阿里聚安全年终盘点|2017互联网安全领域十大话题

导语:2017年即将过去,2018新年还有3天,回顾2017,看似很平淡地过去了,但总有一些印记让我们印象深刻。作为互联网安全领域的一份子,阿里聚安全时刻关注着互联网行业的安全事件,让我们一起来盘点2017年安全圈的一些大事吧,看看是否与你关注的差不多~

一、勒索软件与安全

勒索软件的风险一直存在,2017上半年5月份,wannacry的爆发,小到个人,大到企业、医疗卫生,民生政务,教育机构皆受到不同程度威胁,风头一时无二。

WannaCry利用窃取自美国国家安全局的黑客工具EternalBlue(永恒之”)实现了全球范围内的快速传播。随后,WannaCry 2.0,手机“农药”辅助软件勒索病毒,国产一键生成Android勒索软件制作工具接二连三出现。

下半年Bad Rabbit(坏兔子)在欧洲的肆虐,让西方的企业政府等部门,在勒索软件的阴影下,瑟瑟发抖。

Bad Rabbit通过伪装成Adobe Flash Player软件升级更新弹窗,诱骗用户主动下载并安装运行恶意程序。可以加密文档类型、数据库文件、虚拟机文件等类型文件,同时还会使用账号弱口令密码扫描内网和SMB共享服务获取登录凭证尝试登录和感染内网主机,对业务存在高安全风险。

二、应用商店安全

面对越来越多的网络恶意应用,去官方应用商店下载是个不错的选择。但事实证明,官方应用商店也不是那么的让人放心。

年初,“SMSVova”恶意程序隐藏在一款虚假的“软件更新”应用程序中,并通过短信从攻击方接收指令,以执行诸如为“SMSVova”间谍软件设置和更改密码以及检索位置数据等功能。

11月4日报道,安全研究人员Dexter Genius近期发现黑客利用官方 Google Play商店作为恶意软件存储仓库、部署冒牌WhatsApp应用。

而国外科技作者Johnny Lin发表一篇名为《如何利用App Store月入8万美金》,揭苹果应用商店存在一类诈骗APP,利用广告刷榜加指纹支付骗取用户订阅,“诈骗订阅”的存在凸显了苹果应用商店审核机制的不完善以及用户操作过于粗心大意。

 

 

三、漏洞与赏金

被称为黑客世界杯的移动Pwn2Own黑客大会今年宣布,攻破iOS奖励10万美元。根据安全漏洞的不同,奖金也有变化。

8月28日大疆宣布推出“大疆威胁识别奖励计划”,最低奖励为100美元(约合人民币658元),最高3万美元(约合人民币197457元),金额根据威胁潜在的影响而定。

10月20日消息,为了清除Google Play商店中的漏洞,谷歌本周四启动新项目,开始向发现Android应用漏洞的安全专家提供奖励。承诺每发现一个漏洞,安全专家获得的奖励至少为1000美元。

赏金计划的推陈出新和赏金额度的不断提高表现了业内对安全的日益重视,但全球安全人才缺口巨大,整体形势依然严峻。

四、网络内容安全

信息爆炸的时代,网络内容的复杂性成几何上升。诸如网络鉴黄师,网站内容审核,贴吧论坛管理员等等会对网络内容安全进行审核。但网络上动辄以万亿计数的信息条目让人工审核捉襟见肘。过去,只有增加审核人员一条路,但是高强度的工作,接收过多的负面信息让内容审核岗位成为冷门。

2017年9月16日,“2017网络安全博览会暨网络安全成就展”(网络安全周)上,在数据安全、隐私保护备受关注,网络黑灰产日渐猖獗,作案手段不断翻新的背景下,阿里巴巴分享了阿里系最新的“十大安全黑科技”。其中内容安全技术迎合主流的人工+智能的审核方式,成为了众多企业开发者考察的对象。

 

