2014年還沒有過去，假日購物季才剛剛進(jìn)入高潮，我們都知道，災(zāi)難性的Target泄露事故發(fā)生在去年的11月下旬到12月中旬。

本文中談?wù)摰牟恢皇枪�擊和泄露事故，而是關(guān)于更廣泛的問題或趨勢，它們有可能塑造這個行業(yè)的未來。

下面讓我們看看專家們對2014年安全問題和趨勢的看法：

上周美聯(lián)社在有關(guān)美國聯(lián)邦政府每年花費100億美元保護(hù)其多個機(jī)構(gòu)的報道中指出，情報官員稱網(wǎng)絡(luò)威脅現(xiàn)在已經(jīng)超過恐怖主義，成為美國面臨的頭號威脅。

雖然在過去幾十年間，網(wǎng)絡(luò)攻擊都在不斷擴(kuò)大和發(fā)展，但這里出現(xiàn)了質(zhì)的變化：不只是犯罪分子試圖竊取金錢，而且民族國家在利用攻擊來進(jìn)行間諜行為以獲取軍事優(yōu)勢。

Conventus管理合伙人Sarah Issacs表示，在9月，北約認(rèn)為網(wǎng)絡(luò)攻擊可能觸發(fā)軍事事件，這不只是關(guān)于保護(hù)信用卡號碼，而已經(jīng)升級到新的水平。

Co3 Systems公司首席技術(shù)官兼安全專家Bruce Schneier也表示同意，他認(rèn)為，越來越多的高級攻擊不再是金融盜竊，而是來自新型攻擊者，新的威脅模式。

在ISACA對高級持續(xù)威脅的調(diào)查中發(fā)現(xiàn)，92%的受訪者感覺APT是嚴(yán)重威脅，有可能危及國家安全和經(jīng)濟(jì)穩(wěn)定。

云計算(私有、公共和混合云)不是新鮮事物。但越來越多地使用云計算存儲服務(wù)正給企業(yè)帶來很大風(fēng)險。

Schneier表示，持續(xù)遷移到云計算意味著，我們失去對計算環(huán)境的控制，大多數(shù)我們的數(shù)據(jù)都位于云計算中，由其他公司控制。

雖然專家稱云計算服務(wù)提供商通常會提供更好的安全性，但對于“影子”云計算使用并不是這樣，員工通常認(rèn)為自己部署云服務(wù)要比通過IT部門更容易，而這樣做并不安全。

物聯(lián)網(wǎng)已經(jīng)是過去式，現(xiàn)在是萬物互聯(lián)(IoE)。智能嵌入式設(shè)備已經(jīng)成為主流，現(xiàn)在數(shù)量達(dá)到數(shù)十億，到2020年預(yù)計將超過1萬億。

這意味著越來越多的數(shù)據(jù)流向互聯(lián)網(wǎng)，而這些數(shù)據(jù)可能被盜竊或者用于營銷目的以及惡意目的。

每個人都在過度分享一切信息。這種威脅很廣泛，且具有災(zāi)難性。

智能設(shè)備的漏洞被利用已經(jīng)展示過很多次，這促使Identiv公司高級副總裁Phil Montgomery呼吁行業(yè)采用更加系統(tǒng)的基于標(biāo)準(zhǔn)的安全方法，以及更強(qiáng)的身份驗證形式，而不是依靠過時的用戶名/密碼技術(shù)。

今年，大家已經(jīng)開始意識到第三方承包商導(dǎo)致的泄露事故的風(fēng)險。

監(jiān)管機(jī)構(gòu)正在試圖維持這種意識。支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(PCI SSC)的新任總經(jīng)理Stephen Orfei指出，安全是最薄弱的環(huán)節(jié)，這意味著你的業(yè)務(wù)合作伙伴的安全做法應(yīng)該同樣受到。

除了審核供應(yīng)商的安全標(biāo)準(zhǔn)，企業(yè)還應(yīng)該要求其供應(yīng)商購買網(wǎng)絡(luò)/數(shù)據(jù)泄露保險，以對供應(yīng)商疏忽而造成的數(shù)據(jù)泄露事故進(jìn)行賠償。

