- A+
本文中谈论的不只是攻击和泄露事故,而是关于更广泛的问题或趋势,它们有可能塑造信息安全行业的未来。下面让我们看看专家们对2014年安全问题和趋势的看法:
一、网络威胁胜过恐怖主义
上周美联社在有关美国联邦政府每年花费100亿美元保护其多个机构的报道中指出,情报官员称网络威胁现在已经超过恐怖主义,成为美国面临的头号威胁。
虽然在过去几十年间,网络攻击都在不断扩大和发展,但这里出现了质的变化:不只是犯罪分子试图窃取金钱,而且民族国家在利用攻击来进行间谍行为以获取军事优势。在ISACA对高级持续威胁的调查中发现,92%的受访者感觉APT是严重威胁,有可能危及国家安全和经济稳定。
二、云计算使用的增长
云计算(私有、公共和混合云)不是新鲜事物。但越来越多地使用云计算存储服务正给企业带来很大风险。Schneier表示,持续迁移到云计算意味着,我们失去对计算环境的控制,大多数我们的数据都位于云计算中,由其他公司控制。
虽然专家称云计算服务提供商通常会提供更好的安全性,但对于“影子”云计算使用并不是这样,员工通常认为自己部署云服务要比通过IT部门更容易,而这样做并不安全。
三、万物互联(IoE)攻击者新前沿
现在是万物互联(IoE)。智能嵌入式设备已经成为主流,现在数量达到数十亿,到2020年预计将超过1万亿。这意味着越来越多的数据流向互联网,而这些数据可能被盗窃或者用于营销目的以及恶意目的。
每个人都在过度分享一切信息。这种威胁很广泛,且具有灾难性。
智能设备的漏洞被利用已经展示过很多次,这促使呼吁行业采用更加系统的基于标准的安全方法,以及更强的身份验证形式,而不是依靠过时的用户名/密码技术的呼声越来越高。
四、第三方带来的风险
今年,大家已经开始意识到第三方承包商导致的数据泄露事故的风险。监管机构正在试图维持这种意识。支付卡行业安全标准委员会(PCI SSC)的新任总经理Stephen Orfei指出,安全是最薄弱的环节,这意味着你的业务合作伙伴的安全做法应该同样受到关注。
除了审核供应商的安全标准,企业还应该要求其供应商购买网络数据泄露保险,以对供应商疏忽而造成的数据泄露事故进行赔偿。
五、人的威胁
第三方可能是安全链中最薄弱的环节,而这不太可能是由于技术,而更多地是由于人类因素。前国家安全局雇员斯诺登让企业开始意识到恶意内部人员的风险,但有时候可靠的内部人员的“不小心”也可能带来风险。
在面对非常强大的社会工程攻击时,员工需要自己控制自己。美国联邦政府今年报道称,在2013年,63%其系统的泄露事故是因为人为错误。在2014年,员工疏忽仍然很严重,问题包括,因为缺乏安全意识而没有执行例行的安全程序、日常草错错误和不当行为。不仅仅普通员工可能给企业带来风险,很多高管都不知道其敏感数据的位置,他们更不可能知道如何保护它们。
六、无处不在的BYOD
BYOD现在正在把极不可靠的商业应用带入到企业内部,其中有很多漏洞,有些免费应用可能并没有很高的安全性,而且人们还不安装补丁。
现在世界上的移动设备已经远远超过电脑的数量。事实上,在很多地区,移动设备是大多数用户联网的唯一方式,而安全仍然是事后考虑。不到一半的用户会更改在线密码或PIN码。
而且,现在联网可穿戴设备(BYOW)在工作场所正变得越来越普遍,多数专业人士表示其BYOD政策并没有涵盖可穿戴技术,有些甚至没有BYOD政策。
- 我的微信
- 这是我的微信扫一扫
- 我的微信公众号
- 我的微信公众号扫一扫