2015年安全风险升级

恶意实体试图泄露数据、破坏基础设施、破坏对我们生活至关重要的数据，这是前所未有的。对于安全行业来说，从来没有像现在这样机会主义的时候，他们尽最大的努力来应对渎职的挑战。

那么网络安全的现状如何呢?

“不幸的是，没有太多好消息，”保罗·科克(Paul Kocher)说Rambus“密码学研究部。”摩尔定律让我们能够更快地推动技术进步，从而确保它的安全。”

许多组织都难以理解当今网络环境的范围和复杂性，以及硬件和软件开发的加速步伐。即使是谷歌和Facebook这样的虚拟巨头也远没有做到网络无懈可击。在现实中，积极主动需要大量的精力和努力，许多组织仍然认为仅仅建立防火墙或基于软件的网络解决方案就足够了——事实并非如此。

但是，这股力量正在慢慢转向一个方向，即人们不能简单地建立一个响应系统，并期望保持刀枪不入。其结果是，越来越多的公司正在努力保持领先的威胁格局。

ChaoLogix的业务发展副总裁乔德里•亚纳玛达拉(Chowdary Yanamadala)表示:“我们已经取得了一些进展。“人们开始意识到，无论何时生成、传输或以其他方式处理数据，都需要纳入安全性。许多非传统厂商现在都意识到需要在他们的芯片或应用程序中交织安全性。未来几年将是网络安全领域非常关键的时期。”

这样的解决方案必须紧密地集成到硬件和软件安全层中，其中硬件是最重要的。其中一些已经到位的是高级指令，要求进行主动的系统测试，以发现漏洞，及时了解最新的威胁情况，实施流程，分配资源以处理风险、威胁向量和各种形式的内部和外部威胁，以及有效的反馈。

Yanamadala表示:“令人烦恼的是，在目前的形势下，人才短缺，尤其是在半导体领域，无法帮助跟上攻击领域的步伐和技术。”“这意味着，我们正在以最快的速度前进，但攻击者知道，一家公司可以用来阻止他们进入的人才或第三方资源已经捉对了。他们正在加大力度，因为他们知道，他们很有可能找到一个可能没有人才或资源来构建可靠安全解决方案的目标。”

统计数据
就目前的网络安全状况而言，安全人才的短缺在多大程度上是一个很难确定的指标。还有很多其他指标，比如财务、感知损害或责任、有漏洞的代码，以及大多数非安全技术部门对威胁形势的普遍不了解。

然而，来自所有载体的攻击的绝对数量仍在继续增加，这表明攻击者阵营并没有感觉他们输掉了比赛。正如科克所观察到的，“我们没有看到攻击者放弃试图闯入并获得合法工作。”

以分布式拒绝服务(DDoS)攻击为例。2015年第一季度，DDoS攻击数量较2014年同期增长了一倍多，较2014年第四季度连续增长35%。

嗅探网络攻击。礼貌businesscomputingworld.co.uk。

如果只是攻击次数的增加，那就够糟糕的了。然而，攻击概要也在发生变化。2014年，大多数DDoS攻击都是持续时间短、带宽高的攻击。在2015年第一季度，典型的DDoS攻击低于10gbps，并且持续时间更长——在大多数情况下超过24小时。

大多数攻击属于以下标题之一:本地文件包含(LFI)、PHP注入(PHPi)、SQL注入(SQLi)、命令注入(CMDi)、OGNL Java注入(JAVAi)、远程文件包含(RFI)和恶意文件上传(MFU)。总共有超过1.75亿次的合并尝试[见文献1]。第一季度还有8次超级攻击，每次都超过100 Gbps。这样大规模的袭击在一年前几乎不存在。

类似的统计数据也适用于其他类型的攻击。人数有所增加，但攻击的构成正在发生变化。这是一个相当令人不安的度量标准，许多安全架构师都很担心，即可能出现一些他们没有准备好的完全不同的情况。

硬件方面发生了什么
硬件方面有加密芯片。这些提供了最坚固的解决方案。在此基础上建立的是安全代码和IP，以及安全软件堆栈。最后是在系统上运行的软件。所有这些，如果应用得当，就相当于最好的网络安全。

嵌入式系统也正在获得动力，这一领域的发展正在加速。其中一个原因是，金融、交通、电信、零售和身份应用程序等平台受到了无情的攻击。涉及的金额是惊人的，所以这些是在今天的优先级安全金字塔的顶端，下面详细介绍了一些。

ABI Research网络安全业务高级行业分析师Monolina Sen表示:“嵌入式安全元件(eSE)、可信平台模块(TPM)、可信执行环境(TEE)、主机卡仿真(HCE)和嵌入式SIM卡都是新兴技术，在未来的安全领域将得到更多的应用。”

其中，TEE是最令人兴奋的一种。“TEE之所以如此吸引人，是因为它提供了一种增强移动设备安全性和在运行标准操作系统的设备上执行敏感操作的方法，”Sem指出。“我们相信，越来越多的处理器将支持TEE，从而为设备制造商提供集成的、基于硬件的安全性。”

