2011年即將過去�,這一年網(wǎng)絡安全領域發(fā)生太多的事情。云計算��、移動互聯(lián)網(wǎng)等新技術得到了大家的認可和廣泛的應用����,隨之而來的網(wǎng)絡安全問題也受到了大家的重視...
2011年即將過去����,這一年網(wǎng)絡安全領域發(fā)生太多的事情�����。云計算�、移動互聯(lián)網(wǎng)等新技術得到了大家的認可和廣泛的應用,隨之而來的網(wǎng)絡安全問題也受到了大家的重視�。那么,2012年網(wǎng)絡安全領域將會是怎樣的情形呢?Kroll
Inc公司網(wǎng)絡安全和信息保障部門在做年度安全預測時指出:移動技術安全威脅�����,社交媒體����,黑客行動主義( hacktivism )等在2012年將會愈演愈烈。
該部門的負責人Karen
Schuler稱�����,2011年出現(xiàn)的安全事件說明在網(wǎng)絡安全領域�,一些公共組織或私營機構仍然存在問題。令這些組織頭疼的傳統(tǒng)問題包括移動技術�,事件響應和管理要求在2012年將加劇�����。網(wǎng)絡安全和信息保障部門的高級常務董事Alan
Brill稱,經(jīng)常會看到一些組織把自己假定為非攻擊目標來制定防護措施����。但是2011年的教訓告訴我們不能心存僥幸。企業(yè)需要實施策略性的主動網(wǎng)絡安全防護��,面對安全問題不能一葉蔽目�����。
1�、移動技術安全威脅將是前所未有的
移動技術發(fā)展如此迅速以至于在一些企業(yè)中部署新技術的需要和壓力將超過公司的在安全上的承受能力。而這對于那些準備利用移動應用實施高度定向惡意攻擊的人而言已經(jīng)不是秘密���。同樣����,設備丟失的問題也會擴展到這些新技術以及過去網(wǎng)絡安全計劃中覆蓋不到的設備�。例如,醫(yī)療設備中用來記錄門診治療的數(shù)碼相機對想要竊取病人信息的人就具有很大的吸引力����。這類數(shù)據(jù)的丟失違背了HIPAA隱私法規(guī)可能對醫(yī)療行業(yè)造成嚴重影響����。
2�、社交媒體將成為社工行為的幫兇
社交媒體在企業(yè)中迅速擴張,它也因此成為惡劣一大威脅�。到2012年,社交媒體的資料將成為社工策略的渠道�。盜竊信息的人利用社工技術迫使終端用戶公開敏感信息,下載惡意軟件或是二者兼具���。為了應對這種威脅��,各公司應該不局限于基礎安全策略�����,還應該使用更高級的技術����,如防數(shù)據(jù)泄漏�����,高級網(wǎng)絡監(jiān)控和日志文件分析等。
3�、中小企業(yè)也會成為網(wǎng)絡攻擊的目標
“黑客行動主義”可能登上新聞頭條,但事實上數(shù)據(jù)盜竊僅僅是尋找企業(yè)安全防護中的最薄弱環(huán)節(jié)而已��。之后�,再通過這個最薄弱的環(huán)節(jié)長驅直入獲取大量有價值信息�����。最常見的攻擊模式從社工到SQL注入不等�。此外,使用沒有升級的舊系統(tǒng)也會降低企業(yè)的防御能力��,企業(yè)信息可能因此處于高危狀態(tài)�。
4、隨著云服務的普及��,相關的數(shù)據(jù)泄露事件也會層出不窮
從效益角度出發(fā)��,企業(yè)會在節(jié)約成本和簡化操作的基礎上使用云服務��。遺憾的是����,當前的調(diào)查和報告指出現(xiàn)在很多公司在審查云服務商的時候都低估了安全的重要性���。2012年,云服務的使用率會增加����,新的漏洞會突顯這些服務給分析與事件響應帶來的挑戰(zhàn),而云安全最終也會得到應有的關注�����。
5�����、商業(yè)和政府合作對于經(jīng)濟和架構健康而言是關鍵任務
