2014年還沒有過去，假日購(gòu)物季才剛剛進(jìn)入高潮，我們都知道，災(zāi)難性的Target泄露事故發(fā)生在去年的11月下旬到12月中旬。

本文中談?wù)摰牟恢皇枪�擊和泄露事故，而是關(guān)于更廣泛的問題或趨勢(shì)，它們有可能塑造這個(gè)行業(yè)的未來。

下面讓我們看看專家們對(duì)2014年安全問題和趨勢(shì)的看法：

上周美聯(lián)社在有關(guān)美國(guó)聯(lián)邦政府每年花費(fèi)100億美元保護(hù)其多個(gè)機(jī)構(gòu)的報(bào)道中指出，情報(bào)官員稱網(wǎng)絡(luò)威脅現(xiàn)在已經(jīng)超過恐怖主義，成為美國(guó)面臨的頭號(hào)威脅。

雖然在過去幾十年間，網(wǎng)絡(luò)攻擊都在不斷擴(kuò)大和發(fā)展，但這里出現(xiàn)了質(zhì)的變化：不只是犯罪分子試圖竊取金錢，而且民族國(guó)家在利用攻擊來進(jìn)行間諜行為以獲取軍事優(yōu)勢(shì)。

Conventus管理合伙人Sarah Issacs表示，在9月，北約認(rèn)為網(wǎng)絡(luò)攻擊可能觸發(fā)軍事事件，這不只是關(guān)于保護(hù)信用卡號(hào)碼，而已經(jīng)升級(jí)到新的水平。

Co3 Systems公司首席技術(shù)官兼安全專家Bruce Schneier也表示同意，他認(rèn)為，越來越多的高級(jí)攻擊不再是金融盜竊，而是來自新型攻擊者，新的威脅模式。

在ISACA對(duì)高級(jí)持續(xù)威脅的調(diào)查中發(fā)現(xiàn)，92%的受訪者感覺APT是嚴(yán)重威脅，有可能危及國(guó)家安全和經(jīng)濟(jì)穩(wěn)定。

云計(jì)算(私有、公共和混合云)不是新鮮事物。但越來越多地使用云計(jì)算存儲(chǔ)服務(wù)正給企業(yè)帶來很大風(fēng)險(xiǎn)。

Schneier表示，持續(xù)遷移到云計(jì)算意味著，我們失去對(duì)計(jì)算環(huán)境的控制，大多數(shù)我們的數(shù)據(jù)都位于云計(jì)算中，由其他公司控制。

雖然專家稱云計(jì)算服務(wù)提供商通常會(huì)提供更好的安全性，但對(duì)于“影子”云計(jì)算使用并不是這樣，員工通常認(rèn)為自己部署云服務(wù)要比通過IT部門更容易，而這樣做并不安全。

物聯(lián)網(wǎng)已經(jīng)是過去式，現(xiàn)在是萬物互聯(lián)(IoE)。智能嵌入式設(shè)備已經(jīng)成為主流，現(xiàn)在數(shù)量達(dá)到數(shù)十億，到2020年預(yù)計(jì)將超過1萬億。

這意味著越來越多的數(shù)據(jù)流向互聯(lián)網(wǎng)，而這些數(shù)據(jù)可能被盜竊或者用于營(yíng)銷目的以及惡意目的。

每個(gè)人都在過度分享一切信息。這種威脅很廣泛，且具有災(zāi)難性。

智能設(shè)備的漏洞被利用已經(jīng)展示過很多次，這促使Identiv公司高級(jí)副總裁Phil Montgomery呼吁行業(yè)采用更加系統(tǒng)的基于標(biāo)準(zhǔn)的安全方法，以及更強(qiáng)的身份驗(yàn)證形式，而不是依靠過時(shí)的用戶名/密碼技術(shù)。

今年，大家已經(jīng)開始意識(shí)到第三方承包商導(dǎo)致的泄露事故的風(fēng)險(xiǎn)。

監(jiān)管機(jī)構(gòu)正在試圖維持這種意識(shí)。支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC)的新任總經(jīng)理Stephen Orfei指出，安全是最薄弱的環(huán)節(jié)，這意味著你的業(yè)務(wù)合作伙伴的安全做法應(yīng)該同樣受到。

除了審核供應(yīng)商的安全標(biāo)準(zhǔn)，企業(yè)還應(yīng)該要求其供應(yīng)商購(gòu)買網(wǎng)絡(luò)/數(shù)據(jù)泄露保險(xiǎn)，以對(duì)供應(yīng)商疏忽而造成的數(shù)據(jù)泄露事故進(jìn)行賠償。

第三方可能是安全鏈中最薄弱的環(huán)節(jié)，而這不太可能是由于技術(shù)，而更多地是由于人類因素。

前國(guó)家安全局雇員斯諾登讓企業(yè)開始意識(shí)到惡意內(nèi)部人員的風(fēng)險(xiǎn)，但有時(shí)候可靠的內(nèi)部人員的“不小心”也可能帶來風(fēng)險(xiǎn)。

