压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　2014年還沒有過去，假日購物季才剛剛進入高潮，我們都知道，災難性的Target泄露事故發生在去年的11月下旬到12月中旬。

　　本文中談論的不只是攻擊和泄露事故，而是關于更廣泛的問題或趨勢，它們有可能塑造這個行業的未來。

　　下面讓我們看看專家們對2014年安全問題和趨勢的看法：

　　網絡威脅勝過恐怖主義

　　上周美聯社在有關美國聯邦政府每年花費100億美元保護其多個機構的報道中指出，情報官員稱網絡威脅現在已經超過恐怖主義，成為美國面臨的頭號威脅。

　　雖然在過去幾十年間，網絡攻擊都在不斷擴大和發展，但這里出現了質的變化：不只是犯罪分子試圖竊取金錢，而且民族國家在利用攻擊來進行間諜行為以獲取軍事優勢。

　　Conventus管理合伙人Sarah Issacs表示，在9月，北約認為網絡攻擊可能觸發軍事事件，這不只是關于保護信用卡號碼，而已經升級到新的水平。

　　Co3 Systems公司首席技術官兼安全專家Bruce Schneier也表示同意，他認為，越來越多的高級攻擊不再是金融盜竊，而是來自新型攻擊者，新的威脅模式。

　　在ISACA對高級持續威脅的調查中發現，92%的受訪者感覺APT[注]是嚴重威脅，有可能危及國家安全和經濟穩定。

　　云計算使用的增長

　　云計算(私有、公共和混合云[注])不是新鮮事物。但越來越多地使用云計算存儲服務正給企業帶來很大風險。

　　Schneier表示，持續遷移到云計算意味著，我們失去對計算環境的控制，大多數我們的數據都位于云計算中，由其他公司控制。

　　雖然專家稱云計算服務提供商通常會提供更好的安全性，但對于“影子”云計算使用并不是這樣，員工通常認為自己部署云服務要比通過IT部門更容易，而這樣做并不安全。

　　萬物互聯(IoE)–攻擊者新前沿

　　物聯網已經是過去式，現在是萬物互聯(IoE)。智能嵌入式設備已經成為主流，現在數量達到數十億，到2020年預計將超過1萬億。

　　這意味著越來越多的數據流向互聯網，而這些數據可能被盜竊或者用于營銷目的以及惡意目的。

　　每個人都在過度分享一切信息。這種威脅很廣泛，且具有災難性。

　　智能設備的漏洞被利用已經展示過很多次，這促使Identiv公司高級副總裁Phil Montgomery呼吁行業采用更加系統的基于標準的安全方法，以及更強的身份驗證形式，而不是依靠過時的用戶名/密碼技術。

　　第三方帶來的風險

　　今年，大家已經開始意識到第三方承包商導致的泄露事故的風險。

　　監管機構正在試圖維持這種意識。支付卡行業安全標準委員會(PCI SSC)的新任總經理Stephen Orfei指出，安全是最薄弱的環節，這意味著你的業務合作伙伴的安全做法應該同樣受到關注。

　　除了審核供應商的安全標準，企業還應該要求其供應商購買網絡/數據泄露保險，以對供應商疏忽而造成的數據泄露事故進行賠償。

　　人的威脅

　　第三方可能是安全鏈中最薄弱的環節，而這不太可能是由于技術，而更多地是由于人類因素。

　　前國家安全局雇員斯諾登讓企業開始意識到惡意內部人員的風險，但有時候可靠的內部人員的“不小心”也可能帶來風險。

　　在面對非常強大的社會工程攻擊時，員工需要自己控制自己。

　　美國聯邦政府今年報道稱，在2013年，63%其系統的泄露事故是因為人為錯誤。

　　在2014年，員工疏忽仍然很嚴重，問題包括，因為缺乏安全意識而沒有執行例行的安全程序、日常草錯錯誤和不當行為。

　　不僅僅普通員工可能給企業帶來風險，很多高管都不知道其敏感數據的位置，他們更不可能知道如何保護它們。

　　無處不在的BYOD

　　BYOD現在正在把極不可靠的商業應用帶入到企業內部，其中有很多漏洞，有些免費應用可能并沒有很高的安全性(+微信關注網絡世界)，而且人們還不安裝補丁。

　　現在世界上的移動設備已經遠遠超過電腦的數量。事實上，在很多地區，移動設備是大多數用戶聯網的唯一方式，而安全仍然是事后考慮。

　　不到一半的用戶會更改在線密碼或PIN碼。

　　而且，現在聯網可穿戴設備(BYOW)在工作場所正變得越來越普遍，多數專業人士表示其BYOD政策并沒有涵蓋可穿戴技術，有些甚至沒有BYOD政策。

　　事件響應(IR)

　　所有上述問題都導致企業更加注重IR。

　　現在有三個趨勢：越來越多的數據存儲在云計算[注]中以及更多網絡被外包；更多由民族國家發起的APT[注]；企業缺乏對保護和檢測的投資，給事件響應留下巨大負擔。

　　但現在人們更多地開始談論IR。安全專家的口頭禪是，這不是企業是否會受到攻擊的問題，有效的IR計劃(結合檢測)可以緩解攻擊。

　　正確部署IR很關鍵，這是安全行業最困難的工作。你可以部署各種技術來檢測、預防和分析，但如果你的工作流程出問題，或者團隊需要被事件調查工作壓倒，你仍然可能受到攻擊。

　　請提供更多監管

　　零售行業曾經譴責政府監管，而現在該行業則開始唱反調，當涉及網絡安全問題時。

　　美國零售商們開始向美國國會兩院領導人呼吁制定適用于所有遭受數據泄露實體的聯邦法律，以明確向所有受影響消費者的通知，無論他們住在哪里或者泄露事故發生在哪里。

　　但是，通知并不等于提高安全性，并且監管在這方面只能提供有限的調節。

　　我們應該怎么做？

　　當然，安全問題并沒有萬能解決方案。我們不可能指出什么是最大的威脅。

　　專家提供的建議是，提供更多培訓，不只是針對提高員工的安全意識，而且還有下一代IT安全專家的意識，例如在大學課程中增加這樣的內容。提高安全性需要結合技術和培訓。

　　企業之間需要更多的溝通，安全專家需要想辦法與同行或受信任的安全組分享攻擊模式或類型的情報信息。

　　ISACA有很多項目，從風險管理框架(例如COBIT5)到網絡安全Nexus(CSX)來確保網絡安全專家具備幫助企業抵御威脅的能力。

　　最后讓我們看看幾個建議：

　　· 改善采購流程。企業總是需要很長時間才能購買新技術。

　　· 從教育你的員工什么是DHS以及NIST開始。

　　· 不要相信營銷術語，試圖獲取現實世界的反饋。

　　· 運行模擬攻擊。

　　· 不要遵循紙質政策，進行實際演練。