2021 关于未来安全的几点规划

1.0day/Nday漏洞攻击持续增加 – 勒索攻击、后门木马植入变本加厉

疫情防控期间可以说是中国数字化时代最大规模的一次集体性远程办公，不仅造就了个人办公和业务使用的突发性变化，更带来了大量的网络攻击。瑞数信息安全专家指出远程办公令漏洞曝光的数量显著上涨，特别是借助自动化工具，网络罪犯可以在短时间内以更高效、更隐蔽的方式对网站进行漏洞扫描和探测，尤其是对于0day/Nday漏洞的全网探测，将会更为频繁和高效，首次探测高峰已经由POC发布后一周，提前到POC发布之前。利用这些漏洞，在过去一年大行其道的勒索攻击很可能在2021年变本加厉，企业除了要面临网站数据无法使用的困境，还要做好被迫支付数以千万计的赎金、遭遇经济和名誉双重打击的准备;同时，植入后门或木马对于黑客来说也将更为容易，但感染大规模扩散后产生的指数级安全风险和后续损失将无法估计，也更难以应对。

2.“企业上云”并不代表“安全上云”- 云账号安全岌岌可危

尽管由于疫情影响，企业上云在2020年展现出无与伦比的增速，但云的安全性仍然是一个关键问题。伴随企业上云，对外云服务暴露的攻击面持续增多，漏洞曝光利用、账号盗取与窃密等各种攻击能够轻易达成。同时，疫情也给了黑客更多时间和精力挖掘漏洞或者开发更多针对性攻击工具的机会，诸如Openbullet等针对密码猜测和撞库的通用化工具已经被开发并应用于Azure cloud等云服务平台，针对账号的攻击门槛被进一步降低。

3.线上交易屡创新高 – 业务欺诈风险飙升

2020年，新冠病毒大流行极大地加速了企业业务向线上虚拟化转移的步伐，直播带货等新模式的兴起更使得线上交易异常活跃。然而，在限量秒杀、百亿补贴、消费券发放等各类营销活动层出不穷，各大平台业绩屡创新高的同时，业务欺诈风险也随之飙升。薅羊毛、刷单刷量、虚假账号、虚假流量、电信诈骗等业务欺诈行为在各行业繁荣生长。以某银行网申信用卡业务为例，据瑞数信息观察，业务开放第一天的短短一小时之内就收到近3万次的信用卡申请，其中75%的申请都是自动化工具发起的虚假申请。据统计，电商行业在全行业欺诈流量中占比21.7%，15.2%欺诈流量流向了航空、铁路等出行行业，金融、游戏等行业都是欺诈的重灾区。

4.5G加速 - 移动端应用安全内忧外患

过去一年中，伴随5G的加速普及和“宅家”新生活模式的影响，短视频娱乐、直播、云上互动等场景的火爆带来了移动端设备用户规模及流量的爆发性增长，许多平台甚至放弃PC端转而专注移动端的开发应用，移动端消费市场正迎来持续的扩大时期。然而移动端应用真的安全吗?据报道，目前只有大约36%的移动应用完全集成了安全，大部分的移动应用安全系数很低或根本不安全。瑞数信息安全专家指出针对移动端的网络欺诈迅速增长，控制量更大、隐蔽性更强、更稳定的云控软件正加速取代群控工具，成为网络罪犯的得力助手。除了传统的漏洞扫描、注入攻击、跨站脚本以及 APP客户端逆向、调试等问题，还有非法第三方APP请求、中间人攻击、API接口滥用、撞库、批量注册、刷单、爬虫、通过外挂程序或群控设备薅羊毛等业务安全隐患。对企业平台的正常运营造成了严重的经济和业务影响，对企业商誉造成的负面影响，更是不可估量。

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!