2010年十大IT安全趨勢：駭客步入雲端

2010年十大IT安全趨勢：駭客步入雲端

1、社交網站面臨更多安全問題

毫無疑問，2009年是社交網站迄今為止受到攻擊最多的一年。但是與2010年相比，這些攻擊可能根本不值一提。Koobface蠕蟲等安全問題對社交網站使用者形成了很大的困擾，但這些惡意軟體仍然是首先感染使用者的電腦，然後再竊取資訊。但現在，安全專家則認為，惡意軟體作者將進一步拓展攻擊範圍，把惡意軟體植入到社交網站應用內部。有了這種病毒，無論使用者是否訪問社交網站，駭客都能毫無限制地竊取使用者的資料和登錄密碼。

網路安全廠商安全研究副總裁邁克爾•沙頓(Michael Sutton)說：“我們正在目睹一個網路平台的誕生。Facebook等社交網站已經突破了原有的界限，不僅為使用者提供動態的應用，以及使用者原創內容，他們還邀請使用者提供功能，幾乎任何人都可以建立應用。攻擊者將會利用這一點，將惡意應用部署到社交網站中，而社交網站則會疲於應付。”

與此同時，駭客將創造更多新穎的方式來攻擊其他社交網站。例如，IBM X-Force安全團隊預計，Twitter將成為惡意軟體的傳播引擎，LinkedIn則會被用於攻擊高端目標使用者。

2、駭客步入“雲端”

毋庸置疑，已經開始有越來越多的IT功能透過雲計算來提供，網路犯罪也順應了這一趨勢。安全廠商Fortinet預計，網路犯罪借鑒“服務即安全”(security-as-a-service)的理念，打造“服務即網路犯罪”(cybercrime-as-a-service)這一特殊品牌。網路犯罪也將效仿企業的做法使用基於雲計算的工具，以便更有效率地部署遠程攻擊，甚至藉此大幅拓展攻擊範圍。

沙頓說：“雲計算在2009年取得了長足的發展，但我們也必須意識到，市場的快速發展會犧牲一定的安全性。攻擊者今後將把更多的時間用於挖掘雲計算服務提供商的API(應用編程介面)漏洞。”

安全廠商SonicWall預計，隨着經濟危機的壓力持續增加，企業將進一步削減成本，並外包基本的IT職能，一些傳統的增值服務提供商將紛紛部署托管和雲計算服務，而這些企業也不可避免地需要加強對雲計算的安全性。

3、蘋果Mac遭受更多攻擊

經濟危機非但沒有傷害到蘋果的利益，反而使其業績進一步提升。但安全專家表示，在市場份額提升的同時，Mac也要面臨更多的駭客攻擊。過去幾年間，蘋果的PC市場份額已經從10%增長到12%，而且沒有放緩的跡象。與此同時，在售價高於1000美元的筆記型電腦中，蘋果更是佔據了90%的份額，但針對iPhone和MacBook的攻擊也逐步引發外界關注。安全專家預計，Mac有可能會成為下一個最易受攻擊的目標。盡管多數攻擊都瞄準Windows，但2010年將會出現更多針對Mac OS X的攻擊。

安全廠商Websense安全研究高級經理帕特裡克•盧納德(Patrick Runald)說：“Mac OS X中沒有任何的惡意軟體防範機制。”他表示，在CanSecWest駭客大賽上，Mac已經連續兩年成為第一個被攻破的系統。

4、Windows 7引發更多安全問題

相對於XP而言，Windows 7的確更加安全，也的確可以提升整體的安全水平。但正因如此，才使得那些仍然使用XP的使用者更容易受到攻擊。駭客們將會重點攻擊那些仍然使用XP的使用者。與此同時，隨着Windows 7的市場份額增長，駭客也將對其發動更多的攻擊。

安全廠商ESET技術教育總監蘭迪•阿卜拉姆斯(Randy Abrams)說：“除了上網本外，多數搭配XP的電腦都開始老化，並且逐步被預裝Windows 7的電腦所取代。對多數駭客而言，Windows 7較高的安全性能意味着，欺騙使用者比尋找系統安全漏洞更為可行。”

