安全威胁和保护必须跟随者威胁的发展而发展。我们向安全专家咨询了在接下来三到十年期间中小企业将要面临的安全趋势的重要信息。
你今天制定的安全计划面对以后的威胁还能有用吗?
为了创建一个有效的信息安全项目,计划和准备是关键。尤其是那些安全主管必须知道安全威胁正在发生什么样的变化,并且评估哪些技术能够最有效的降低他们的风险。然后,至少在中小企业中,他们必须确认和采用可能的物有所值的安全方法。
毫不奇怪,因为这些要求,Forrester Research的研究表明中小企业今年的的高级安全开销的优先次序会是整合新的端点安全技术,在网络结构内部设置更多的安全保卫和持续采用多功能安全器材。
然而,考虑到这些中小企业用来保卫安全的稀少资源,这些开销次序合适吗?此外,安全环境在接下来的3到5年会有什么样的变化,在此期间,攻击以及技术会带来危险还是希望呢?
为了找到答案,我们向安全专家咨询了不久的将来的十大安全趋势的细节。
1.攻击者们会不断进步。
在接下来的5年里,公司会一直碰到什么类型的安全威胁?“安全中一般类型的攻击和规则是不会改变的”Randy Abrams预测,他是ESET,一个安全软件提供方的技术教育部门的主管,但是,“已有的攻击技术和模型会演化成新的方式”
以通过e-mail的419欺骗行为为例。这些是钓鱼式攻击(Phishing attacks),欺骗人们相信他们正在和一个合法的在线公司交易。从概念上说,这些攻击并不新颖。但是,今天绝大部分的攻击只是在一个主题方面翻来覆去而已,这个主题就是如何偷钱。
“公司真正需要关注的重点是理解基础结构”Abram说。换句话说,维持一个用来减轻高级安全威胁的策略,包括更新安全策略和经常性的训练职员,尤其是识别社会工程攻击(social engineering attacks)的方法。“社会工程将一直会是对SMBs的最成功的攻击之一”他说,“教育会是对抗这个的唯一方法”。
2.钓鱼式攻击次数将会下降
教育者已经可以指出一个显著的成功:钓鱼式攻击的有效性逐渐下降。“钓鱼式攻击已经开始走向末路”Steve Cole说,他是拥有180个雇员的San Mateo Credit Union的观察员,“IE7,firefox2,扩展了Verisign的安全认证—Verisign刚结束对使用者的教导:不要点击e-mails的连接。”
即使教育是有效的,在将来一些自动保护也不会起作用。“我希望看到一些东西能够真正阻止钓鱼式攻击”他说。
3.Vista的效率问题挥之不去
除了不断的垃圾邮件,间谍软件,恶意软件和链接的流行,Cole说他的最头痛的安全问题不是最新的攻击,而是预先安装在新PC上的操作系统。“我们最大的困难是我们被强迫在桌面上安装Vista”他解释说“每次我和别人谈起Vista,它简直就是个恶梦”。主要是因为“加强安全”的提示的数目,这些提示在用户尝试一些可能不完全安全的操作时会询问,警告或者建议用户。
如果Vista的安全加强导致了一个潜在的效率恶梦,Microsoft需要多长时间来改变它?“7年前,人们说我们该怎么处理Windows 2000,我们需要从NT4.0升级吗?”Michael Gavin说,他是提供安全风险评估的Security Innovation的安全战略家。“我们的标准答案是,至少给它一个或两个服务包和足够的时间,这样一切可以解决,因为在这个时候,不只是从安全观点看,如果一些东西被你接受,只是因为它是新的,你暂时就会歇业了”。
