2010網(wǎng)絡及數(shù)據(jù)安全十大預測
信息安全事件和漏洞在2009年為大型企業(yè)帶來了很大的困擾。新的安全技術對具有安全意識的企業(yè)會有所幫助,但2010年可能是非常困難的一年。ESG預言安全威脅在數(shù)量和復雜性方面都會處于平穩(wěn)上升的趨勢,并且明年發(fā)生的重大事件也會絲毫不會亞于2007年的TJX公司的數(shù)據(jù)泄漏事件。同樣,政府的網(wǎng)絡安全活動也會頻繁發(fā)生,如果ESG可怕的預言成真的話,后果將不堪設想。
概述
盡管大型企業(yè)都在通過控制資本投入來渡過2009年的全球經(jīng)濟衰退,但與安全相關的投資和舉措仍在增加,這表明信息安全已成為一項主要的業(yè)務優(yōu)先措施。那么2010年會有哪些變化呢?由于需求方出現(xiàn)了新的用戶需求并且供應方的產(chǎn)品也實現(xiàn)了整合,因此,安全技術將會有些許的調(diào)整。盡管如此,ESG相信網(wǎng)絡安全在2010年將以前所未有的方式吸引全球的目光。
ESG預計,明年將會出現(xiàn)以下與網(wǎng)絡安全相關的技術、事件和法律性活動:
1.日益普及的加密技術。和去年一樣,ESG相信大型企業(yè)將會繼續(xù)增加對加密技術的使用。有兩個原因:1)為了在保護機密數(shù)據(jù)上占據(jù)主動地位;2)因為加密技術將會“整合”到產(chǎn)品之中,且?guī)缀醪粫斐蓛r格的上漲。磁盤驅(qū)動器、USB閃存驅(qū)動器、磁帶驅(qū)動器和操作系統(tǒng)等技術現(xiàn)都已經(jīng)具備了加密功能。在2010年及以后,筆記本電腦、臺式電腦、服務器和企業(yè)存儲系統(tǒng)很有可能將加密處理器作為其標準配置的一部分。然而,日趨普及的加密技術有一點喜憂參半的意味。雖然數(shù)據(jù)的機密性和完整性可能會有所提高,但是企業(yè)最好能有一個正規(guī)且成文的加密管理計劃,以防止加密操作和數(shù)據(jù)恢復真的成為一種挑戰(zhàn)。
2.密鑰管理。與日趨普及的加密技術密切相關的是密鑰管理:密鑰生成、密鑰輪換、密鑰安全、密鑰備份等等。由于使用密鑰的數(shù)量成指數(shù)倍地速度增長,因此,必需要有集中管理、緊密集成的密鑰管理服務。幸運的是,好消息即將來臨。在2010年,我們應該可以看到OASIS即將對“密鑰管理互操作協(xié)議(KMIP)”進行第一次修訂。而業(yè)內(nèi)領先的名企主導著KMIP的發(fā)展,包括博科、EMC/RSA、惠普、IBM、NetApp、PGP、希捷和Thales Security。其目標是在密鑰管理系統(tǒng)與加密技術和/或密鑰管理系統(tǒng)彼此之間建立互操作性。大型企業(yè)應重視這一工作,并且只從承諾支持KMIP的供應商處購買加密和密鑰管理產(chǎn)品。
3.安全管理3.0。老式的安全信息和事件管理(SIEM)系統(tǒng)不具備擴展、開放性和分析功能,因而無法跟上日益嚴重的威脅形勢。此外,ESG還注意到市場出現(xiàn)了分化:在過去,SIEM常常同時用于法規(guī)遵從管理、安全事件/事故管理以及日志管理。但在2010年及以后,這三項IT/安全分支將相互獨立,但仍然通過一個新的由“IT數(shù)據(jù)庫”主導的安全管理架構來相互聯(lián)系,該數(shù)據(jù)庫負責收集、處理和存儲IT數(shù)據(jù)(即日志數(shù)據(jù)、流量數(shù)據(jù)、SNMP事件、IF-MAP等)。針對安全、法規(guī)遵從、IT運營等不同需求的分析引擎只會從通用存儲庫訪問這種信息。首席信息官和首席信息安全官應當準備好架構計劃來應對這種轉(zhuǎn)變。
