10 предсказаний в отношении безопасности на 2010 год

21.12.2009

Вернуться к списку новостей

«Несмотря на кризис, многие технологии в 2009 году добились роста», сказал Майкл Саттон, вице-президент Zscaler по исследованиям в области безопасности. «Мобильные платформы окрепли, облачные решения стали реальностью, а социальные сети сделались общедоступными. Злоумышленники четко следуют к своим целям, и поэтому в 2010 году их выбор пал именно на эти наиболее успешные технологии». По мнению Саттона, злоумышленники, имея доступ к легальным сайтам со слабой защитой, продолжат веб-атаки на конечных пользователей.

С полной версией можно ознакомиться в блоге Отдела научных исследований Zscaler http://research.zscaler.com/2009/12/2010-security-predictions.html:

Текст статьи блога на русском языке:

Предсказания в отношении безопасности на 2010 год

В 2009 году мы узнали слово «кризис», и для получения ответов на новые вопросы, обратились к облачным решениям. Бюджеты были урезаны, и службам информационной безопасности пришлось делать больше за меньшие деньги, и это при росте киберпреступности, когда в тяжелых экономических условиях каждый пытается заработать, как может. Неизвестно, что принесет нам 2010 год, но с приближением новогодних праздников появляется оптимизм.

Что касается, рынка компьютерных технологий, то «медовый месяц» для облачный решений закончился, и теперь начинается тяжелая работа. Рынок мобильных устройств развивается бурно, как никогда, появляются новые платформы, функции расширяются, а вендоры борятся за господствующее положение. Среди социальных сетей появились лидеры, однако мы только сейчас начинаем понимать их реальный потенциал. Многое еще предстоит узнать, но один факт абсолютно очевиден – злоумышленники следят за этими тенденциями так же внимательно, как и компании-производители, а также потребители, использующие компьютерные технологии для извлечения прибыли. То, что становится популярным сегодня, завтра подвергнется атаке. Вот наши предсказания по безопасности на будущий год:

1). Apple вынужден повысить уровень безопасности

Какое-то время считалось, что у Apple более безопасная операционная система OS X, поскольку она реже подвергается атакам. Возможно, это и правда, но в целом это система менее защищена, и расширение на рынке заставит Apple в конечном итоге позаботиться о безопасности, поскольку риск уязвимости решений Apple повышается.

2). Незваные гости App Store

Магазины App store сейчас на пике моды, и все мобильные вендоры делают все возможное, чтобы повторить успех Apple. В принципе, вендоры просто стоят на страже, и дают доступ только тем приложениям, которые они считают подходящими. Потребители ошибочно думают, что им гарантируют приобретение только безопасных приложений, но на самом деле это не так. В лучшем случае успешные вендоры осуществляют частичный контроль безопасности, пропуская приложения с неучтенными ИПП. Злоумышленники пойдут дальше и, несмотря на контроль вендоров, допустят проникновение вредоносных приложений.

3). Веб-черви выходят на передний план

Нас атакуют различные веб-черви, от Samy до StalkDaily. В отличие от запланированных атак с целью получения финансовой выгоды, большинство из них были результатом экспериментов. Эта ситуация скоро изменится.

4). Появление веб-платформ

Мы осуществили переход от веб-сайтов к веб-приложениям, и сейчас наблюдаем рождения веб-платформ. Социальные сети, такие как Facebook, вышли за рамки предоставления динамичных приложений, поощряя создание контента самими пользователями. Сейчас они внедряются в платформы, предлагая обеспеченную пользователями функциональность, предоставляющую любому человеку виртуальный доступ к созданию уникальных приложений внутри их экосистемы. Злоумышленники воспользуются такой возможностью для внедрения вредоносных приложений в социальные сети, а веб-сайты будут пытаться идентифицировать и блокировать подобные приложения, чтобы предотвратить их развертывание.

5). Внимание злоумышленников привлекает облако

Облачные решения предоставляют беспрецедентные возможности для хранения и операционной работы по очень выгодной цене. Как вы думаете, все ли здесь так привлекательно для компаний-пользователей? Здесь есть, над чем подумать.

6). Появление атак DDoS

Облачные решения обычно работают на основе реального спроса. Это позволяет злоумышленникам связывать компаниям руки, искусственно увеличивая расходы. К сожалению, у производителей облачных решений мало возможностей остановить подобную практику.

7). «Облачные дыры»

Я очень надеюсь, что в 2010 году отделы маркетинга по заслугам оценят облачные вычисления. 2009 год продемонстрировал серьезный интерес к развитию архитектуры облачных вычислений, и возникает вопрос, как часто продвижение на рынке осуществлялось в ущерб безопасности. Ожидается, что злоумышленники будут пытаться «продырявить» прикладные программные интерфейсы разработчиков «облачных» решений. Обнаружить их можно благодаря распределенной архитектуре, и этому стоит уделить внимание.

8). Clickjacking активизируется

Clickjacking ворвался на сцену летом 2008 года, когда Джереми Гроссман и Роберт Хансен отложили по просьбе Adobe свой OWASP talk. Их сенсационное заявление о возможностях утечки информации через веб-камеру или микрофон компьютера получило большое внимание в прессе, однако, проблема в целом осталась нерешенной. Clickjacking может стать ценным инструментом в психологических атаках, и мы только начали наблюдать его в действии.

9). Разработчики браузеров наконец стали серьезно воспринимать межсайтинговый скриптинг (XSS)

Тот факт, что запущенная в этом году 8 версия Microsoft Internet Explorer, включает в себя защиту от XSS, вселяет в меня оптимизм. Несмотря на весь негатив, высказываемый в адрес Microsoft за уязвимости, угрожающие безопасности, они остаются лидерами с точки зрения внедрения инновационных мер защиты, и вот еще один пример этого. Я уверен, что остальные разработчики браузеров взяли это на вооружение и примут аналогичные меры.

10). Проблемы утечки данных прошлых лет покажутся детской игрой

Это, несомненно, самое простое предсказание, которое можно сделать. Мы все были поражены ошеломляющим количеством взломанных аккаунтов в CardSystems, Heartland и TJX, но будьте готовы снова быть обманутыми.В любом случае, характеристики пришлось нарушить. В то время как память дешевеет, а энергия дорожает, компании ищут пути консолидированного хранения информации и продолжают создавать внушительные дата-центры и разрабатывать еще более вместительные центры хранения информации, благодаря использованию облачных решений. Объемы данных, которые могут быть украдены, при отсутствии должного контроля безопасности, могут быть поистине ошеломляющими.

www.ITSec.Ru по материалам компании Zscaler