探索中国CIO人才现状 | 第四季调研报告
2016年,需要关注的十大网络安全话题
2015-12-18  来源:e行网

“互联网就是一套完整的聚合体,”明尼苏达州立大学计算机科学副教授Andrew Chen指出。“其在起步阶段显示出强大的力量,而后带来极为诱人的发展前景,但最后却又引发相当可怕的潜在隐患。”是的,我们几乎无法对Chen博士的观点做出批驳。互联网确实就这样一路走来,而且相信会在2016年给我们带来更多安全威胁。下面一起来看具体理由。

1: 由国家支持的网络间谍活动将进一步升级

由20位网络防御专家撰写并由剑桥大学出版社出版的《塔林手册》将网络间谍活动定义为“一种以隐秘或者身份伪造手段实现的、利用网络功能进行信息收集并借此向对方传达既定意图的行为。”

而在2016年,将有更多与间谍活动相关的事件出现,而由国家发起的监控行为将指向世界上的每一位居民。借此收集到的数据将被用于实现经济优势并作为地缘政治冲突当中的数字化武器。

2:政府将加强面向企业的信息调查要求

虽然已经被认定无效,但美欧之间达成的安全港协议已经产生了实际影响。根据欧盟商务网站的报道,“爱尔兰的最高法院已经下令要求爱尔兰数据保护专员检查Facebook用户数据是否会被从欧洲传输至美国。”

政府方面将要求各企业继续上交各类敏感信息,这将导致企业不知道该信任谁以及遵循哪些监管要求。

3:各国将进一步控制本国境内的互联网信息

随着信任水平的持续下降,专家们建议各个国家都应该尝试对本国境内的互联网边界进行控制。Discern Analytics公司执行董事兼斯坦福大学咨询副教授Paul Saffo写道,“全球互联网的巴尔干化倾向将继续带来新的不确定性压力。各国政府也将更加积极地阻止民众访问不受欢迎的站点。”

4:在安全领域,大数据与分析恐怕帮不上什么忙

大数据与分析在迈向安全领域的道路上走得相当迟缓,而且已经有专家对此提出质疑。“很多企业正在盲目相信大数据,并根据错误的或者并不完整的数据集指导自身进行战略决策,”ISF全球副总裁Steve Durbin在接受采访时指出。“要避免这一问题,我们应该首先对大数据分析在信息安全问题方面的应用制定出一份宏观图景。”

作为其观点的补充,Gartner公司研究副总裁Anton Chuvakin博士指出,“不要将太多精力投入到大数据方面,特别是考虑到相关投资几乎很难带来显著回报——事实上,目前对于大数据技术‘回报’的具体概念甚至还存在争议。”

5:移动应用将成为攻击者们的主要目标

移动应用正成为攻击者们的主要目标;Ponemon协会则希望通过调查验证其具体理由。“在调查涉及的超过400家企业——其中近40%属于全球财富五百强企业——当中,近40%表示他们并不会对移动应用代码进行扫描以检测安全漏洞,这就意味着为攻击者们保留了一道直通敏感用户、企业与客户数据的大道,”Larry Ponemon博士解释称。“目前只有不到一半企业会对自身开发的移动应用进行安全性检测,而且33%的受访企业从未对应用进行过检测。”

而且这种状况恐怕在短时间内无法得到改善。

6:加密现在与未来都已经不足以对攻击者构成威慑

在过去几个月当中,政府执法部门已经强制要求各加密软件为其提供后门。正如大家所预料,安全专家们对此发起反击并似乎已经取得了主动权。然而也有些观察人士认为胜负还未揭晓,也许这一切都只是妥协之后放出的烟幕弹。

Andy Greenberg在《连线杂志》上发表了一篇题为《企业并不需要加密后门来侵入你的iPhone》的文章,其中采访了几位安全专家,询问在软件当中添加后门是否必要。“虽然过去几年当中联邦调查局一直在强调这种作法的必要性,但实际情况并不像他们所描述的样子,”ACLU(即美国公民自由联盟)首席技术专家Chris Soghoian在采访中表示。“技术企业为我们提供的方案只能够保护我们的笔记本电脑免受窃贼的入侵。这类产品在设计思路上根本没打算阻止政府部门在未经许可的情况下从个人设备中获取数据。”

7:物联网安全问题将愈发凸显

物联网设备的冲击正在到来,虽然还需要一段时间。“我们认为短期之内针对物联网的攻击活动还不会广泛出现。大多数此类攻击很可能来自‘白帽’黑客,主要用于报告安全漏洞并进行概念验证,”Michael Fimin在Netwrix社区专栏当中写道。

那么在2016年当中实际攻击是否会出现,特别是考虑到恶意人士有可能拜读了John Dixon的《谁会率先重视物联网安全?》一文

“如果目前的技术巨头们都不会率先重视物联网安全,那么这方面责任恐怕只能依赖于初创企业了,而目前物联网的快速发展也确实催生了很多此类供应商,”Dixon指出。“Gartner公司预计截至2017年,全球范围内的物联网产品及服务项目将有近半由诞生时间不超过三年的年轻企业负责开发。除此之外,虽然一部分初创企业确实拥有强大的技术专长,但大多数此类厂商都缺乏必要的知识或者能力实现安全保障。”

8:市场需要更多“认证”安全专家

当谈到安全问题时,颇具讽刺意味的是,最出色的防御者往往正是那些攻击活动发起者。而目前我们必须承认的是,市场上严重缺少技能出众的合格防御者。不过除此之外,还有更为紧迫的问题等待解决。根据ISF全球副总裁Steve Durbin所言,目前拥有认证的安全专家完全供不应求。这种状况在2016年仍然无法得到改善,这将导致各企业与政府机构不得不拿出更具吸引力的条件招徕具备相应资质的从业人才。

9:安全问题对于新生一代而言没那么重要

从趋势角度来看,新生一代对于安全性与隐私性的重视程度并不像其长辈那么敏感。举例来说,根据Ricoh公司研究员Ben Rossi发布的调查结果,约有30%的新生一代人对信息共享机制匮乏与企业控制BYOD的作法表示反感。好吧,也许未来终有一天人们会适应自身受到监控的状况,不过2016年还为时过早。

10:对便利性的要求仍然高于隐私与安全保障

很多从业人士都在探讨便利性与隐私及安全保障之间的冲突。思科系统公司研究员Fred Baker就此发言称,“在安全与隐私问题方面需要做出重要的方法性改进,但威胁仍将持续存在,这是因为人类的本性始终没有改变——总有一定比例的人乐于伤害他人。”