對應(yīng)攻擊，在過去一年中，安全防御重點(diǎn)發(fā)生了巨大轉(zhuǎn)變——從傳統(tǒng)的外圍防御轉(zhuǎn)移至傾向以數(shù)據(jù)中心為核心的安全控制、基于情報(bào)的安全系統(tǒng)以及加強(qiáng)檢測、響應(yīng)并在攻擊活動(dòng)出現(xiàn)后緩解數(shù)據(jù)泄露影響的相關(guān)能力。與此同時(shí)，安全專業(yè)人員與業(yè)務(wù)部門的協(xié)同合作更加密切。

另外，隨著互聯(lián)網(wǎng)接入設(shè)備數(shù)量的進(jìn)一步攀升，安全專家們預(yù)計(jì)物聯(lián)網(wǎng)的全面興起將給整個(gè)IT行業(yè)帶來新一輪安全挑戰(zhàn)。

下面我們就一起來看2013年中的十大IT安全關(guān)鍵問題：

1. 白帽Wi-Fi攻擊暴露業(yè)務(wù)數(shù)據(jù)安全漏洞

白帽黑客們通過實(shí)際行動(dòng)證明：電子商務(wù)賬戶以及銀行信息當(dāng)中所涉及的用戶名、密碼、聯(lián)系人列表等敏感內(nèi)容很容易被惡意人士通過公共Wi-Fi熱點(diǎn)加以奪取。

2. 研究人士指出，針對數(shù)字簽名的惡意軟件正迅速成為主要威脅

數(shù)字簽名惡意軟件已經(jīng)成為當(dāng)下另一大發(fā)展迅猛的安全威脅，其主要訴求在于回避白名單以及沙箱安全控制機(jī)制。 “單單在過去一個(gè)季度當(dāng)中，我們就發(fā)現(xiàn)了120萬種新型簽名惡意軟件，”McAfee公司高級(jí)研究與威脅情報(bào)主管David Marcus表示。這類惡意軟件所使用的合法數(shù)字證書并非通過竊取或者偽造所取得，而是真正從證書頒發(fā)機(jī)構(gòu)或者其分包商處購得。

3. 聯(lián)邦調(diào)查局警告稱網(wǎng)絡(luò)釣魚攻擊有增長趨勢

今年七月，美國聯(lián)邦調(diào)查局方面稱針對多個(gè)行業(yè)的魚叉式釣魚攻擊呈現(xiàn)出增長勢頭。魚叉式釣魚攻擊——一種針對性較高的釣魚郵件——是攻擊者們?nèi)肭侄它c(diǎn)并在企業(yè)內(nèi)部網(wǎng)絡(luò)中獲取立足之地的主要工具之一。根據(jù)調(diào)查局的說法，攻擊者會(huì)根據(jù)受害人所在的行業(yè)或者企業(yè)選擇合適的攻擊對象。

4. SQLi始終未能解決，這一切何時(shí)才能終結(jié)?

開放Web應(yīng)用安全項(xiàng)目(簡稱Owasp)繼續(xù)將SQL注入式攻擊評選為全球十大關(guān)鍵性Web應(yīng)用風(fēng)險(xiǎn)之一。不過自該項(xiàng)目15年前誕生以來就一直面臨著這樣的問題：SQL注入式攻擊是什么?這類攻擊為什么如此重要?為什么始終無法將其徹底解決?不知道什么時(shí)候SQLi能夠真正被安全人員制服。

5. RSA表示安全需求正在發(fā)生變化，但我們該如何理解這一說法?

RSA執(zhí)行主席Art Coviello在RSA 2013歐洲大會(huì)的開幕主題演講中向IT安全業(yè)界提出要求，希望歐洲能夠再次像第二次世界大戰(zhàn)結(jié)束后那樣以同樣的精神建立起共同化市場。但他到底想表達(dá)什么意思?其中內(nèi)涵耐人尋味。

6. 安全最終可以促進(jìn)業(yè)務(wù)

新型安全技術(shù)將最終使企業(yè)員工更輕松地保障業(yè)務(wù)安全并推動(dòng)企業(yè)運(yùn)營，Voltage安全公司高級(jí)主管Dave Anderson如是說。目前世界上很多大型企業(yè)都已經(jīng)開始將信息安全作為戰(zhàn)略性優(yōu)勢并希望借此重新實(shí)現(xiàn)數(shù)據(jù)價(jià)值。“盡管這個(gè)話題我們已經(jīng)討論了多年，但直到過去一兩年其實(shí)現(xiàn)過程才真正變得簡單可行，”他在接受采訪時(shí)指出。

7. 大部分企業(yè)的安全事件響應(yīng)機(jī)制無法達(dá)標(biāo)

大部分企業(yè)還沒有準(zhǔn)備好應(yīng)對網(wǎng)絡(luò)攻擊活動(dòng)，電子取證企業(yè)Guidance Software公司表示。不過隨著對流程及溝通策略的合理評估，已經(jīng)有高達(dá)七成的企業(yè)擺正了自己的安全定位。

8. 報(bào)告顯示，過去一年中DDoS攻擊數(shù)量比以往高出三倍

根據(jù)Arbor Networks發(fā)布的調(diào)查，從今年的監(jiān)控統(tǒng)計(jì)來看，流量超過20Gbps的分布式拒絕服務(wù)(簡稱DDoS)攻擊活動(dòng)數(shù)量與2012年全年相比高出三倍以上。盡管DDoS攻擊已經(jīng)成為不容忽視的巨大業(yè)務(wù)風(fēng)險(xiǎn)，但一項(xiàng)由通信企業(yè)Neustar于今年七月發(fā)布的調(diào)查顯示，仍有約兩成的英國受訪者坦言自己的企業(yè)并沒有部署DDoS保護(hù)機(jī)制。

9. 《紐約時(shí)報(bào)》遭遇黑客主義攻擊，域名注冊機(jī)制遭到鎖定

通信及分析企業(yè)Neustar公司認(rèn)為，今年針對《紐約時(shí)報(bào)》的敘利亞黑客主義攻擊讓我們不得不正視鎖定域名注冊的必要性。支持?jǐn)⒗麃喛偨y(tǒng)巴沙爾•阿薩德的黑客組織敘利亞電子軍在成功獲取了對該網(wǎng)站域名系統(tǒng)(簡稱DNS)設(shè)置的訪問權(quán)后使其陷入癱瘓。電子軍破壞了《紐約時(shí)報(bào)》的域名注冊服務(wù)商Melbourne IT并通過修改使DNS記錄指向位于敘利亞及俄羅斯的其它系統(tǒng)。

10. 物聯(lián)網(wǎng)將帶來“巨大的安全風(fēng)險(xiǎn)”

物聯(lián)網(wǎng)的興起將帶來巨大的安全風(fēng)險(xiǎn)，這是某次CW500 Club會(huì)議通過研討得出的結(jié)論。到2020年，全球?qū)⒂袛?shù)萬億個(gè)傳感裝置通過互聯(lián)網(wǎng)傳輸數(shù)據(jù)，其內(nèi)容涉及每個(gè)人日常生活中的方方面面。這類數(shù)據(jù)能夠作為寶貴的輔助信息，用于指導(dǎo)城市規(guī)劃或者提醒消費(fèi)者在哪些商店能夠以優(yōu)惠價(jià)格買到自己喜歡的商品，但與此同時(shí)，它也將帶來前所未有的個(gè)人隱私與安全性風(fēng)險(xiǎn)。