手臂例如，该公司已将其TrustZone架构集成到每一个Cortex-A处理器中，该公司目前正在推广该处理器用于从智能手机、平板电脑到可定制服务器的所有产品。

另一项正在获得动力的技术是标记化。“虽然EMV对于确保销售点终端的信用卡交易是有效的，但它对于在线支付和其他无卡交易并不那么有用，”Sen说。

目前，世界上超过22家最大的银行都在使用它，美国也面临着采用它的压力。令牌为在物理销售点使用主机卡模拟的移动非接触式支付提供了保护。它们工作得特别好，因为信用卡和借记卡的数据在被捕获时是加密的。这意味着离开POS站点的只有加密数据。在到达支付处理点之前，它一直是加密的。

Sen继续说:“新兴的近距离和远程支付类型，以及越来越多的人希望用代金券取代支付卡或银行账号，用于销售点、在线或移动支付，正在推动这项技术成为主流。”

在硬件安全领域还有很多其他工作要做。在以前的文章中已经讨论过很多内容，所以在这里重复讨论是多余的，而且占用空间。(如需进一步阅读，请参阅相关文章1，2,3.)。

地平线上有什么
在确保未来网络安全方面发挥重要作用的一个更重要的途径将是投入更多的资源来识别黑客本身——键盘背后的头脑。因此，可以期待看到针对攻击者和威胁的新进展。

在各个层面上，也会有很多人关注违规预防。这涉及到许多因素。2014年和2015年初发生的引人注目的违规事件，使它们重新成为优先事项，因为事实证明，几乎没有什么是站得住脚的。有人可能会说，这种入侵部分或全部是由于松懈的网络安全，但无论如何，这是一记警钟。

另一方面，基于互联网的技术将不可避免地融入社会结构。这些技术结合在一起的应用程序、网络和服务之间将是最脆弱的。

中间人活动也将看到更多的努力。新版本的“点击劫持”和“水坑”为基础的定向攻击将会出现。而且，可怕的是，暗网将成为网络犯罪的宝库，比以往任何时候都更难破解。

明天的全球网络。由nextbigwhat.com。

此外，量子计算、融合移动技术(移动计算和无线网络)、自组织网络、云计算等新兴技术将融合成一个没有物理世界和虚拟世界区别的无缝世界。所有这些都将给密码学行业带来一系列新的挑战。

我们能活下来吗?
要想领先于所有这些未来的颠覆性技术，就需要一种新的安全思维模式。它是通过硬件、软件还是两者的结合来实现并不重要。重要的是世界正朝着这个目标前进。

这些新范式包括语义集成和动态网络。还有其他的，但这是最有趣的两个。

语义集成(SI)是为了未来的网络安全而进行的。它已经存在了几年，但现在开始被视为下一代平台的解决方案。这项技术在水平和垂直维度上支持网络架构基础设施的所有层次，这将是全球网络的未来架构。在语义集成的基础上构建网络安全应用程序的方向也有了发展，这将统一许多网络安全向量。

它的出名之处在于它可以被设计成跨所有架构(应用程序、中间件和数据)无缝工作，这对于设计安全性是一个巨大的好处。它还处于SI游戏的早期阶段，但理论是合理的，一旦一些应用程序开发开始，它应该会流行起来。

动态网络是另一个很有前途的安全管理解决方案。网络正在智能化地发展。诸如HetNets、网络功能虚拟化(NFV)和软件定义网络(SDN)等平台正在模糊网络节点或参与者与网络本身之间的界限。最终，从高层次的角度来看，将只有一个虚拟的全球网络。

网络领域不再是一个明确定义的企业网络，可以单独定义和保护。因此，以这种心态对待网络安全是一种失败的算法。网络空间现在包含了所有其他具有任意数量交叉依赖关系的领域。从本质上讲，它是一个多维的网络。

通过这一网络的网络攻击将有所不同。下一代网络模式将是不对称和异步的，这意味着它们也可能是多维的。这些网络攻击能够跨越时间、地理区域和目标的多样性。它们将由多种攻击技术组成，旨在实现一套单一的目标。应对这些问题的唯一方法是实现动态网络，并用新的网络安全范式保护它们。

信件
这将是一个勇敢的新世界。本文中讨论的一些内容是非常高水平的，只是粗略地浏览了一下。更深入的讨论即将到来。而且，这一切将如何真正动摇仍然是悬而未决的。然而，硬件和软件的技术演进都在可预测的发展道路上。很多未来技术及其实现都是对现状的推断，因此也是对未来合理状况的推断。

有一件事是相当肯定的:安全必须赶上技术，否则将产生巨大的后果。芯片行业处于最前沿，将准备好硬件解决方案。软件行业也将在那里。障碍将是接受安全不是一种选择。缺乏安全的代价将远远大于实施安全的代价。无论成本如何，供应链都必须将安全作为一个不可或缺的组成部分。

参考文献1:Akamai 2015年第一季度互联网安全状况报告。