新技术带来新风险
——解析2013年网络安全五大威胁 
                                                                           

近日，美国佐治亚理工学院信息安全中心与佐治亚州技术研究所发布的《2013年网络安全威胁》报告，着重介绍了网络安全发展趋势中的五大威胁——信息操纵、供应链、移动安全、云计算与恶意软件，分析了这些威胁形成的原因、特点，并提出了相关解决方案。本文摘选了其中部分内容，以期对2013年我国网络安全工作起到预警和借鉴作用。

信息操纵：“有毒”的搜索结果

越来越多的黑客正在利用各种方法来操纵用户的搜索结果，并大量利用社会热点新闻关键词提高网站排名，控制用户的搜索内容并将搜索结果链接至隐藏木马病毒的恶意网站，从而使用户“中招”。

未来常见的攻击方式是利用跨站点脚本技术将合法网站链接至恶意网站，此方式隐蔽性较强，而篡改用户的搜索历史可能是下一种攻击方式。研究人员发现，利用跨站点请求伪造技术已经能查看甚至修改用户的搜索历史记录。黑客可以将恶意网页索引制作成cookie存储在用户的历史记录中，此举能躲避很多防御手段的查杀，提高了恶意网站的生存能力。这种攻击还能篡改搜索引擎的过滤算法，从而影响用户搜索的内容。

在社交网站，用户可以通过链接或是转发消息使消息成为热门话题。然而，这些热门话题也可能是虚假的，不良分子可以通过“僵尸粉”的方式人为放大某一信息或用来操纵社交网络信息。社交网络上的这种攻击都有类似特点即短期内发布大量消息、与他人串通并发送相同消息等。这些特点有助于社交网站发现并控制那些试图使用“僵尸粉”来操纵消息流行度的账户。

个性化信息导致“过滤泡沫”。很多网络公司根据用户个人喜好或历史、地理等因素调整其服务，对信息进行筛选后提交给用户，这将产生“过滤泡沫”。用户虽然能更快地得到所需的内容，但得不到多元化的信息，这将对社会发展产生负面影响。

 移动安全：手机传感器成犯罪工具

尽管应用商店为移动设备的安全筑起了第一道屏障，但数量庞大的智能手机和平板电脑对黑客来说无疑是一块诱人的蛋糕。同时，越来越多的企业员工将自己的移动设备带到工作平台，与此相伴的是新的攻击方式。

智能手机面临不安全因素。恶意软件编写者已经从业余转向专业，并正在建立一套可行的商业模式，攻击目标主要集中在Android操作系统的移动设备上。数据显示，我国应用程序感染率高达40%，并且，通常只有在恶意应用程序的高发期后，人们才检测到恶意应用程序，并采取被动的防御措施。

移动浏览器界面仍然缺乏安全标准。研究发现，用户使用智能手机访问钓鱼网站的风险比桌面浏览器高3倍。2012年《新兴网络安全威胁报告》称，许多符合万维网联盟标准的移动浏览器缺乏安全标准。

恶意移动广告软件日趋猖獗。当用户下载应用程序时，广告软件会偷偷加载至用户的设备中，此后经常弹出警报、通知并要求在桌面添加图标，从而篡改浏览器的设置并收集个人信息。

移动支付存在安全隐患。近场通信技术将付款信息传输到商店的终端，但该通信协议的安全性需要进一步提升，以防止犯罪分子有机可乘。然而，手机支付面临的最大挑战是智能手机的经常丢失，并且许多用户的手机缺少密码保护。

警惕黑客利用智能手机的传感器实施攻击。大多数人不清楚智能手机还携带着传感器套件，在不知不觉中，黑客就能开启智能手机的摄像头，利用所在环境的画面构建出一个房屋的3D画面。在未来，黑客有可能利用智能手机的传感器功能实施犯罪活动。

