Sophos：2021年消費(fèi)者安全上網(wǎng)最新研究

「黑色星期五」(Black Friday) 意指11月的最后一個(gè)星期五，代表美國(guó)感恩節(jié)周末以及全球性的大型網(wǎng)上購(gòu)物盛會(huì)已開(kāi)始，而此時(shí)也是網(wǎng)絡(luò)詐騙者和網(wǎng)絡(luò)釣魚(yú)攻擊蠢蠢欲動(dòng)的最佳時(shí)機(jī)。不過(guò)，相對(duì)地當(dāng)人們上網(wǎng)瀏覽和共享信息，尤其是使用外部或公司的計(jì)算機(jī)購(gòu)物時(shí)，是否也應(yīng)該擔(dān)心所面臨的未知風(fēng)險(xiǎn)？
 

Sophos 首席研究科學(xué)家 Chester Wisniewski研究當(dāng)今因特網(wǎng)安全的狀態(tài)。他將研究發(fā)現(xiàn)寫(xiě)成一系列文章，并在今年的黑色星期五時(shí)期公布。

Sophos 首席研究科學(xué)家 Chester Wisniewski為了找出問(wèn)題的答案，因此研究當(dāng)今因特網(wǎng)安全的狀態(tài)。他將研究發(fā)現(xiàn)寫(xiě)成一系列三篇文章，并在今年的黑色星期五時(shí)期公布。
文章摘要
1.不要害怕 Wi-Fi ─ 在這一篇探討公共 Wi-Fi 安全的文章中，Wisniewski 厘清什么是事實(shí)與什么是想象，并發(fā)現(xiàn)大多數(shù)人都比他們想象的要安全得多。例如，攻擊者除了必須實(shí)際出現(xiàn)在目標(biāo)的身邊，還得判斷哪些網(wǎng)站容易受到降級(jí)攻擊，以便透過(guò)未加密的網(wǎng)站重新導(dǎo)向流量，或是賭運(yùn)氣看能否找到只有 5% 的未加密網(wǎng)站 (其中大部分是廣告追蹤程序和營(yíng)銷(xiāo)垃圾郵件)。Wisniewski 還為更謹(jǐn)慎的使用者提供了一些替代方案和指導(dǎo)。
2.密碼管理程序可以使網(wǎng)絡(luò)更安全 (但要注意漏洞) ─ 在本文中，Wisniewski 對(duì) 8 個(gè)密碼管理程序進(jìn)行了測(cè)試。他分別扮演網(wǎng)絡(luò)釣魚(yú)的「受害者」和潛在的「攻擊者」，查看這些密碼管理程序在面對(duì)未加密的網(wǎng)站和使用假憑證的網(wǎng)站時(shí)，是否會(huì)拒絕自動(dòng)填入資料和/或提出警告。
3.2021 年全球信息網(wǎng) (WWW) 安全現(xiàn)況 ─ 隨著越來(lái)越多網(wǎng)絡(luò)用戶(hù)在將個(gè)人或財(cái)務(wù)數(shù)據(jù)送出到瀏覽器之前，會(huì)先檢查對(duì)方是否為 HTTPS 網(wǎng)站，Wisniewski 決定仔細(xì)深入研究 HTTP 強(qiáng)制安全傳輸 (HSTS)，了解有多少網(wǎng)站具備健全的加密和安全，以及加密被普遍采用的情況。Wisniewski 發(fā)現(xiàn)，雖然只有 5% 的網(wǎng)站尚未加密，但 61% 的已加密網(wǎng)站仍可能被「降級(jí)」，這會(huì)讓使用者暴露在何種程度的風(fēng)險(xiǎn)之中？
Sophos首席研究科學(xué)家 Chester Wisniewski表示： 「近年來(lái)，全球在改善因特網(wǎng)安全方面取得了巨大進(jìn)步。我們強(qiáng)化了安全性基準(zhǔn)，并在背后改變了實(shí)作對(duì)加密的方式，以確保通訊能保持私密性。還增強(qiáng)了密碼管理程序，幫助用戶(hù)在面對(duì)未加密的網(wǎng)站、使用假憑證的網(wǎng)站或顯然是網(wǎng)絡(luò)釣魚(yú)的網(wǎng)站時(shí)能保護(hù)自己免受傷害。結(jié)合以上發(fā)展，攻擊者不太可能經(jīng)由公用 Wi-Fi 鎖定使用者。畢竟，這種攻擊只能在受害者附近發(fā)動(dòng)，而不是從摩爾多瓦透過(guò) Tor 匿名進(jìn)行犯罪，且投資回報(bào)很低，因?yàn)樽钣袃r(jià)值的網(wǎng)站都已經(jīng)被加密了，所以犯罪分子為什么要還投入時(shí)間和精力攻擊？
「但風(fēng)險(xiǎn)依然存在，我們還有很長(zhǎng)的路要走。在太多數(shù)情況下，保持安全的大部分責(zé)任仍然在使用者。當(dāng)然，因特網(wǎng)使用者必須始終依照常識(shí)判斷和謹(jǐn)慎行事，尤其是在使用未知的網(wǎng)絡(luò)或?yàn)g覽不受信任的網(wǎng)站時(shí)，還需要小心偽裝成快遞公司或類(lèi)似企業(yè)的網(wǎng)絡(luò)釣魚(yú)電子郵件。但是網(wǎng)絡(luò)廠商、技術(shù)和服務(wù)提供商以及網(wǎng)絡(luò)安全行業(yè)還是必須了解并縮小仍然存在的安全漏洞—尤其是那些使用者自己無(wú)法輕易看到的漏洞——因?yàn)槿绻覀儸F(xiàn)在不解決它們，當(dāng)網(wǎng)絡(luò)攻擊者找到新方法來(lái)鎖定和利用它們或新出現(xiàn)的弱點(diǎn)時(shí)，我們就會(huì)遠(yuǎn)遠(yuǎn)落后?！?