1、更多的IOT意味着更多的DDOS攻击

2008年，IBM提议智能城市建设，就是所谓的Smart City。之后，越来越多的科技会议都在探讨研究Smart City这个理念。要建设Smart City，首先离不开的就是IOT(Internet of Things)。传统的网络已经不能满足人类的需求，因此物联网时代诞生了。摄像头要联网，监控系统要联网，汽车要联网，工控设备要联网，甚至人也要联网等，而这几年也是物联网时代的一个元年。但是，IOT的安全却不容乐观。2016年10月，美国DNS服务商遭到大型DDOS攻击，而这些攻击流量大部分都是从被入侵的IOT设备发出来的。随后，德国电信又遭到大型DDOS攻击，超过90万台路由器下线，其攻击流量也是从被入侵的IOT设备中发出的。随后新加坡等数个东南亚国家相继遭受到大范围的DDOS攻击。2017年，如果IOT厂商和用户还不注重这方面的安全，那么2017年或有可能产生有史以来最大范围和流量的DDOS攻击。

 

　　2、数据盗窃

春节来临之前，全球众多厂商的Mongo DB，ES等未做登陆验证的数据库遭到黑客入侵。黑客拖下数据备份，并且删除线上服务器的数据以此来进行勒索。这只是其中一个例子，2017年，个人数据，金融数据等将是数据盗窃团伙的首要目标。特别是近几年，大量的厂商开始推行Saas平台，一旦Saas平台遭到入侵，数据盗取量是十分惊人的。2016年，Yahoo以10亿数据泄露的代价成为史上最佳数据泄露的互联网企业，每年数据泄露的数量都在大幅度上升。值得庆幸的是《中国国家网络安全法》已经发布，该法案将在2017年6月份开始执行。该法案对于企业和政府安全基础建设有着极大的推动力。或许在执行该法案后，中国地区数据盗窃量会有所下降。

 

　　3、Web程序将遭受到更多的攻击

虽然WAF发展已经有数年的时间，但是WAF其主要作用还是在DDOS，SQL注入，XSS等常规攻击上做维护。不过，像权限绕过，SSRF, CSRF等逻辑漏洞是无法用安全产品来进行维护的。2017年，众测平台将会有较大的发展，单纯靠机器挖掘漏洞已经不能满足于需求，人工检测漏洞的服务数量或许会大幅度上升。

 

　　4、网络勒索继续来袭

2017年，网络勒索的数量和方式会有较大的提升。主要勒索类型为：软件勒索，数据勒索和DDOS勒索。

勒索软件将会跨平台进行勒索，除了针对个人PC的勒索外，还有移动端勒索软件，工控设备勒索，服务器系统勒索软件等。这些勒索软件普遍采用RSA对系统内的文件进行加密，除了暴力破解和付费，别无其它方法。针对这个类型的攻击，除了用户和员工的安全意识培养以外，还需要在相关的安全基础建设外下功夫，比如病毒防火墙，云查杀，沙箱查杀等。

近几个月，数据勒索事件也开始增加。2016年年底，大量的ES，Mongo DB数据由于未做验证，导致黑客可以进行未授权访问这些数据库。黑客拖下数据之后做备份，并且删除了数据服务器上的一切数据以此来做勒索。应对这种勒索方式，厂商需要提前做好云备份或者实时备份措施，同时需要对数据库登陆口令进行检测，杜绝弱口令和无口令的情况发生。

2016年OVH服务器供应商遭到了1Tbps的IOT DDOS攻击。由于市面上大量IOT设备存在诸多漏洞，所以黑客可以拥有一个非常强大并且稳定的肉鸡集群。或许在2017年，会有多家互联网企业遭受DDOS勒索攻击。

(责任编辑：安博涛)