2016年网络安全：向前看不如回头看

/ b* k, U8 R$ \- J' z& e8 V

与其企图搞清将会发生啥，不如处理好现存的各种疑问。

每年伊始的时分，厂商和科技猜测师之类的总要对IT安全的将来做一番前瞻预言。这是能够了解的，毕竟能帮助人们区分行将到来的要挟和新兴趋势。但事实真相却是：对广阔IT用户而言，当时现有的要挟才是最应当重视的。

2016年网络安全：向前看不如回头看

网络犯罪是一门工业，与大多数现代工业相同，传达速度和商场巨细才是成功的要害。这也是为什么缝隙运用工具包，比方Angler、Rig之类的，在2015年大为流行，且将在将来几年持续坚持广为传达气势的因素。缝隙运用工具包能够使潜在攻击者容易侵入用户体系。它不是一次性用过即弃的工具，但确实是为了大规模缝隙运用而设计的。而运用的通路，一般，恰是那些现已被受影响的软件厂商打了补丁的缝隙。

软件厂商发布了补丁程序未必意味着缝隙就不再被运用。你能够看看那些对于修正率的工业调查陈述，不管你看的是哪家的陈述或数据，2015(或许随意哪一年吧)缝隙修正率从未达到过100%，连逼近都称不上。终端用户修正从来就不是容易达到的使命。缝隙修正疑问不是2016新趋势，也不是2015或2014的，但却是恣意一年许多数据走漏事情的本源地点。

公正的说，2016年的修正作业应当比前几年更简单些。现在，自动更新机制现已成为众多操作体系和使用程序厂商常用的最佳实习。其间体现最佳的，要数google的Chrome浏览器，默许供给自动更新。Adobe的Flash和Acrobat Reader，以及流行开源内容管理体系WordPress相同供给自动更新。

别的科技公司，比方出品Windows的微柔和带来OS X和iOS的苹果，自动更新不是默许设置，但都会以清晰的方法告诉用户什么时候该更新了。

但是，依然有许多使用程序既没有自动更新体系，也没有适本地集成进操作体系级的告诉。有时候，经过App商铺，集成更新疑问能够得以方便地解决。比方，OS X、iOS和Google Play就供给单一界面供用户更新App。Linux服务器和桌面体系从Linux发行版软件资料库装置更新包也是相同道理。

若对错自动化的更新，查看是不是有更新的职责就落到了用户身上。这是陈词滥调的疑问了，2016年也将持续见证此类要挟。

真实令人惊奇的，是那些现已过期的软件还在被频频运用的程度。这些过期软件，能够说某种程度上躲避掉了自动更新或自己惯例进行的更新查看。

更新疑问也不老是归咎于用户的不作为。今天的手机国际中，真实的疑问是那些不再从手机厂商那里获取安全更新的安卓手机。进一步的危险，则来自于不跟紧google月度更新周期的那些安卓手机厂商。仅曩昔6个月里，google就发布了93个安全缝隙补丁包。但，虽然google现已为手机合作商准备好了补丁，却不是一切的厂商都能及时向悉数受影响的设备发放更新。

综上所述，从桌面体系到手机渠道和App使用，每一年都有许多缝隙曝出，但却不是一切的缝隙都会被用户打上补丁。其成果，即是形成了一个任君采撷的无穷果园，让攻击者能够携缝隙运用工具包为所欲为地采摘。画面太美，不忍直视。

IT安全里，另一个一向以来让人无言以对的疑问即是：用户暗码往往是安全防护中最弱的一环。相同，这不是个新趋势，是自现代IT诞生的那刻起就一向存在的疑问。近来几年的变化，是双因子身份验证(2FA)体系的运用增多。

攻击者带着数据库走漏的用户名和暗码溜之大吉的状况层出不穷。但假如你的账户设置了2FA，这些信息根本等于没用，危险也就相对降低了。这种经验教训，不仅仅是2016，而是每年都应当从头警醒一遍的。

2016 IT安全中应当留意的别的要点，与之前十几年相同，是多见类型的缝隙。在服务器方面，连绵不断引起数据走漏的老疑问，是SQL写入。这个疑问能形成使用程序无法恰本地履行数据库输入验证。可供公司企业扫描SQL写入缝隙的工具许多，修正代码一般也就区区几行。

当然，新的零日缝隙肯定会呈现，2016年也免不了要见证那么几个。但若提到数据走漏，大多数走漏事情还得归因于本能够躲避掉的已知缝隙。

展望2016的安全，不应当回绝了解如果回避新的要挟，但更重要的是先要“回头看”。