Компания Zscaler Inc, ведущий поставщик распределенной услуги Security as a Service (SaaS) опубликовала сегодня свои предсказания в отношении безопасности на 2010 год. Располагая уникальными знаниями о веб-трафике, глобальной клиентской базой и высококлассными исследованиями, Zscaler представил общественности десять предсказаний, подробно описывающих ожидания компании на будущий год относительно разработчиков компьютерных технологий, хакерских атак и жертв таковых.
"Несмотря на кризис, многие технологии в 2009 году добились роста", сказал Майкл Саттон, вице-президент Zscaler по исследованиям в области безопасности. "Мобильные платформы окрепли, облачные решения стали реальностью, а социальные сети сделались общедоступными. Злоумышленники четко следуют к своим целям, и поэтому в 2010 году их выбор пал именно на эти наиболее успешные технологии". По мнению Саттона, злоумышленники, имея доступ к легальным сайтам со слабой защитой, продолжат веб-атаки на конечных пользователей.
С полной версией можно ознакомиться в блоге Отдела научных исследований Zscaler http://research.zscaler.com/2009/12/2010-security-predictions.html:
Текст статьи блога на русском языке:
Предсказания в отношении безопасности на 2010 год
В 2009 году мы узнали слово "кризис", и для получения ответов на новые вопросы, обратились к облачным решениям. Бюджеты были урезаны, и службам информационной безопасности пришлось делать больше за меньшие деньги, и это при росте киберпреступности, когда в тяжелых экономических условиях каждый пытается заработать, как может. Неизвестно, что принесет нам 2010 год, но с приближением новогодних праздников появляется оптимизм.
Что касается, рынка компьютерных технологий, то "медовый месяц" для облачный решений закончился, и теперь начинается тяжелая работа. Рынок мобильных устройств развивается бурно, как никогда, появляются новые платформы, функции расширяются, а вендоры борятся за господствующее положение. Среди социальных сетей появились лидеры, однако мы только сейчас начинаем понимать их реальный потенциал. Многое еще предстоит узнать, но один факт абсолютно очевиден – злоумышленники следят за этими тенденциями так же внимательно, как и компании-производители, а также потребители, использующие компьютерные технологии для извлечения прибыли. То, что становится популярным сегодня, завтра подвергнется атаке. Вот наши предсказания по безопасности на будущий год:
1). Apple вынужден повысить уровень безопасности
Какое-то время считалось, что у Apple более безопасная операционная система OS X, поскольку она реже подвергается атакам. Возможно, это и правда, но в целом это система менее защищена, и расширение на рынке заставит Apple в конечном итоге позаботиться о безопасности, поскольку риск уязвимости решений Apple повышается.
2). Незваные гости App Store
Магазины App store сейчас на пике моды, и все мобильные вендоры делают все возможное, чтобы повторить успех Apple. В принципе, вендоры просто стоят на страже, и дают доступ только тем приложениям, которые они считают подходящими. Потребители ошибочно думают, что им гарантируют приобретение только безопасных приложений, но на самом деле это не так. В лучшем случае успешные вендоры осуществляют частичный контроль безопасности, пропуская приложения с неучтенными ИПП. Злоумышленники пойдут дальше и, несмотря на контроль вендоров, допустят проникновение вредоносных приложений.
3). Веб-черви выходят на передний план
Нас атакуют различные веб-черви, от Samy до StalkDaily. В отличие от запланированных атак с целью получения финансовой выгоды, большинство из них были результатом экспериментов. Эта ситуация скоро изменится.
4). Появление веб-платформ
Мы осуществили переход от веб-сайтов к веб-приложениям, и сейчас наблюдаем рождения веб-платформ. Социальные сети, такие как Facebook, вышли за рамки предоставления динамичных приложений, поощряя создание контента самими пользователями. Сейчас они внедряются в платформы, предлагая обеспеченную пользователями функциональность, предоставляющую любому человеку виртуальный доступ к созданию уникальных приложений внутри их экосистемы. Злоумышленники воспользуются такой возможностью для внедрения вредоносных приложений в социальные сети, а веб-сайты будут пытаться идентифицировать и блокировать подобные приложения, чтобы предотвратить их развертывание.
5). Внимание злоумышленников привлекает облако
Облачные решения предоставляют беспрецедентные возможности для хранения и операционной работы по очень выгодной цене. Как вы думаете, все ли здесь так привлекательно для компаний-пользователей? Здесь есть, над чем подумать.
6). Появление атак DDoS
Облачные решения обычно работают на основе реального спроса. Это позволяет злоумышленникам связывать компаниям руки, искусственно увеличивая расходы. К сожалению, у производителей облачных решений мало возможностей остановить подобную практику.
7). "Облачные дыры"
Я очень надеюсь, что в 2010 году отделы маркетинга по заслугам оценят облачные вычисления. 2009 год продемонстрировал серьезный интерес к развитию архитектуры облачных вычислений, и возникает вопрос, как часто продвижение на рынке осуществлялось в ущерб безопасности. Ожидается, что злоумышленники будут пытаться "продырявить" прикладные программные интерфейсы разработчиков "облачных" решений. Обнаружить их можно благодаря распределенной архитектуре, и этому стоит уделить внимание.
8). Clickjacking активизируется
Clickjacking ворвался на сцену летом 2008 года, когда Джереми Гроссман и Роберт Хансен отложили по просьбе Adobe свой OWASP talk. Их сенсационное заявление о возможностях утечки информации через веб-камеру или микрофон компьютера получило большое внимание в прессе, однако, проблема в целом осталась нерешенной. Clickjacking может стать ценным инструментом в психологических атаках, и мы только начали наблюдать его в действии.
9). Разработчики браузеров наконец стали серьезно воспринимать межсайтинговый скриптинг (XSS)
Тот факт, что запущенная в этом году 8 версия Microsoft Internet Explorer, включает в себя защиту от XSS, вселяет в меня оптимизм. Несмотря на весь негатив, высказываемый в адрес Microsoft за уязвимости, угрожающие безопасности, они остаются лидерами с точки зрения внедрения инновационных мер защиты, и вот еще один пример этого. Я уверен, что остальные разработчики браузеров взяли это на вооружение и примут аналогичные меры.
10). Проблемы утечки данных прошлых лет покажутся детской игрой
Это, несомненно, самое простое предсказание, которое можно сделать. Мы все были поражены ошеломляющим количеством взломанных аккаунтов в CardSystems, Heartland и TJX, но будьте готовы снова быть обманутыми.В любом случае, характеристики пришлось нарушить. В то время как память дешевеет, а энергия дорожает, компании ищут пути консолидированного хранения информации и продолжают создавать внушительные дата-центры и разрабатывать еще более вместительные центры хранения информации, благодаря использованию облачных решений. Объемы данных, которые могут быть украдены, при отсутствии должного контроля безопасности, могут быть поистине ошеломляющими.