五、实人认证与安全

《网络安全法》第二十四条  网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

云栖大会阿里巴巴分享核身实践:利用生物识别技术进行身份认证、人机交互已经成为很多移动端产品的重要趋势。阿里实人认证技术可以利用活体检测、人脸对比等并结合权威数据源与阿里实人可信模型,判定用户身份真实性、有效性的在线身份校验服务。

12月初,英国广播公司(BBC)当地时间12月10日报道,BBC记者约翰·苏德沃斯在我国贵阳体验 “天网工程 ”,在被手机拍下一张面部照片后,仅仅 “潜逃”七分钟,就被中国警方抓获。

六、《网络安全法》

2016 年11月7日,全国人大常委会表决通过的《中华人民共和国网络安全法》,于2017年6月1日起施行。这部法律填补了我国关于网络安全犯罪行政处罚方面的空白,它有6个亮点:

明确了网络空间主权的原则;

明确了网络产品和服务提供者的安全义务;

明确了网络运营者的安全义务;

进一步完善了个人信息保护规则;

建立了关键信息基础设施安全保护制度;

确立了关键信息基础设施重要数据跨境传输的规则。 

对个人而言,个人信息保护是关键,如法律中明确规定网络实名制,若不提供真实身份信息,网络运营者将不能为其提供相关服务。

对企业而言,比较侧重于企业安全,比如企业应该怎么去保护信息、怎么去保护网络安全等。此后企业有了更具体的义务和责任去维护网络安全,并对用户和客户负责。

七、云栖大会(杭州)-移动安全专场

2017年10月11日-14日在杭州召开了云栖大会,迎来世界各地4万多位开发者、创业者、科学家、行业先锋们。

了解业务安全端安全方面应该注意的风险,区分业务风险优先级,关注纵深防御节点,做出平衡业务的取舍,才能使业务安全部门更敏捷,更具有弹性。在云栖大会的移动安全专场,阿里巴巴集团的安全专家们就业务安全端方面做了一些分享。

阿里巴巴安全专家孙泽夺-《APP加固新方向》,重点介绍android加固对于端上的业务风险控制是如何做到自动化部署和分析,能更快捷的感知安全风险,以便快速做出响应,减少不必要的业务损失。

阿里巴巴移动安全专家马征-《APP渠道推广作弊攻防那些事儿》,为如何能减少APP推广经费被羊毛党消耗问题做了详尽的分析。

阿里巴巴高级算法专家王炎分享《生物识别:阿里巴巴在移动端的核身技术实践》,讲述了阿里实人认证技术和声纹识别技术为移动端设备提供额外的安全性。

……

八、KRACK-WiFi漏洞

10月中下旬,安全研究人员Mathy Vanhoef在WPA2协议的四次握手过程中发现了严重的安全漏洞KRA(Key Reinstallation Attacks),可能影响所有WiFi设备,利用这个漏洞发起的攻击就叫KRACK攻击。

几乎所有支持Wi-Fi的设备(Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys等)都面临安全威胁,危害较大。

因此一时间各安全厂商与个人用户人心惶惶,好在暂未发现在野利用实例,而微软、苹果等厂商都及时发布补丁。

阿里安全技术平台团队第一时间对该漏洞做出详尽的漏洞分析报告,并提出漏洞安全加固建议。

九、IPv6部署

今年11月底,由下一代互联网国家工程中心牵头发起的“雪人计划”已在全球完成25台IPv6根服务器架设,中国部署了其中的4台,打破了中国过去没有根服务器的困境。

12月初,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,加快推进IPv6规模部署,IPv6城域网、政府网站IPv6双栈化改造、IPv6城市公共无线网络等均已开始试点和部署,互联网BAT部分内容已支持IPv6访问,流量增长迅速,新的网络环境以及新兴领域均将面临着新的安全挑战。

针对IPv6安全,计划中重点要求升级安全系统,强化IPv6地址管理,增强IPv6安全防护,加强IPv6环境工业互联网、物联网、车联网、云计算、大数据、人工智能等领域的网络安全技术、管理及机制研究,构筑新兴领域安全保障能力。

