2014年還沒(méi)有過(guò)去，假日購(gòu)物季才剛剛進(jìn)入高潮，我們都知道，災(zāi)難性的Target泄露事故發(fā)生在去年的11月下旬到12月中旬。

本文中談?wù)摰牟恢皇枪艉托孤妒鹿?，而是關(guān)于更廣泛的問(wèn)題或趨勢(shì)，它們有可能塑造這個(gè)行業(yè)的未來(lái)。

下面讓我們看看專(zhuān)家們對(duì)2014年安全問(wèn)題和趨勢(shì)的看法：

網(wǎng)絡(luò)威脅勝過(guò)恐怖主義

上周美聯(lián)社在有關(guān)美國(guó)聯(lián)邦政府每年花費(fèi)100億美元保護(hù)其多個(gè)機(jī)構(gòu)的報(bào)道中指出，情報(bào)官員稱(chēng)網(wǎng)絡(luò)威脅現(xiàn)在已經(jīng)超過(guò)恐怖主義，成為美國(guó)面臨的頭號(hào)威脅。

雖然在過(guò)去幾十年間，網(wǎng)絡(luò)攻擊都在不斷擴(kuò)大和發(fā)展，但這里出現(xiàn)了質(zhì)的變化：不只是犯罪分子試圖竊取金錢(qián)，而且民族國(guó)家在利用攻擊來(lái)進(jìn)行間諜行為以獲取軍事優(yōu)勢(shì)。

Conventus管理合伙人Sarah Issacs表示，在9月，北約認(rèn)為網(wǎng)絡(luò)攻擊可能觸發(fā)軍事事件，這不只是關(guān)于保護(hù)信用卡號(hào)碼，而已經(jīng)升級(jí)到新的水平。

Co3 Systems公司首席技術(shù)官兼安全專(zhuān)家Bruce Schneier也表示同意，他認(rèn)為，越來(lái)越多的高級(jí)攻擊不再是金融盜竊，而是來(lái)自新型攻擊者，新的威脅模式。

在ISACA對(duì)高級(jí)持續(xù)威脅的調(diào)查中發(fā)現(xiàn)，92%的受訪(fǎng)者感覺(jué)APT[注]是嚴(yán)重威脅，有可能危及國(guó)家安全和經(jīng)濟(jì)穩(wěn)定。

云計(jì)算使用的增長(zhǎng)

云計(jì)算(私有、公共和混合云[注])不是新鮮事物。但越來(lái)越多地使用云計(jì)算存儲(chǔ)服務(wù)正給企業(yè)帶來(lái)很大風(fēng)險(xiǎn)。

Schneier表示，持續(xù)遷移到云計(jì)算意味著，我們失去對(duì)計(jì)算環(huán)境的控制，大多數(shù)我們的數(shù)據(jù)都位于云計(jì)算中，由其他公司控制。

雖然專(zhuān)家稱(chēng)云計(jì)算服務(wù)提供商通常會(huì)提供更好的安全性，但對(duì)于“影子”云計(jì)算使用并不是這樣，員工通常認(rèn)為自己部署云服務(wù)要比通過(guò)IT部門(mén)更容易，而這樣做并不安全。

萬(wàn)物互聯(lián)(IoE)--攻擊者新前沿

物聯(lián)網(wǎng)已經(jīng)是過(guò)去式，現(xiàn)在是萬(wàn)物互聯(lián)(IoE)。智能嵌入式設(shè)備已經(jīng)成為主流，現(xiàn)在數(shù)量達(dá)到數(shù)十億，到2020年預(yù)計(jì)將超過(guò)1萬(wàn)億。

這意味著越來(lái)越多的數(shù)據(jù)流向互聯(lián)網(wǎng)，而這些數(shù)據(jù)可能被盜竊或者用于營(yíng)銷(xiāo)目的以及惡意目的。

每個(gè)人都在過(guò)度分享一切信息。這種威脅很廣泛，且具有災(zāi)難性。

智能設(shè)備的漏洞被利用已經(jīng)展示過(guò)很多次，這促使Identiv公司高級(jí)副總裁Phil Montgomery呼吁行業(yè)采用更加系統(tǒng)的基于標(biāo)準(zhǔn)的安全方法，以及更強(qiáng)的身份驗(yàn)證形式，而不是依靠過(guò)時(shí)的用戶(hù)名/密碼技術(shù)。

第三方帶來(lái)的風(fēng)險(xiǎn)

今年，大家已經(jīng)開(kāi)始意識(shí)到第三方承包商導(dǎo)致的泄露事故的風(fēng)險(xiǎn)。

監(jiān)管機(jī)構(gòu)正在試圖維持這種意識(shí)。支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC)的新任總經(jīng)理Stephen Orfei指出，安全是最薄弱的環(huán)節(jié)，這意味著你的業(yè)務(wù)合作伙伴的安全做法應(yīng)該同樣受到關(guān)注。

除了審核供應(yīng)商的安全標(biāo)準(zhǔn)，企業(yè)還應(yīng)該要求其供應(yīng)商購(gòu)買(mǎi)網(wǎng)絡(luò)/數(shù)據(jù)泄露保險(xiǎn)，以對(duì)供應(yīng)商疏忽而造成的數(shù)據(jù)泄露事故進(jìn)行賠償。

人的威脅

第三方可能是安全鏈中最薄弱的環(huán)節(jié)，而這不太可能是由于技術(shù)，而更多地是由于人類(lèi)因素。

前國(guó)家安全局雇員斯諾登讓企業(yè)開(kāi)始意識(shí)到惡意內(nèi)部人員的風(fēng)險(xiǎn)，但有時(shí)候可靠的內(nèi)部人員的“不小心”也可能帶來(lái)風(fēng)險(xiǎn)。

