该部门的负责人Karen Schuler称,2011年出现的安全事件说明在网络安全领域,一些公共组织或私营机构仍然存在问题。令这些组织头疼的传统问题包括移动技术,事件响应和管理要求在2012年将加剧。网络安全和信息保障部门的高级常务董事Alan Brill称,经常会看到一些组织把自己假定为非攻击目标来制定防护措施。但是2011年的教训告诉我们不能心存侥幸。企业需要实施策略性的主动网络安全防护,面对安全问题不能一叶蔽目。
1、移动技术安全威胁将是前所未有的
移动技术发展如此迅速以至于在一些企业中部署新技术的需要和压力将超过公司的在安全上的承受能力。而这对于那些准备利用移动应用实施高度定向恶意攻击的人而言已经不是秘密。同样,设备丢失的问题也会扩展到这些新技术以及过去网络安全计划中覆盖不到的设备。例如,医疗设备中用来记录门诊治疗的数码相机对想要窃取病人信息的人就具有很大的吸引力。这类数据的丢失违背了HIPAA隐私法规可能对医疗行业造成严重影响。
2、社交媒体将成为社工行为的帮凶
社交媒体在企业中迅速扩张,它也因此成为恶劣一大威胁。到2012年,社交媒体的资料将成为社工策略的渠道。盗窃信息的人利用社工技术迫使终端用户公开敏感信息,下载恶意软件或是二者兼具。为了应对这种威胁,各公司应该不局限于基础安全策略,还应该使用更高级的技术,如防数据泄漏,高级网络监控和日志文件分析等。
3、中小企业也会成为网络攻击的目标
“黑客行动主义”可能登上新闻头条,但事实上数据盗窃仅仅是寻找企业安全防护中的最薄弱环节而已。之后,再通过这个最薄弱的环节长驱直入获取大量有价值信息。最常见的攻击模式从社工到SQL注入不等。此外,使用没有升级的旧系统也会降低企业的防御能力,企业信息可能因此处于高危状态。
4、随着云服务的普及,相关的数据泄露事件也会层出不穷
从效益角度出发,企业会在节约成本和简化操作的基础上使用云服务。遗憾的是,当前的调查和报告指出现在很多公司在审查云服务商的时候都低估了安全的重要性。2012年,云服务的使用率会增加,新的漏洞会突显这些服务给分析与事件响应带来的挑战,而云安全最终也会得到应有的关注。
5、商业和政府合作对于经济和架构健康而言是关键任务
无论是大公司还是个人消费者,网络犯罪都可以对其商业行为进行破坏。同样,美国架构的安全也让人不放心。基于这些原因,在美国的私营企业和美国政府之间的信息共享正在加强。私营机构与公共部门之间加强沟通不仅让政府掌握足够信息来打击主要威胁,还增强了私有机构响应重大危机的能力。
6、隐私上的顾虑将导致地理定位技术的白热化
地理定位技术是一把典型的双刃剑。一方面,用户喜欢创新移动应用带来的边界以及利用这项技术提供的服务。另一方面,该技术也可能导致行踪等信息的泄露。事实上,2011年美国就出台了两条有关地理定位信息保护的联邦法案。不知道这两条法案在2012年是否会成为法律,但是隐私或许可以促使企业接受买/卖方赞成模式。
7、日志的管理和分析在事件准备与响应中会越来越被重视
安全事件的复杂性与频率在近年都有所增加,最有效的响应方式之一就是为网络和关键应用保留完整日志。虽然这一点在过去没有得到应有的重视,但是日志记录可以为网络行为和安全事件文档的分析提供重要信息。到2012年,各公司会看到各式各样的错误,然后他们就可以部署正式的风险评估来查找安全薄弱环节。
8、事件响应团队在标准商业运营中会持续获得青睐
以前,事件响应团队的成员都是机动性的,只在安全事件发生的时候才会被号召起来。但是为了保持公司在当今市场的竞争力,公司需要将事件响应团队从机动部队升级为常规化的运作。有效的事件响应团队可以是专职进行事件响应的员工也可以是第三方顾问组成的团队。
9、公司可能会轻视一些关键性的漏洞,因为常规性的装置会继续推动企业的安全
州立法规与联邦法规都保留着大量数据隐私和安全的衡量尺度。但是用这些东西来推动安全是不可靠的,因为大量数据安全法规都忽视了基本的IT安全控件。当然,会有一些法规可以解决加密需求或是事件响应计划的开发,但是极少有法规要求提供广泛的最佳实例控件,如最新的反病毒软件。安全漏洞导致越来越多的破坏行为,期望一些监管机构能够为风险评估和标准IT安全控件提供专门指导。
10、违规通知方面的法律会在美国以外的地方得到发展
虽然美国国会在联邦级别的违规通知法律上没有形成共识,但是这一概念在世界范围内发展势头不错。德国在2010年久要求所有部门出具违规通知,还有一些欧盟国家也对此表现出兴趣。同时,加拿大也正在考虑并将其作为PIPEDA修订版的一部分强制执行,这样就可以对加拿大企业收集,使用和公开个人信息的情况进行监管。希望跻身国际市场的公司应该密切关注这些发展,因为这对公司的海外运营有着显著影响。