無論是大公司還是個人消費者�����,網(wǎng)絡犯罪都可以對其商業(yè)行為進行破壞����。同樣,美國架構的安全也讓人不放心�。基于這些原因,在美國的私營企業(yè)和美國政府之間的信息共享正在加強��。私營機構與公共部門之間加強溝通不僅讓政府掌握足夠信息來打擊主要威脅�,還增強了私有機構響應重大危機的能力。
6�、隱私上的顧慮將導致地理定位技術的白熱化
地理定位技術是一把典型的雙刃劍。一方面����,用戶喜歡創(chuàng)新移動應用帶來的邊界以及利用這項技術提供的服務。另一方面��,該技術也可能導致行蹤等信息的泄露���。事實上,2011年美國就出臺了兩條有關地理定位信息保護的聯(lián)邦法案��。不知道這兩條法案在2012年是否會成為法律�,但是隱私或許可以促使企業(yè)接受買/賣方贊成模式。
7�����、日志的管理和分析在事件準備與響應中會越來越被重視
安全事件的復雜性與頻率在近年都有所增加��,最有效的響應方式之一就是為網(wǎng)絡和關鍵應用保留完整日志。雖然這一點在過去沒有得到應有的重視��,但是日志記錄可以為網(wǎng)絡行為和安全事件文檔的分析提供重要信息����。到2012年,各公司會看到各式各樣的錯誤���,然后他們就可以部署正式的風險評估來查找安全薄弱環(huán)節(jié)�����。
8�����、事件響應團隊在標準商業(yè)運營中會持續(xù)獲得青睞
以前�����,事件響應團隊的成員都是機動性的���,只在安全事件發(fā)生的時候才會被號召起來。但是為了保持公司在當今市場的競爭力�,公司需要將事件響應團隊從機動部隊升級為常規(guī)化的運作。有效的事件響應團隊可以是專職進行事件響應的員工也可以是第三方顧問組成的團隊。
9���、公司可能會輕視一些關鍵性的漏洞��,因為常規(guī)性的裝置會繼續(xù)推動企業(yè)的安全
州立法規(guī)與聯(lián)邦法規(guī)都保留著大量數(shù)據(jù)隱私和安全的衡量尺度�����。但是用這些東西來推動安全是不可靠的��,因為大量數(shù)據(jù)安全法規(guī)都忽視了基本的IT安全控件����。當然�,會有一些法規(guī)可以解決加密需求或是事件響應計劃的開發(fā)���,但是極少有法規(guī)要求提供廣泛的最佳實例控件����,如最新的反病毒軟件�。安全漏洞導致越來越多的破壞行為,期望一些監(jiān)管機構能夠為風險評估和標準IT安全控件提供專門指導��。
10、違規(guī)通知方面的法律會在美國以外的地方得到發(fā)展
雖然美國國會在聯(lián)邦級別的違規(guī)通知法律上沒有形成共識�����,但是這一概念在世界范圍內(nèi)發(fā)展勢頭不錯����。德國在2010年久要求所有部門出具違規(guī)通知,還有一些歐盟國家也對此表現(xiàn)出興趣����。同時,加拿大也正在考慮并將其作為PIPEDA修訂版的一部分強制執(zhí)行�,這樣就可以對加拿大企業(yè)收集,使用和公開個人信息的情況進行監(jiān)管�����。希望躋身國際市場的公司應該密切關注這些發(fā)展�����,因為這對公司的海外運營有著顯著影響����。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺���。如使用任何字體和圖片文字有冒犯其版權所有方的,皆為無意�。如您是字體廠商、圖片文字廠商等版權方����,且不允許本站使用您的字體和圖片文字等素材,請聯(lián)系我們����,本站核實后將立即刪除!任何版權方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的��,均視為新型網(wǎng)絡碰瓷及敲詐勒索���,將不予任何的法律和經(jīng)濟賠償!敬請諒解��!
粵公網(wǎng)安備 44030402000264號