第三方可能是安全鏈中最薄弱的環(huán)節(jié)，而這不太可能是由于技術(shù)，而更多地是由于人類因素。

前國家安全局雇員斯諾登讓企業(yè)開始意識到惡意內(nèi)部人員的風(fēng)險，但有時候可靠的內(nèi)部人員的“不小心”也可能帶來風(fēng)險。

在面對非常強(qiáng)大的社會工程攻擊時，員工需要自己控制自己。

美國聯(lián)邦政府今年報道稱，在2013年，63%其系統(tǒng)的泄露事故是因為人為錯誤。

在2014年，員工疏忽仍然很嚴(yán)重，問題包括，因為缺乏安全意識而沒有執(zhí)行例行的安全程序、日常草錯錯誤和不當(dāng)行為。

不僅僅普通員工可能給企業(yè)帶來風(fēng)險，很多高管都不知道其敏感數(shù)據(jù)的位置，他們更不可能知道如何保護(hù)它們。

BYOD現(xiàn)在正在把極不可靠的商業(yè)應(yīng)用帶入到企業(yè)內(nèi)部，其中有很多漏洞，有些免費應(yīng)用可能并沒有很高的安全性，而且人們還不安裝補(bǔ)丁。

現(xiàn)在世界上的移動設(shè)備已經(jīng)遠(yuǎn)遠(yuǎn)超過電腦的數(shù)量。事實上，在很多地區(qū)，移動設(shè)備是大多數(shù)用戶聯(lián)網(wǎng)的唯一方式，而安全仍然是事后考慮。

不到一半的用戶會更改在線密碼或PIN碼。

而且，現(xiàn)在聯(lián)網(wǎng)可穿戴設(shè)備(BYOW)在工作場所正變得越來越普遍，多數(shù)專業(yè)人士表示其BYOD政策并沒有涵蓋可穿戴技術(shù)，有些甚至沒有BYOD政策。

所有上述問題都導(dǎo)致企業(yè)更加注重IR。

現(xiàn)在有三個趨勢：越來越多的數(shù)據(jù)存儲在云計算中以及更多網(wǎng)絡(luò)被外包;更多由民族國家發(fā)起的APT;企業(yè)缺乏對保護(hù)和檢測的投資，給事件響應(yīng)留下巨大負(fù)擔(dān)。

但現(xiàn)在人們更多地開始談?wù)揑R。安全專家的口頭禪是，這不是企業(yè)是否會受到攻擊的問題，有效的IR計劃(結(jié)合檢測)可以緩解攻擊。

正確部署IR很關(guān)鍵，這是安全行業(yè)最困難的工作。你可以部署各種技術(shù)來檢測、預(yù)防和分析，但如果你的工作流程出問題，或者團(tuán)隊需要被事件調(diào)查工作壓倒，你仍然可能受到攻擊。

零售行業(yè)曾經(jīng)譴責(zé)政府監(jiān)管，而現(xiàn)在該行業(yè)則開始唱反調(diào)，當(dāng)涉及網(wǎng)絡(luò)安全問題時。

美國零售商們開始向美國國會兩院領(lǐng)導(dǎo)人呼吁制定適用于所有遭受數(shù)據(jù)泄露實體的聯(lián)邦法律，以明確向所有受影響消費者的通知，無論他們住在哪里或者泄露事故發(fā)生在哪里。

但是，通知并不等于提高安全性，并且監(jiān)管在這方面只能提供有限的調(diào)節(jié)。

當(dāng)然，安全問題并沒有萬能解決方案。我們不可能指出什么是最大的威脅。

專家提供的建議是，提供更多培訓(xùn)，不只是針對提高員工的安全意識，而且還有下一代IT安全專家的意識，例如在大學(xué)課程中增加這樣的內(nèi)容。提高安全性需要結(jié)合技術(shù)和培訓(xùn)。

企業(yè)之間需要更多的溝通，安全專家需要想辦法與同行或受信任的安全組分享攻擊模式或類型的情報信息。

ISACA有很多項目，從風(fēng)險管理框架(例如COBIT5)到網(wǎng)絡(luò)安全Nexus(CSX)來確保網(wǎng)絡(luò)安全專家具備幫助企業(yè)抵御威脅的能力。

最后讓我們看看幾個建議：

· 改善采購流程。企業(yè)總是需要很長時間才能購買新技術(shù)。

· 從教育你的員工什么是DHS以及NIST開始。

· 不要相信營銷術(shù)語，試圖獲取現(xiàn)實世界的反饋。

· 運(yùn)行模擬攻擊。

· 不要遵循紙質(zhì)政策，進(jìn)行實際演練。

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： 安全 大數(shù)據(jù) 互聯(lián)網(wǎng) 金融 漏洞 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全問題 網(wǎng)絡(luò)安全專家 信息安全 云服務(wù) 云計算 云計算服務(wù)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。