供应链：全球化的副产品

2012年，供应链问题已成为一大安全隐患。在2012年10月份美国众议院情报委员会对华为和中兴的产品报告中指出，这些产品可能会带来潜在危险，并向美国各大公司提出建议避免使用产自中国的网络硬件。与此同时，其他报告指出，中国公司同样担心美国产品也存在同样的问题。

供应链安全是一个全球性问题。美国的企业一般采用以下三种方案：大多数公司选择值得信赖的供应商，这些公司会实施网络监控来确保设备的安全，但这种方法并不能完全保证供应链的安全；一些公司会在设备分配和安装的过程中采取随机抽样的方式来检测是否含有安全漏洞的元件，但是这种方法仍缺乏实际效果，只要有一个问题硬件瞒天过海，就会危及整个系统的安全；少数公司正在采取更加激进的方式，即先假定供应商提供的所有设备都有安全漏洞，随后对任何有安全隐患的产品进行不间断的监控，但出于成本、技术和时间方面的考量，这种解决方式对大多数公司来说并不现实。

检测供应链安全的重点应放在分析设备或设备的表现特征上。研究人员正在寻找更加积极主动的方法来检测信息技术系统中的基础元件，这样即使硬件在出厂的时候被篡改，也能被检测到。

云计算：访问权限是软肋

随着云服务供应商开始加强数据安全的防护力度，云数据的安全性有所加强，但云数据量的激增势必会吸引黑客的目光。

访问权限是云服务安全的一大软肋。如何只允许授权用户对数据进行访问，这依然是一个困难且具有挑战性的问题。

双因素身份认证是一种较好的防御方法。使用经过认证的设备和密码，用户能登录并能在其他设备上授权应用程序，但由于每个应用程序的设备需要不同的密码，因而更具安全性。

黑客利用云计算能快速建立僵尸网络。云计算的基础架构不只是数据，如果黑客侵入云服务供应商的基础设施并加以控制，就能快速建立僵尸网络。云计算向合法企业提供服务，同样也能提供给黑客。黑客利用盗来的大量信用卡信息来购买云计算资源，可以快速创建虚拟系统的僵尸网络。

云服务供应商必须明确安全责任。研究发现，69%的云服务供应商认为用户应该对自己的云数据安全负责，只有35%的用户同意这一观点。这一数据表明云服务供应商与用户之间在云数据安全保护责任方面缺乏共识。

许多公司正在构建私有或混合云以增强数据的安全性。一些公司已将储存在云中的数据加密，但当公司要搜索数据或是在云内部运行运算的时候，这种方式就缺乏便捷性。目前担忧数据安全问题的公司都尽可能长时间地将数据加密，当需要操作时再进行解密，但在多数情况下，这样做也会使密钥暴露在黑客的视野中。

恶意软件：以“武力”勒索用户钱财

恶意软件的开发者正不断改进技术以加强恶意软件的生存能力。

恶意软件加入“反盗版技术”。数字行业使用数字权限管理技术来限制盗版的蔓延，软件授权技术将数字产品锁定至特定设备或地点，防止盗版者大规模生产盗版程序。如今恶意软件的开发者也正采取这种加密技术，将恶意软件限定至特定的系统中。

恶意软件的跨平台特征。一种叫做“闪回式木马”的恶意软件经过加密技术隐藏在下载模块中，攻击Windows、Mac和Android三大平台，智能手机和平板电脑的安全性正遭遇前所未有的挑战。此类攻击都集中在收费诈骗上，在中国和东欧十分猖獗。

社交网络商业化将增加恶意软件攻击的风险。在社交网站的用户在线支付阶段，黑客可以利用恶意软件盗取支付凭证，或将用户引入虚假页面，从而获取支付和个人有价值的信息，黑客能出售或与其他黑客交易相关信息，通过拼接组合，就能形成完整个人信息，这可以帮助黑客创建配置文件，用来获取其他账户资料。

勒索软件正成为一种新型的假冒安全软件。勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。黑客如今采取在线交易的方式，用武力迫使用户交出钱财，而非以前依靠诈骗实施犯罪。