4.DLP與eRM的融合。DLP(數(shù)據(jù)丟失防護)擅于進行數(shù)據(jù)搜索和分類,而eRM(企業(yè)權限管理)非常適合粒度策略的執(zhí)行。在2008年和2009年,這兩項技術開始融合。微軟與EMC/RSA結(jié)成合作伙伴關系,在其權限管理服務器上應用DLP技術,而賽門鐵克、McAfee以及其他企業(yè)與領先的eRM供應商Liquid Machines聯(lián)手將DLP融入eRM。這種合眾連橫的勢頭在2010年預計會更加強勁。Liquid Machines、BitArmor(DLP /eRM混合型企業(yè))和其他新興公司預計會在2010年的市場調(diào)整和整合浪潮中被收購。希望微軟和其他廠商也能夠支持標準元數(shù)據(jù)標記,以滿足異構和分布式數(shù)據(jù)的分類需求,并實施普遍的數(shù)據(jù)集中式策略。
5.身份認證管理3.0。身份認證管理技術的發(fā)展已經(jīng)持續(xù)多年,但絕大部分仍屬于落后的技術領域。到2010年,有關身份認證管理的討論將變得更加普遍。VMware和Citrix將探討有關虛擬機的可信任身份認證。金融服務機構將積極地為客戶提供安全認證標識,以保護他們的身份和金融資產(chǎn)。OpenID和類似技術將獲得消費者的青睞。美國國會將會認真考慮全國性的身份識別卡。出現(xiàn)這些發(fā)展措施的主要原因是身份認證管理已經(jīng)失控。用戶有太多的用戶ID和密碼,匿名移動技術正以兔子繁殖般的速度增長,并且身份盜竊事件十分猖獗。處在這個社會中,我們必須找到一種方法,利用像PKI、Eclipse Project Framework和Liberty這樣的技術來更好地保護我們的身份和隱私。在過去,保護身份和隱私只出現(xiàn)在知識分子范疇里,但在2010年及以后,普通老百姓也會感到來自身份和隱私方面的壓力。
6.威脅形勢日益廣泛和深入。每年的威脅形勢日益嚴峻,2010年也不例外,并將提高以下幾個方面的安全風險。首先,網(wǎng)絡攻擊的浪潮將繼續(xù)升級,因為我們已經(jīng)注意到幾家主流的網(wǎng)絡公司會定期受到攻擊。其次,我們可能會看到越來越多針對非Windows平臺的攻擊,如Mac、iPhone、Android、Blackberry、諾基亞設備以及IP電話系統(tǒng)。最后,ESG預感到2004年爆發(fā)的殺手蠕蟲病毒(如Conficker)將會再次出現(xiàn),其發(fā)生的頻率也會有所增加。大多數(shù)蠕蟲病毒不會攜帶惡意封包內(nèi)容,而只是起到破壞和偵察的目的。用戶必須使用最佳的安全技術來武裝終端設備,采用基于云的威脅管理來獲得擴展性和理想性能,并定期研究威脅智能報告,從而提前應對即將出現(xiàn)的威脅升級。
7.白宮任命網(wǎng)絡安全協(xié)調(diào)員。美國總統(tǒng)奧巴馬曾表示他計劃于2009年5月任命一位國家網(wǎng)絡安全協(xié)調(diào)員,但直到作者撰寫本文時這個職位仍處于空缺狀態(tài)。華盛頓有不少人對此感到不滿。今年8月,眾議院兩黨的網(wǎng)絡安全決策小組曾寫信給總統(tǒng),建議他盡快填補這一職位。代表紐約州的眾議員Yvette Clarke和參議員Joseph Lieberman以及TechAmerica產(chǎn)業(yè)集團也表達了相同意愿,但總統(tǒng)顯然更加關注醫(yī)療改革和過去數(shù)月的經(jīng)濟狀況,以及即將到來的假期,看來2009年年末是不可能再發(fā)生什么大事了。不過,我希望國會能夠在1月份就此事對總統(tǒng)施壓,要求他在2月底提名候選人。
