2016年的五大主導信息安全趨勢

　　4、網(wǎng)絡(luò )犯罪造成的安全威脅風(fēng)暴

　　德賓說(shuō)，網(wǎng)絡(luò )犯罪高居2015年安全威脅名單榜首，而這一趨勢在2016年并不會(huì )減弱。網(wǎng)絡(luò )犯罪以及黑客活動(dòng)的增加，迫使企業(yè)必須遵從不斷提升的監管要求，不懈追求技術(shù)進(jìn)步，這使得企業(yè)在安全部門(mén)的投資激增，而這些因素結合起來(lái)，可能形成安全威脅風(fēng)暴。那些采用了風(fēng)險管理辦法的企業(yè)需要確定那些企業(yè)的業(yè)務(wù)部門(mén)所最為依賴(lài)的技術(shù)，并對其進(jìn)行量化，投資于彈性。

　　網(wǎng)絡(luò )空間對于網(wǎng)絡(luò )犯罪分子和**而言，是一個(gè)越來(lái)越有吸引力的攻擊動(dòng)機、和賺錢(qián)來(lái)源，他們會(huì )制造破壞，甚至對企業(yè)和政府機構實(shí)施網(wǎng)絡(luò )攻擊。故而企業(yè)必須為那些不可預測的網(wǎng)絡(luò )事件做好準備，以便使他們有能力能夠承受住不可預見(jiàn)的，高沖擊性的網(wǎng)絡(luò )事件。

　　“我看到越來(lái)越多日益成熟的網(wǎng)絡(luò )犯罪團伙?！钡沦e說(shuō)。他們的組織非常復雜和成熟，并具有良好的協(xié)調。我們已經(jīng)看到網(wǎng)絡(luò )犯罪作為一種服務(wù)的增加。這種日益增加的復雜性將給企業(yè)帶來(lái)真正的挑戰。我們真的進(jìn)入了一個(gè)新的時(shí)代，您根本無(wú)法預測一個(gè)網(wǎng)絡(luò )犯罪是否會(huì )找您。從企業(yè)的角度來(lái)看，您要如何防御呢?

　　問(wèn)題的部分原因在于，許多企業(yè)仍然還處在專(zhuān)注于保衛企業(yè)外部邊界的時(shí)代，但現如今的主要威脅則是由于企業(yè)內部的人士，無(wú)論其是出于惡意目的或只是無(wú)知采取了不當的安全實(shí)踐方案，這使得網(wǎng)絡(luò )威脅日漸已經(jīng)開(kāi)始向外圍滲透了。

　　“不管是對是錯，我們一直是將網(wǎng)絡(luò )犯罪視為是從外部攻擊的角度來(lái)看，所以我們試圖采用防火墻來(lái)簡(jiǎn)單應對?！钡沦e說(shuō)?！暗髽I(yè)還存在來(lái)自?xún)炔康耐{。這讓我們從企業(yè)的角度來(lái)看，是一個(gè)非常不舒服的地方?！?/p>

　　事實(shí)的真相是，企業(yè)根本無(wú)法對付網(wǎng)絡(luò )犯罪，除非他們采取更具前瞻性的方法。

　　“幾個(gè)星期前，我在與一名大公司的擁有九年工作經(jīng)驗的首席信息安全官交談時(shí)，他告訴我說(shuō)，借助大數據分析，他現在已經(jīng)在整個(gè)企業(yè)幾乎完全實(shí)現了可視化。在從業(yè)了九年后，他發(fā)現網(wǎng)絡(luò )罪犯的這種能力也在不斷積累。而我們的做法只是不斷地被動(dòng)反應，而不是主動(dòng)的防御?！?/p>

　　“網(wǎng)絡(luò )犯罪分子的工作方式卻不是這樣的?！彼a充說(shuō)?！八麄兛偸窃噲D想出一個(gè)新的方法。我認為我們還不擅長(cháng)打防守。我們需要真正將其提高到同一水平。我們永遠不會(huì )想出新的方法。而在我們企業(yè)內部甚至還存在這樣的想法：即然我們還沒(méi)有被攻破，為什么我們要花所有這些錢(qián)呢?”

　　5、技能差距將成為信息安全的一個(gè)無(wú)底深淵

　　隨著(zhù)網(wǎng)絡(luò )攻擊犯罪份子的能力日益提高，信息安全專(zhuān)家們正變得越來(lái)越成熟，企業(yè)對于信息安全專(zhuān)家的需求越來(lái)越多。而網(wǎng)絡(luò )犯罪分子和黑客也在進(jìn)一步深化他們的技能，他們都在努力跟上時(shí)代的步伐，德賓說(shuō)。企業(yè)的首席信息安全官們需要在企業(yè)內部建立可持續的招募計劃，培養和留住現有人才，提高企業(yè)網(wǎng)絡(luò )的適應能力。

　　德賓說(shuō)，在2016年，隨著(zhù)超連通性的增加，這個(gè)問(wèn)題將變得更糟。首席信息安全官在幫助企業(yè)及時(shí)獲得新的技能方面將需要更積極。

　　“在2016年，我認為我們將變得更加清楚，也許企業(yè)在其安全部門(mén)并沒(méi)有合適的人才?！彼f(shuō)。我們知道，企業(yè)有一些很好的技術(shù)人員可以安裝和修復防火墻等。但真正好的人才則是可以在確保企業(yè)網(wǎng)絡(luò )安全的情況下，滿(mǎn)足業(yè)務(wù)的挑戰和業(yè)務(wù)發(fā)展。這將是一個(gè)明顯的弱點(diǎn)。企業(yè)的董事會(huì )也開(kāi)始意識到，企業(yè)網(wǎng)絡(luò )是他們做生意的重要方式。我們還沒(méi)有在業(yè)務(wù)和網(wǎng)絡(luò )安全實(shí)踐之間建立起聯(lián)系?！?/p>

　　在某些情況下，企業(yè)根本沒(méi)有合適的首席信息安全官會(huì )變得相當明顯。而其他企業(yè)也必須問(wèn)自己，安全本身是否被放在了恰當的位置。

　　德賓說(shuō)：“您企業(yè)無(wú)法避免每一次嚴重的事件，雖然許多企業(yè)在事件管理方面做得很好，但很少有企業(yè)建立了一套有組織的方法來(lái)評估哪些是錯誤的?！币虼?，這會(huì )產(chǎn)生不必要的成本，并讓企業(yè)承擔不適當的風(fēng)險。各種規模的企業(yè)均需要對此給予高度重視，以確保他們對于未來(lái)的這些新興的安全挑戰做好了充分的準備，并能夠很好的應對。通過(guò)采用一個(gè)切實(shí)的，具有廣泛基礎的，協(xié)作的方式，提高網(wǎng)絡(luò )安全和應變能力，政府部門(mén)、監管機構、企業(yè)的高級業(yè)務(wù)經(jīng)理和信息安全專(zhuān)業(yè)人士都將能夠更好地了解網(wǎng)絡(luò )威脅的真實(shí)本質(zhì)，以及如何快速作出適當的反應?！?/p>