阿里安全技术平台团队针对IPv6安全防护问题从IPv6安全威胁结合互联网网络安全运营视角进行了重点分析,同时探讨了互联网IPv6网络安全保障体系面临安全风险及加固建议。

十、iOS11.2  完美越狱

 “非完美越狱”后的手机一旦重启,需重新手动操作一遍越狱流程。而完美越狱可在重启手机后,能自动执行越狱代码,在重启前完成越狱。

阿里安全潘多拉实验于2017年成立,此前仅在阿里先知创新大会上露过一次面,其安全研究员用视频演示了安卓8.0的Root提权和iOS 11.1的完美越狱。

12 月13日,阿里安全潘多拉实验室称,已经完美越狱苹果iOS 11.2。一天后,在苹果发布了iOS 11.2.1之后的数小时内,他们又演示了针对该版本的完美越狱。

研究人员龙磊表示,理解iOS系统,研究它的安全机制,验证苹果系统是否有“缺口”才是实验的目的。这也是后来潘多拉实验室一直没发布越狱工具的原因之一.。

总结:当然,2017年安全领域的关键词还有很多,小编整理的也只是一小部分,阿里聚安全在2017年有很多收获也有一些不足,在此与大家共勉,希望在2018年能继续为用户提供满意的安全服务,共同进步!感恩!


相关阅读:

https://jaq.alibaba.com/community/art/show?articleid=1295

时间: 2017-12-29

阿里聚安全年终盘点|2017互联网安全领域十大话题的相关文章

物联网年终盘点:最具影响力的十大并购

2016 渐渐接近尾声,这一年里,物联网的热度虽然不如过去几年,但国内外的资本依旧蠢蠢欲动,上游的芯片厂商在整合,下游的终端厂商也开始"抱团取暖".站在 2016 年的尾端,我们整理了过去一年里和物联网息息相关的 10 起并购事件(按时间轴排列). 索尼收购 Altair Semiconductor(牵牛星半导体) 时间:2016年1月,金额:2.12亿美元 2016年1月,日本索尼集团宣布以2.12亿美元收购以色列通信半导体供应商Altair Semiconductor(牵牛星半导体

携手共建互联网安全!阿里聚安全企业沙龙行走广州站!

 2016年06月29日 09:20  2643 为满足企业安全多元化的需求,阿里聚安全企业沙龙全国行已经完满的走完了三场,从用户到合作伙伴,再到开发者,我们的行走就是为了能携手更多的合作伙伴共建互联网安全生态圈,6月24日,我们来到有着众多创业开发爱好者的广州. 我们愿为用户.合作伙伴及开发者提供更多的资源和服务 阿里安全无线技术专家阿刻对阿里移动安全技术实践作了深度解析.日前很多不法分子利用互联网漏洞进行牟利已经成为新的违法犯罪趋势,催生了诸如"黄牛"."羊毛党"

阿里聚安全与蚂蚁金服战略合作,为千万商户提供安全服务

 2017年01月06日 14:08  1286 黑灰产规模日趋庞大.信息泄漏事件层出不穷--互联网安全形势不容乐观.万物互联时代,一个微小的安全风险都可能引发蝴蝶效应.没有一家企业或个人能独善其身,各方共建开放合作的互联网安全生态已势在必行.今天,蚂蚁金服全新"安全服务平台"在三亚正式上线,标志着蚂蚁金服安全生态正式进入2.0时代.该平台引入行业顶尖安全公司帮助千万中小商户解决安全问题,成为蚂蚁金服打造世界顶尖.基于大数据的网络生态安全的重要一环. 赋能商户:帮助中小商户扎牢&quo

北上广深的请注意,阿里聚安全来找你玩啦~

北上广深的小伙伴,阔别这么久,聚安全来找你们玩啦~ 本次阿里聚安全企业沙龙行,时间跨度11月18日至11月30日,分别举行4场活动,覆盖北京.深圳.广州.上海等地.届时会有阿里安全部门的神秘大咖到来,分享互联网业务安全趋势及应对方案.技术实践深度解析等等.现场设置互动问答环节,不仅可以解决困扰各位的疑难杂症,还能了解到阿里安全最新的技术知识,一起边学边玩,精彩不容错过! 欢迎各路的小伙伴前来参加,还有一份惊喜送给大家! 沙龙日期 11月18日--北京  11月22日--深圳  11月23日--广

20万大奖等你拿!阿里聚安全攻防挑战赛报名开启!