在面對(duì)非常強(qiáng)大的社會(huì)工程攻擊時(shí)，員工需要自己控制自己。

美國(guó)聯(lián)邦政府今年報(bào)道稱，在2013年，63%其系統(tǒng)的泄露事故是因?yàn)槿藶殄e(cuò)誤。

在2014年，員工疏忽仍然很嚴(yán)重，問題包括，因?yàn)槿狈Π踩�意識(shí)而沒有執(zhí)行例行的安全程序、日常草錯(cuò)錯(cuò)誤和不當(dāng)行為。

不僅僅普通員工可能給企業(yè)帶來風(fēng)險(xiǎn)，很多高管都不知道其敏感數(shù)據(jù)的位置，他們更不可能知道如何保護(hù)它們。

BYOD現(xiàn)在正在把極不可靠的商業(yè)應(yīng)用帶入到企業(yè)內(nèi)部，其中有很多漏洞，有些免費(fèi)應(yīng)用可能并沒有很高的安全性，而且人們還不安裝補(bǔ)丁。

現(xiàn)在世界上的移動(dòng)設(shè)備已經(jīng)遠(yuǎn)遠(yuǎn)超過電腦的數(shù)量。事實(shí)上，在很多地區(qū)，移動(dòng)設(shè)備是大多數(shù)用戶聯(lián)網(wǎng)的唯一方式，而安全仍然是事后考慮。

不到一半的用戶會(huì)更改在線密碼或PIN碼。

而且，現(xiàn)在聯(lián)網(wǎng)可穿戴設(shè)備(BYOW)在工作場(chǎng)所正變得越來越普遍，多數(shù)專業(yè)人士表示其BYOD政策并沒有涵蓋可穿戴技術(shù)，有些甚至沒有BYOD政策。

所有上述問題都導(dǎo)致企業(yè)更加注重IR。

現(xiàn)在有三個(gè)趨勢(shì)：越來越多的數(shù)據(jù)存儲(chǔ)在云計(jì)算中以及更多網(wǎng)絡(luò)被外包;更多由民族國(guó)家發(fā)起的APT;企業(yè)缺乏對(duì)保護(hù)和檢測(cè)的投資，給事件響應(yīng)留下巨大負(fù)擔(dān)。

但現(xiàn)在人們更多地開始談?wù)揑R。安全專家的口頭禪是，這不是企業(yè)是否會(huì)受到攻擊的問題，有效的IR計(jì)劃(結(jié)合檢測(cè))可以緩解攻擊。

正確部署IR很關(guān)鍵，這是安全行業(yè)最困難的工作。你可以部署各種技術(shù)來檢測(cè)、預(yù)防和分析，但如果你的工作流程出問題，或者團(tuán)隊(duì)需要被事件調(diào)查工作壓倒，你仍然可能受到攻擊。

零售行業(yè)曾經(jīng)譴責(zé)政府監(jiān)管，而現(xiàn)在該行業(yè)則開始唱反調(diào)，當(dāng)涉及網(wǎng)絡(luò)安全問題時(shí)。

美國(guó)零售商們開始向美國(guó)國(guó)會(huì)兩院領(lǐng)導(dǎo)人呼吁制定適用于所有遭受數(shù)據(jù)泄露實(shí)體的聯(lián)邦法律，以明確向所有受影響消費(fèi)者的通知，無論他們住在哪里或者泄露事故發(fā)生在哪里。

但是，通知并不等于提高安全性，并且監(jiān)管在這方面只能提供有限的調(diào)節(jié)。

當(dāng)然，安全問題并沒有萬能解決方案。我們不可能指出什么是最大的威脅。

專家提供的建議是，提供更多培訓(xùn)，不只是針對(duì)提高員工的安全意識(shí)，而且還有下一代IT安全專家的意識(shí)，例如在大學(xué)課程中增加這樣的內(nèi)容。提高安全性需要結(jié)合技術(shù)和培訓(xùn)。

企業(yè)之間需要更多的溝通，安全專家需要想辦法與同行或受信任的安全組分享攻擊模式或類型的情報(bào)信息。

ISACA有很多項(xiàng)目，從風(fēng)險(xiǎn)管理框架(例如COBIT5)到網(wǎng)絡(luò)安全Nexus(CSX)來確保網(wǎng)絡(luò)安全專家具備幫助企業(yè)抵御威脅的能力。

最后讓我們看看幾個(gè)建議：

· 改善采購(gòu)流程。企業(yè)總是需要很長(zhǎng)時(shí)間才能購(gòu)買新技術(shù)。

· 從教育你的員工什么是DHS以及NIST開始。

· 不要相信營(yíng)銷術(shù)語(yǔ)，試圖獲取現(xiàn)實(shí)世界的反饋。

· 運(yùn)行模擬攻擊。

· 不要遵循紙質(zhì)政策，進(jìn)行實(shí)際演練。

在不久的將來，云計(jì)算一定會(huì)徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識(shí)，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： 安全 大數(shù)據(jù) 互聯(lián)網(wǎng) 金融 漏洞 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全問題 網(wǎng)絡(luò)安全專家 信息安全 云服務(wù) 云計(jì)算 云計(jì)算服務(wù)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。