安全政策 让连接更安全

外媒:2015年网络安全趋势

 

 

  春节的脚步刚刚走过,2015年网络安全更加严峻。据外媒报道,供应商、分析师和权威人士每年都会对这一年的网络安全进行预测。尽管有些人对“谈论”这一话题饶有兴趣,但不可否认,安全和隐私已经是企业、组织、个体和政府议程中非常重要的一部分。因此外媒在调查了17个组织发表的前瞻性文章之后,将产生的130项预测分为以下几类:

 

 

 攻击的来源来自网络安全军备的竞赛

  在榜单之首是“新型攻击媒介和平台”和“现有网络安全解决方案的完善”,这两大类揭示了网络安全军备竞赛的现实。在第一类,好几位评论员强调了“广泛使用的旧代码里的新漏洞”,例如Heartbleed/OpenSSL和Shellshock/Bash,而在IPv6协议里的漏洞以及UEFI丰富的启动环境里rootkit和bot可能会产生新的攻击媒介。苹果是主要被标记的新平台,其日益增长的企业足迹意味着恶意软件编写者将更适应它们的工具箱。近期销售数字只会更加刺激攻击者对苹果产品的“垂涎欲滴”。


  大部分预测属于第二类“现有网络安全解决方案的完善”,包括Immuni Web的观点:如果单独使用或者没有人为干预“自动化安全工具和解决方案将不再高效”。还有观点认为,攻击者将规避沙盒技术,并通过在攻击中加入不相关内容阻碍调查者或者蓄意栽赃不相关的攻击者来转移调查者注意力。同时互联网数据中心IDC分析师预测“到2017年,90%的企业的终点将是利用某种形式的硬件保护以确保企业的完整性”和“到2018年,25%的之前单独购买的安全应用程序将直接集成到企业的应用程序里”。

 

 

穿戴、物联的网络世界威胁

  

  好几个预测类型都指出了特定的新攻击类型和平台,尤其是物联网、移动科技、社交网络、大数据和分析、云服务、零售终端和支付系统、网络技术、开源软件、第三方攻击和恶意广告。这显示了随着整个世界通过网络相连,攻击者攻击的机会越来越多,例如近期发现的一个弱点使得通过基于Linux的控制软件就可以劫持无人机,或无人驾驶飞行器。

 

  同样的,物联网让网络罪犯更可能重点照顾自动化行业,例如发电或者油气开采里的M2M通讯。ICS/SCADA与现实世界安全之间的差距只会越来越大。在另一端,市场调研公司Forrester预测2015年“一个可穿戴设备的数据泄露会刺激联邦贸易委员会FTC采取行动”--而那些想要实施基于可穿戴设备的员工健康项目的企业应该三思了。

 

社交、大数据与云安全

  

社交网络是攻击者日益关注的另一个焦点,攻击工具通过社交网络里获得信息,而后完成个性化攻击。大多数攻击目标都有一定的社会背景,这增加了功效和简易性。在2015年,攻击者将继续利用他们对攻击目标的了解来获取至关重要的系统和数据。


  至于大数据和分析, salami攻击(一次只窃取一小部分资产)的兴起,利用了受害者的警惕线,即使加密或者匿名化后,通过社交网络、信用卡交易、网络摄像头和数字足迹收集的大量数据可以拼凑成一张令人感到害怕的完整画面。这不仅威胁了个人,也威胁了政府组织、企业和业务合作伙伴。2015年,大数据与salami攻击的对抗,将成为新的对抗网络犯罪的游戏。


  云服务是网络安全的另一片战场,云和基础设施即服务IaaS公司将就它们管理和保护数据的能力彼此竞争,同时为顾客提供提高生产率的功能性。无法提供相同程度的访问控制、数据保护和提高生产率的云公司将无法获得顾客最至关重要的数据。与此同时,IDC认为安全软件本身应该进入云:“企业将把安全软件作为一种服务(SaaS)。在2015年底,15%的安全保障将通过SaaS来提供,到2018年这一比例将达到33%.”  

 

  展望

  2015年,展望有两点:  

  第一点,企业只依赖防火墙和安装杀毒软件来保护网络安全是远远不够的。首席安全官CSO和首席信息安全官CIO,需要持续监测进化的威胁,将“如果我们被攻击”的观点转变为“当我们被攻击了”的状态。


  第二点,企业组织对于社会、移动、大数据、云服务以及其它数字化转换策略毫无疑问面临新型网络攻击,后者将不断的测试目前的网络安全工具箱,诸如防火墙、杀毒软件、VPN、入侵检测/保护系统、高级威胁防护等等。如果这些还不够,那么需要投资新的防护措施、技能熟练的员工来操作它们以及投资网络保险。

 

来源:网络