软件的数量呈现出大幅度增长,并导致企业IT人员在运维各方面的精力、时间以及资源分配都放在应对大量恶意软件上。同时,恶意软件不仅仅是数量大,还出现了新的、更高级的恶意软件。恶意软件新变种逐年增加,2014年产生了3.17亿个,较2013年的2.52亿个增长了26%,这意味着,在2014年每天出现约100万种新型威胁。
罗少辉指出,企业需要不停地定义安全相关的政策并调节IT系统,以确保安全性和可用性。攻击数量不断增加的同时,攻击手法也在不停创新,黑客也在采取更高级的手段。他们可以隐藏恶意程序,测试受害者系统是否有互联网接入功能,是否会通过下载方式下载恶意程序。
电子邮件的恶意软件不仅仅局限于在邮件的附件中夹杂恶意软件,有很多是通过在邮件当中放URL隐藏恶意代码。2014年的数据显示,用URL方式的占比是下降的,从25%下降到12%。攻击者并不需要URL隐藏,在附件中放恶意软件仍然是主流方式。
从整体趋势上来看,企业IT人员会用大量的时间和精力来应对常规威胁,对于新出现的、可能危害性更重的高级安全问题,企业没有资源进行防护和防御。
趋势四:数字勒索处于上升趋势
在2014年,中国也出现了勒索软件,它们会将用户的硬盘和里面的内容锁定,并要求用户通过付赎金来解锁。
2014年,勒索软件的数量上升了113%,这里指的是针对个人或企业电脑和手机内的应用和数据的劫持和绑架。密码勒索软件急剧增长,增长了45倍。密码勒索软件的攻击策略并不会采取传统勒索软件那样伪装成执法部门对盗取内容收取罚金的方式,而是更加恶劣地劫持受害者的文件、照片和其他数字内容,毫不掩饰他们的攻击目的。
趋势五:利用消费者对朋友所分享内容的信任,网络犯罪分子实施社交网络和移动诈骗
在很多情况下,黑客不会主动吸引用户下载,而是通过信任的朋友和手动的方式传播恶意软件。2014年,攻击者利用人们对朋友所分享内容的信任,70%的社交媒体骗局都通过用户手动分享而传播。网络犯罪分子甚至不需要做一个加密程序去勒索,通过社交平台,他们把恶意软件和恶意代码传播了出去。电子邮件仍是网络犯罪分子的重要攻击途径,但他们继续针对移动设备和社交网络尝试新的攻击手段。
趋势六:物联网安全是一个持续的问题
无论用户是否将智能手机看做是物联网的一部分,智能设备已经是物联网风险的组成部分,因为移动应用通常就是物联网的用户界面。
用户使用同样的密码登陆了多少应用和网站?四分之一的最终用户承认在接受应用条款时,并不知道他们允许开放了哪些访问授权;而68%的用户愿意用隐私交换一个免费应用。
罗少辉指出,物联网安全是非常值得关注的领域,因为,在智能设备和应用中包含了用户的大量个人隐私数据。应用开发商会如何利用这些数据,是否会分享给其他第三方,或者在传输中是否有进行加密,这些都值得思考。
马蔚彦总结道,“作为专注安全领域的厂商,赛门铁克希望通过最新的互联网威胁趋势信息,向广大的企业和个人用户来进行安全动态分享,帮助企业和个人用户增强安全防护意识。赛门铁克向企业提供从端点到网关到数据中心的整体解决方案。同时,赛门铁克将很大部分的资源投放在移动应用端点解决方案上。在智能手机方面,赛门铁克提出了自己的解决方案来应对欺诈以及物联网所造成的风险。其次,赛门铁克已经发布了一些针对物联网的产品,例如针对POS机,ATM机等设备,在这方面赛门铁克还会进行不断更新,适用更广泛的物联网设备。”
基于以上六大趋势,马蔚彦呼吁,企业和消费者需要采取更多保护自己的应对方法。
对于企业:
不要毫无准备:采用高级威胁智能解决方案,帮助用户及时发现入侵信号并做出快速响应。
保持强大的安全态势:部署多层端点安全防护、网络安全防护、加密、强大有效身份的验证和采取拥有高信誉的技术。与安全托管服务提供商合作,增强 IT 团队的防范能力。
为最坏的情况做准备:事件管理可确保用户的安全框架得到优化,并具备可测量和可重复性,而且还可帮助用户吸取教训以改善安全态势。考虑与第三方专家开展合作,从而强化危机管理。
提供长期且持续的教育和培训:创建指导方针及公司策略及程序,以保护个人和公司设备上的敏感数据。定期评估内部调查团队,进行实践演练,确保用户拥有有效对抗网络威胁的必要技能。
对于消费者:
使用安全性高的密码:无论如何强调该建议都不为过。为账户和设备设置强大而独特的密码,定期进行更新,建议每三个月进行一次。切勿将相同密码用于多个账户。
谨慎使用社交媒体:切勿点击来源不明的网络链接,尤其是来自陌生人的电子邮件或社交媒体信息。诈骗者知道人们往往会点击来自朋友的链接,这会让他们侵入相关账户,并向账户拥有者的联系人发送恶意链接。
了解自己所分享的权限:在安装家庭路由器、恒温器等网络连接设备或下载新应用时,认真审核权限许可,了解自己将会分享哪些数据。在不需要时禁用远程访问功能。