对于2015年的网络安全

sjwb1225

　　信息安全和隐私似乎是永恒的热门话题，近几个月出现了不少高调的网络攻击和暴行，这导致全世界的中心再次关注于围绕数据保护、加密、隐私和监控的话题。这些占据新闻头条的事件涉及了政府、企业和其它组织、家庭和个人的数据泄露。
　　网络安全问题近期出现在世界上最显著的平台之一上——美国年度国情咨文,美国总统奥巴马表示：
　　“绝不允许任何国家或者黑客有关闭我们网络，窃取我们的商业机密或者侵犯美国家庭隐私的能力。我们正在确保政府联合情报机构打击网络威胁，正如我们对抗恐怖主义一样。今晚，我催促国会通过法案以更好打击日益猖獗的网络攻击和身份窃盗，保护儿童的隐私信息。如果我们不积极行动起来，我们的国家和经济将面临威胁。但如果我们有所作为，我们就能继续保护造福于全世界人民的科技。”zgnpxw.com
　　那些非法窃取在线信息和通讯的黑客以及试图保护信息安全的人们已经陷入一场军备竞赛。每一年都会发生各种黑客攻击，日益进化的网络技术导致安全行业努力利用现有工具抵抗攻击，同时收集有关新威胁的情报。用户也是这一问题的一部分，他们粗心或者恶意的网络行为让黑客有机可乘，或者直接导致网络漏洞。
　　2015安全预测
　　供应商、分析师和权威人士每年年初都会对接下来12个月的网络安全进行预测。尽管有些人对“谈论”这一话题饶有兴趣，但不可否认，安全和隐私已经是企业、组织、个体和政府议程中非常重要的一部分。因此我们调查17个组织发表的前瞻性文章并将产生的130项预测分为以下几类：

　　名单之首是“新型攻击媒介和平台”和“现有网络安全解决方案的进化”，这两类展示了网络安全军备竞赛的现实。在第一类，好几名评论员强调了“广泛使用的旧代码里的新漏洞”(卡巴斯基实验室)，例如Heartbleed/OpenSSL和Shellshock/Bash，而企业移动管理市场领导者Sophos表示IPv6协议里的漏洞以及UEFI丰富的启动环境里rootkit和bot可能会产生新的攻击媒介。苹果是主要被标记的新平台，例如FireEye认为“苹果日益增长的企业足迹意味着恶意软件编写者将适应它们的工具箱”。近期销售数字只会更加刺激黑客对苹果产品的“垂涎欲滴”。
　　好几个预测类型都指出了特定的新攻击类型和平台，尤其是物联网、移动科技、社交网络、大数据和分析、云服务、零售终端和支付系统、网络技术、开源软件、第三方攻击和恶意广告。这显示了随着整个世界通过网络相连，黑客攻击的机会越来越多，例如近期发现的一个弱点使得通过基于Linux的控制软件就可以劫持无人机(或者无人驾驶飞行器)。
　　在第三类IoT里，整合Web、信息和数据安全防护解决方案提供商Websense指出“你的冰箱不是一个IT威胁，工业传感器才是。”也就是说，网络罪犯更可能攻击自动化行业，例如发电或者油气开采里的M2M通讯，而非试图“融化你的智能冰箱里的黄油或者煮沸牛奶”。Sophos对此表示赞同，它表示“ICS/SCADA与现实世界安全之间的差距只会越来越大。”在IoT这一栏的另一端，市场调研公司Forrester预测2015年“一个可穿戴设备的数据泄露会刺激联邦贸易委员会FTC采取行动”——而那些想要实施基于可穿戴设备的员工健康项目的企业应该三思了。
　　很多评论员表示第四类的移动平台将日益吸引黑客和网络罪犯的注意力，尤其是现在移动支付系统，例如Apple Pay已经日益成熟。Websense也认为黑客将以移动设备为目标，“不仅是为了攻破手机密码并从设备里窃取数据，更是作为一种媒介获取设备在云端存储的日益增多的数据资源”。
　　社交网络是黑客日益关注的另一个焦点，正如企业资安防护技术全球厂商BigCoat表示：“攻击工具将从社交网络里获得信息而以更好地方式实现个性化攻击。大多数攻击目标都有一定的社会背景，这增加了功效和简易性。黑客将利用他们对攻击目标的了解来获取至关重要的系统和数据。”
　　云服务是网络安全的另一个战场，Varonis Systems认为“云和基础设施即服务(IaaS)公司将就它们管理和保护数据的能力彼此竞争，同时为顾客提供提高生产率的功能性。。。无法提供相同程度的访问控制、数据保护和提高生产率的云公司将无法获得顾客最至关重要的数据”。与此同时，IDC认为安全软件本身应该进入云：“企业将把安全软件作为一种服务(SaaS)。在2015年底，15%的安全保障将通过SaaS来提供，到2018年这一比例将达到33%。”
　　高调的安全漏洞还将持续成为2015年的新闻热点(“显著的数据泄露将导致网络安全问题持续受到关注”——赛门铁克)。然而，Websense尤为关注健康数据，这主要是考虑到“没有任何类型的记录能包含这么详尽的个人验证信息(PII)，后者可以被用于一系列的后续攻击和各种类型的诈骗”。
　　加密和隐私仍出现在2015年的安全预测里。据BlueCoat表示，加密是把双刃剑：“使用加密将继续保护顾客隐私。而隐匿在加密之后的恶意软件将躲避大多数企业的检测，这些企业试图在员工隐私和加密背后隐藏的攻击之间找到平衡点”。例如Sophos从政治角度谈到：“随着情报局监视以及数据泄露被披露，公众的安全意识和隐私担忧越来越强烈，加密最终将变成某种默认状态。某些组织，例如法律部门和情报局可能对此不满，因为他们认为这对安全性将产生有害的影响。”
　　好几名评论员也提到了组织安全策略的进化。FireEye认为“越来越少的企业会运行自己的安全运营中心(SOC)”，企业应该“从和平时期转向战时心态”，虽然网络安全问题导致IDC预测“截止2018年，75%的首席安全官CSO和首席信息安全官CISOs将向公司CEO，而非首席信息官CIO直接汇报”。sezyy.com
　　剩余的预测类型包括生物测定学、多因素认证、网络犯罪和网络安全技能，令人惊讶的是后者只被提到了一次，Sophos表示“全球技能的间隔将继续增大，其中应急响应和教育是关键重心”。
　　展望
　　关于网络安全有一件事是肯定的：公司只依赖防火墙和安装杀毒软件来保护网络安全是远远不够的。首席安全官和首席信息安全官需要持续监测进化的威胁，将“如果我们被攻击”的观点转变为“当我们被攻击了”的状态。
　　公司组织的社会、移动、大数据、云服务以及其它数字化转换策略毫无疑问将面临新型网络攻击，后者将不断的测试目前的网络安全工具箱——防火墙、杀毒软件、VPN、入侵检测/保护系统、高级威胁防护等等。如果这些还不够，那么需要投资新的防护措施、技能熟练的员工来操作它们以及投资网络保险。