5、搜尋引擎成為攻擊傳播管道

駭客會不斷尋找新的方法借助釣魚網站吸引使用者上鈎，利用搜尋引擎最佳化技術展開攻擊便是其中的一種方法。Google和Bing對實時搜尋的支持也將吸引駭客進一步提升相關技術。作為一種攻擊管道，搜尋引擎是非常理想的選擇，因為使用者通常都非常信任搜尋引擎，對於排在前幾位的搜尋結果更是沒有任何懷疑，這就給了駭客可乘之機，從而對使用者發動攻擊。

6、“綁架”資料

由於頻繁的自然災害和流感等流行病的爆發，以及新聞媒體的及時報道，網路犯罪分子也會借助使用者的恐慌來騙取錢財、個人資訊並安裝惡意軟體。駭客此前就曾經利用過類似的手段，例如，利用虛假的“系統掃描”圖像誘騙使用者購買虛假的殺毒軟體。如今，他們則有可能首先竊取使用者的個人資料，比如智慧財產權或病歷，然後再仿效綁架的方式威脅使用者支付贖金，否則便會曝光或刪除這些資料。

7、攻擊Android

iPhone的流行使之成為駭客2009年的一大攻擊目標，2010年仍會繼續這一趨勢。然而，隨着售價更低的Android手機的崛起，駭客也將擁有更多的攻擊目標。與iPhone不同，Android採用開源模式，因此更容易受到攻擊。安全廠商F-Secure認為，駭客未來1年內有可能針對Android開展概念證明(proof-of-concept)攻擊，或者利用Android的大規模“零日”漏洞展開攻擊。隨着Google自主品牌手機的推出，Android將越發受到駭客的關注。

卡巴斯基實驗室惡意軟體高級研究員羅伊爾•舒文伯格(Roel Schouwenberg)說：“Android手機的日益流行，加之缺乏對第三方應用安全性的有效控制，將導致諸多高調惡意軟體的出現。”

整體而言，安全專家認為，隨着使用者將智能手機作為迷你PC來處理銀行交易、游戲、社交網站和其他的業務，駭客將越發關注這一平台。

8、傳統攻擊方式再度興起

這似乎是一個輪迴，安全專家預計，2010年將有很多舊的攻擊方式重新開始流行。IBM X-Force團隊預計，大規模的蠕蟲攻擊將再度興起，與此同時，DDoS(分散式拒絶服務攻擊)也將重新成為主流攻擊方式。木馬仍將佔據主要地位。

另外，Websense的盧納德預計，電子郵件攻擊也有重新抬頭之勢。他表示，研究人員已經發現，透過PDF等電子郵件附件發動的攻擊開始增加。他說：“惡意郵件攻擊在2005年至2008年期間已經銷聲匿跡。而現在不知出於何種原因，這種攻擊方式又再度出現。”

9、Google Wave引發關注

只要網路攻擊仍然存在，網路服務就將受到駭客的關注，Google Wave就是其中之一。安全專家預計，明年至少會發生一次針對Google Wave的大規模攻擊。由於將電子郵件、社交網站、維基百科和即時通信整合到一起，使得Google Wave成為駭客竊取大量資料的完美一站式平台。

然而，這些攻擊本身會非常相似。卡巴斯基實驗室的舒文伯格說，資料竊取式攻擊將遵循標準模式，首先散佈垃圾資訊，之後開展釣魚攻擊，然後再透過漏洞攻擊和惡意軟體來達到目的。

10、網路犯罪分子技能得以提升

安全專家認為，地下網路犯罪集團短期內不會消失，這些犯罪分子2010年還會繼續提升技能。安全專家預計，今後幾年內，網路犯罪集團還有望進一步增多，部分原因在於全球經濟衰退導致的失業率上升。

與複雜的企業結構類似，網路犯罪分子還會繼續構建等級制度並開展專業化分工。因此，今後將産生大量新穎的攻擊形式，例如攻擊電網等基礎設施、透過DDoS攻擊金融網站，除此之外，還將出現一些政治目的的DDoS攻擊。