2015年悄然來臨 IT安全人士是否做好準備?
責編:admin |2015-01-13 17:30:40如今,在互聯網領域,對于安全業界來說,以下的這4個安全趨勢都已經非常的明顯, 這些趨勢也表明,對IT安全人士而言,2015年將非常具有挑戰性。
2015年IT安全4個趨勢
1、用戶登錄憑證需要更強的身份驗證
簡單地說,用戶名和密碼是通向王國的鑰匙,攻擊者可以使用各種攻擊向量來試圖竊取用戶登錄憑證。
常見的攻擊包括網絡釣魚攻擊,其中攻擊者會向毫無戒心的用戶發送看似合法的電子郵件。這個電子郵件可能包含某種附件來感染用戶,或者誘使用戶點擊鏈接來竊取其證書。
在2015年,隨著漏洞利用工具包開始提供越來越復雜的工具來進行攻擊,我們將會看到更多的用戶登錄憑證攻擊。
從防御的角度來看,使用強大的身份驗證(例如雙因素身份驗證)是2015年減少用戶登錄憑證攻擊的關鍵。FIDO(快速身份在線)聯盟在12月9日最終確定了強身份驗證的規范,這將有助于在未來開創用戶登錄憑證安全的新時代。
2、特權升級問題加劇
用戶登錄憑證不足以讓攻擊者完全掌控系統。在很多數據泄露事故中,攻擊者利用用戶登錄憑證作為進入網絡的切入點,然后再利用特權升級漏洞利用來獲取有價值數據。
在2015年,我們將會看到越來越多的特權升級漏洞,還會看到很多新技術來幫助保護企業目錄系統和基于角色的訪問控制。在2015年可能會改善的是微軟的Active Directory,它廣泛應用在企業中。
微軟在11月13日收購了私人持有的安全公司Aorato,這給微軟帶來了新的技術來幫助保護Active Directory。在7月份,Aorato公開報道Active directory中存在的高風險漏洞。
3、未打補丁的漏洞不斷被利用
在2014年,很多數據泄露事故是由已發布補丁的漏洞所導致。這個趨勢在2015年還將繼續,隨著軟件復雜性和軟件修復量繼續增長。
在2015年供應商為緩解未修復漏洞風險而采取的方法之一將會是自動化修復流程。多年來,谷歌已經完全自動化Chrome瀏覽器的更新,Adobe也已經為其Flash用戶提供了自動更新選項。通過移除用戶延遲和手動更新的需要,自動化更新將會在未來一年逐漸成為常態。
4、信息過載是風險
很多IT安全專業人士在2014年面對的主要挑戰之一是信息過載。鑒于企業可以部署的令人眼花繚亂的安全技術以及所有能發出的信號,尋找有關安全信息并不是簡單的工作。