在面對(duì)非常強(qiáng)大的社會(huì)工程攻擊時(shí)，員工需要自己控制自己。

美國(guó)聯(lián)邦政府今年報(bào)道稱(chēng)，在2013年，63%其系統(tǒng)的泄露事故是因?yàn)槿藶殄e(cuò)誤。

在2014年，員工疏忽仍然很?chē)?yán)重，問(wèn)題包括，因?yàn)槿狈Π踩庾R(shí)而沒(méi)有執(zhí)行例行的安全程序、日常草錯(cuò)錯(cuò)誤和不當(dāng)行為。

不僅僅普通員工可能給企業(yè)帶來(lái)風(fēng)險(xiǎn)，很多高管都不知道其敏感數(shù)據(jù)的位置，他們更不可能知道如何保護(hù)它們。#p#

無(wú)處不在的BYOD

BYOD現(xiàn)在正在把極不可靠的商業(yè)應(yīng)用帶入到企業(yè)內(nèi)部，其中有很多漏洞，有些免費(fèi)應(yīng)用可能并沒(méi)有很高的安全性(+微信關(guān)注網(wǎng)絡(luò)世界)，而且人們還不安裝補(bǔ)丁。

現(xiàn)在世界上的移動(dòng)設(shè)備已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)電腦的數(shù)量。事實(shí)上，在很多地區(qū)，移動(dòng)設(shè)備是大多數(shù)用戶(hù)聯(lián)網(wǎng)的唯一方式，而安全仍然是事后考慮。

不到一半的用戶(hù)會(huì)更改在線(xiàn)密碼或PIN碼。

而且，現(xiàn)在聯(lián)網(wǎng)可穿戴設(shè)備(BYOW)在工作場(chǎng)所正變得越來(lái)越普遍，多數(shù)專(zhuān)業(yè)人士表示其BYOD政策并沒(méi)有涵蓋可穿戴技術(shù)，有些甚至沒(méi)有BYOD政策。

事件響應(yīng)(IR)

所有上述問(wèn)題都導(dǎo)致企業(yè)更加注重IR。

現(xiàn)在有三個(gè)趨勢(shì)：越來(lái)越多的數(shù)據(jù)存儲(chǔ)在云計(jì)算[注]中以及更多網(wǎng)絡(luò)被外包;更多由民族國(guó)家發(fā)起的APT[注];企業(yè)缺乏對(duì)保護(hù)和檢測(cè)的投資，給事件響應(yīng)留下巨大負(fù)擔(dān)。

但現(xiàn)在人們更多地開(kāi)始談?wù)揑R。安全專(zhuān)家的口頭禪是，這不是企業(yè)是否會(huì)受到攻擊的問(wèn)題，有效的IR計(jì)劃(結(jié)合檢測(cè))可以緩解攻擊。

正確部署IR很關(guān)鍵，這是安全行業(yè)最困難的工作。你可以部署各種技術(shù)來(lái)檢測(cè)、預(yù)防和分析，但如果你的工作流程出問(wèn)題，或者團(tuán)隊(duì)需要被事件調(diào)查工作壓倒，你仍然可能受到攻擊。

請(qǐng)?zhí)峁└啾O(jiān)管

零售行業(yè)曾經(jīng)譴責(zé)政府監(jiān)管，而現(xiàn)在該行業(yè)則開(kāi)始唱反調(diào)，當(dāng)涉及網(wǎng)絡(luò)安全問(wèn)題時(shí)。

美國(guó)零售商們開(kāi)始向美國(guó)國(guó)會(huì)兩院領(lǐng)導(dǎo)人呼吁制定適用于所有遭受數(shù)據(jù)泄露實(shí)體的聯(lián)邦法律，以明確向所有受影響消費(fèi)者的通知，無(wú)論他們住在哪里或者泄露事故發(fā)生在哪里。

但是，通知并不等于提高安全性，并且監(jiān)管在這方面只能提供有限的調(diào)節(jié)。

我們應(yīng)該怎么做?

當(dāng)然，安全問(wèn)題并沒(méi)有萬(wàn)能解決方案。我們不可能指出什么是最大的威脅。

專(zhuān)家提供的建議是，提供更多培訓(xùn)，不只是針對(duì)提高員工的安全意識(shí)，而且還有下一代IT安全專(zhuān)家的意識(shí)，例如在大學(xué)課程中增加這樣的內(nèi)容。提高安全性需要結(jié)合技術(shù)和培訓(xùn)。

企業(yè)之間需要更多的溝通，安全專(zhuān)家需要想辦法與同行或受信任的安全組分享攻擊模式或類(lèi)型的情報(bào)信息。

ISACA有很多項(xiàng)目，從風(fēng)險(xiǎn)管理框架(例如COBIT5)到網(wǎng)絡(luò)安全Nexus(CSX)來(lái)確保網(wǎng)絡(luò)安全專(zhuān)家具備幫助企業(yè)抵御威脅的能力。

最后讓我們看看幾個(gè)建議：

· 改善采購(gòu)流程。企業(yè)總是需要很長(zhǎng)時(shí)間才能購(gòu)買(mǎi)新技術(shù)。

· 從教育你的員工什么是DHS以及NIST開(kāi)始。

· 不要相信營(yíng)銷(xiāo)術(shù)語(yǔ)，試圖獲取現(xiàn)實(shí)世界的反饋。

· 運(yùn)行模擬攻擊。

· 不要遵循紙質(zhì)政策，進(jìn)行實(shí)際演練。