"阿里聚安全攻防挑战赛" 已成功举办过两届,并逐渐成为安全行业经典赛事品牌,本届更是推出史上最强权威导师助阵,是业界不可错过的年度盛事!挑战赛主要让参赛选手真实的挑战阿里巴巴移动安全和业务安全的防御.本次挑战赛奖励丰厚,总奖金累计20万,还有定制礼品等你来拿! 作为姊妹赛事的"阿里聚安全算法赛"将在2017年2月启动,联结大数据和安全两大领域,展现大数据对于安全监测和防御的重要性. 本届主题是"独'聚'匠心",旨在汇聚安全行业精英,为更多的网络安

云栖大会——阿里聚安全亮出创新技术 颠覆APP传统安全加固

 2016年10月17日 17:32  2175 10月13日,杭州 · 云栖大会如期召开,亮点之一就是将会有众多"黑科技"汇聚,其中由阿里聚安全带来的"全量混淆"和"瘦身"技术开创了APP安全加固的新方向.快速的配置操作使得用户能够无缝平衡业务发展与安全保障. 阿里聚安全是阿里巴巴集团整合自身安全能力对外输出的安全开放平台,细数阿里聚安全的产品发展历程:从强大攻防能力的移动安全组件到业内领先的风险决策引擎,再到基于深度学习技术的内容安全····

北京的小伙伴,本周五阿里聚安全约你来玩

北京的小伙伴,本周五(11.18)阿里聚安全带着安全部门的神秘大咖,一起和你约起来! 本次沙龙的主要议题是分享互联网业务安全趋势及应对方案.技术实践深度解析等等.当然还有现场互动问答环节,不仅可以解决困扰各位的疑难杂症,还能了解到阿里安全最新的技术知识,一起边学边玩,精彩不容错过! 其他地方的小伙伴也不要心急,本次阿里聚安全企业沙龙行,时间跨度11月18日至11月30日,分别举行4场活动,覆盖北京.深圳.广州.上海等地.欢迎各路的小伙伴前来参加,还有一份惊喜送给大家! 沙龙日期 11月18日--

阿里聚安全企业沙龙全国行广州站,期待你的报名!

 2016年08月22日 16:22  2451 阿里聚安全企业沙龙全国行广州站,期待你的报名! 阿里聚安全是阿里巴巴集团整合自身安全能力对外输出的安全开放平台,依托国际领先的风险扫描引擎.立体式安全防护技术.庞大的数据库体系和计算能力,为企业级应用和移动应用开发者提供多维度的全周期安全解决方案,集成方式简单快捷,帮助企业与开发者快速定位并解决互联网应用中存在的风险,与行业共享阿里巴巴集团十几年来在互联网安全领域实战的积累. 已服务超过1000个移动应用和10000个互联网站点,总体覆盖超过5亿

阿里聚安全企业沙龙全国行上海站报名啦!

 2016年09月01日 10:44  2435 阿里聚安全是阿里巴巴集团整合自身安全能力对外输出的安全开放平台,依托国际领先的风险扫描引擎.立体式安全防护技术.庞大的数据库体系和计算能力,为企业级应用和移动应用开发者提供多维度的全周期安全解决方案,集成方式简单快捷,帮助企业与开发者快速定位并解决互联网应用中存在的风险,与行业共享阿里巴巴集团十几年来在互联网安全领域实战的积累. 已服务超过1000个移动应用和10000个互联网站点,总体覆盖超过5亿个终端.面对庞大的移动安全市场需求,阿里聚安全已