我對下面幾點有擔憂:
1. 用户隱私,各大互聯網產品 / 移動終端 App 上的,實在不敢想象,各類隱私庫明裏暗裏都出來了;
這個已經惡化,不要問我為什麼…
2. 移動終端尤其是安卓上的混亂:權限混亂、生態混亂;
這個開始有點點好轉苗頭。
3. 瀏覽器上的混亂(Web 前端):XSS 盲打 + XSS 鈎子滿世界,不一定那次就踏進去了;
這個…紐約時報都來報道某水坑攻擊了,爛了,瘋了。
4. 提供互聯網服務的團隊基本沒什麼安全意識,這很可怕,互聯網步伐加快,可安全意識沒趕上,被脱褲,被利用是遲早的事;
開始有點點好轉,至少被大量安全事件衝擊,那些老闆們開始在意了…
5. 雲端數據,各種 Web 服務等都開始逐漸託管到雲上,各家的雲,出問題就是一窩端,業務先行,安全保護、異常監控、彌補措施都還不一定完善;
Docker 流行了…至少又多了個攻擊維度,尤其是苦笑的 namespace 問題…
6. Web 服務組件持續廣泛,漏洞頻繁,看看我們團隊的應急響應就知道;
沒啥改善,比如 Drupal、WordPress 等知名組件漏洞不斷,還比如系統級的心臟出血、破殼等史詩級漏洞…
7. 全民安全意識還是很差;
嘆…
8. 黑產 / 灰產還是很囂張啊很囂張,雖然工信部今年説要嚴打;
嘆嘆…
9. “稜鏡”還是明裏暗裏的;
嘆嘆嘆…
10. 不過我們還是看到了希望,黑客們在驅動世界,好的影響開始逐漸出來了;
至少這點欣慰,變革是漫長的…
繼續補充下幾條:
1. 習大大牽頭的網信辦成立,對國內互聯網安全的影響説是立竿見影也不誇張。舉個小例子:連續兩屆的網信辦安全周,開始全民普及安全意識,國家機器在動,你感受下?這個點帶來些什麼影響就不多説了,至少是利好;
2. 説説物聯網安全吧,確實這兩年曝光越來越多,如路由器安全、攝像頭安全、工控安全等等(先不要提那些智能設備),都是一個個強大分支,它們被拿來做 DDoS、刷比特幣、境外勢力...我們這兩年跟進比較多,明顯的感覺是:物聯網基礎設施比想象的脆弱,尤其是工控,被評為「最脆弱的重要系統」一點也不為過;
3. 黑產中得特別強調下 DDoS,尤其是反射放大的 DDoS 攻擊,這兩年開始風靡全球,氣焰囂張,流量動輒幾百 G,根本受不了,這是無數互聯網企業的夢魘;