8.重大的網(wǎng)絡安全事故。雖然2007年的TJX數(shù)據(jù)泄漏事件仍然是數(shù)據(jù)盜竊的典型,但也許2010年會發(fā)生更加嚴重的事故。銀行、電網(wǎng)或電信網(wǎng)絡都有可能成為攻擊的目標。它可能發(fā)生在美國、西歐或是亞洲。雖然無法準確地指出會發(fā)生什么事,但ESG預感到將有更具威脅性的事件發(fā)生。不幸的是,這個世界必須再次經(jīng)歷痛苦,才能吸取教訓,就如它在2001年9月11日的恐怖襲擊中吸取的教訓一樣。這次攻擊的后果將是不光彩的,政客們會將事件歸咎于執(zhí)法和情報部門以及其它各方。如果這個事件發(fā)生在美國,那么奧巴馬總統(tǒng)可能會成為主要的替罪羊,尤其是他延誤了網(wǎng)絡安全協(xié)調(diào)員的任命。作為普通公民,我們從根本上感到更加害怕,對此也更加關注,并更加迫切地要求盡快行動起來——越快越好。
9.新的美國網(wǎng)絡安全法規(guī)。由于美國眾議院和參議院早就通過了大量相關的法案,因此,推出新的網(wǎng)絡安全法規(guī)也是順理成章的事情。就在本周,眾議院通過了數(shù)據(jù)問責制和信托法案(DATA),這為在全國性的侵害事件通知法案的通過鋪平了道路,緩解了當前只有個別州有相關立法的窘境。今年11月,眾議院也通過了第4061號議案,要求對網(wǎng)絡安全研究投入更多的資金。美國參議院對此也采取支持態(tài)度。Rockefeller-Snowe法案旨在使聯(lián)邦的網(wǎng)絡安全工作日趨合理化和結(jié)構化,同時參議員Joseph Lieberman日前提出了一項議案,明確了網(wǎng)絡安全在國土安全部中的作用。今年的這些努力到2010年可能會碩果累累。ESG預計國會將會在2010年通過一項全國性的數(shù)據(jù)侵害法案,增加網(wǎng)絡安全的資金投入,并對聯(lián)邦信息安全管理法案(FISMA)進行重大修正。再次強調(diào),倘若在2010年發(fā)生了重大網(wǎng)絡安全事件的話,希望會有頻繁的立法活動。
10.增強網(wǎng)絡安全意識和教育。雖然國會內(nèi)部在2009年就網(wǎng)絡安全培訓和教育方面的投資進行過辯論,但沒有什么確切的變革跡象。網(wǎng)絡安全技術仍然處于稀缺狀況,雖然10月被定為“全國網(wǎng)絡安全意識宣傳月”,但外界對此卻幾乎一無所知。希望這種情況在2010年會有重大變化。許多網(wǎng)絡安全法案都包括增加對網(wǎng)絡安全教育計劃的投資,如美國國家科學基金會(NSF)的服務性獎學金(SFS)、美國國家安全局(NSA)的信息安全認證計劃、NSF/NSA合資的網(wǎng)絡公司等。除了更高級別的教育項目以外,也希望美國聯(lián)邦政府能夠與安全產(chǎn)業(yè)合作,以大幅增加有關網(wǎng)絡安全意識的公共服務項目。ESG預計在2010年會發(fā)起一項廣受關注的公關運動,類似于“拒絕(毒品)”或“烈火赤子”(預防森林火災)的運動。
重要事實
總之,信息安全在2010年的變化將會有所增加,但不會發(fā)生劇變。與此同時,明年的網(wǎng)絡安全形勢將會更加嚴峻,并最終會發(fā)生一次重大事件。好消息是這個未知的事件可以大幅提高各相關部門以及公民的網(wǎng)絡安全意識,并將對準備工作作為當務之急。而不利因素是許多國會議員和公民會針對網(wǎng)絡相關的漏洞、問題和提出的解決方案做出過激反應。全世界的公有和私營企業(yè)必須迅速提高自身的網(wǎng)絡安全意識,以便更好地了解安全事故、增強應對措施、為緊急響應做好準備,并建立適當級別的風險管理評估,將其與適當?shù)陌脖4胧┫嘟Y(jié)合。
【編輯推薦】
