2010網絡及數據安全十大預測
信息安全事件和漏洞在2009年為大型企業帶來了很大的困擾。新的安全技術對具有安全意識的企業會有所幫助,但2010年可能是非常困難的一年。ESG預言安全威脅在數量和復雜性方面都會處于平穩上升的趨勢,并且明年發生的重大事件也會絲毫不會亞于2007年的TJX公司的數據泄漏事件。同樣,政府的網絡安全活動也會頻繁發生,如果ESG可怕的預言成真的話,后果將不堪設想。
概述
盡管大型企業都在通過控制資本投入來渡過2009年的全球經濟衰退,但與安全相關的投資和舉措仍在增加,這表明信息安全已成為一項主要的業務優先措施。那么2010年會有哪些變化呢?由于需求方出現了新的用戶需求并且供應方的產品也實現了整合,因此,安全技術將會有些許的調整。盡管如此,ESG相信網絡安全在2010年將以前所未有的方式吸引全球的目光。
ESG預計,明年將會出現以下與網絡安全相關的技術、事件和法律性活動:
1.日益普及的加密技術。和去年一樣,ESG相信大型企業將會繼續增加對加密技術的使用。有兩個原因:1)為了在保護機密數據上占據主動地位;2)因為加密技術將會“整合”到產品之中,且幾乎不會造成價格的上漲。磁盤驅動器、USB閃存驅動器、磁帶驅動器和操作系統等技術現都已經具備了加密功能。在2010年及以后,筆記本電腦、臺式電腦、服務器和企業存儲系統很有可能將加密處理器作為其標準配置的一部分。然而,日趨普及的加密技術有一點喜憂參半的意味。雖然數據的機密性和完整性可能會有所提高,但是企業最好能有一個正規且成文的加密管理計劃,以防止加密操作和數據恢復真的成為一種挑戰。
2.密鑰管理。與日趨普及的加密技術密切相關的是密鑰管理:密鑰生成、密鑰輪換、密鑰安全、密鑰備份等等。由于使用密鑰的數量成指數倍地速度增長,因此,必需要有集中管理、緊密集成的密鑰管理服務。幸運的是,好消息即將來臨。在2010年,我們應該可以看到OASIS即將對“密鑰管理互操作協議(KMIP)”進行第一次修訂。而業內領先的名企主導著KMIP的發展,包括博科、EMC/RSA、惠普、IBM、NetApp、PGP、希捷和Thales Security。其目標是在密鑰管理系統與加密技術和/或密鑰管理系統彼此之間建立互操作性。大型企業應重視這一工作,并且只從承諾支持KMIP的供應商處購買加密和密鑰管理產品。
3.安全管理3.0。老式的安全信息和事件管理(SIEM)系統不具備擴展、開放性和分析功能,因而無法跟上日益嚴重的威脅形勢。此外,ESG還注意到市場出現了分化:在過去,SIEM常常同時用于法規遵從管理、安全事件/事故管理以及日志管理。但在2010年及以后,這三項IT/安全分支將相互獨立,但仍然通過一個新的由“IT數據庫”主導的安全管理架構來相互聯系,該數據庫負責收集、處理和存儲IT數據(即日志數據、流量數據、SNMP事件、IF-MAP等)。針對安全、法規遵從、IT運營等不同需求的分析引擎只會從通用存儲庫訪問這種信息。首席信息官和首席信息安全官應當準備好架構計劃來應對這種轉變。
4.DLP與eRM的融合。DLP(數據丟失防護)擅于進行數據搜索和分類,而eRM(企業權限管理)非常適合粒度策略的執行。在2008年和2009年,這兩項技術開始融合。微軟與EMC/RSA結成合作伙伴關系,在其權限管理服務器上應用DLP技術,而賽門鐵克、McAfee以及其他企業與領先的eRM供應商Liquid Machines聯手將DLP融入eRM。這種合眾連橫的勢頭在2010年預計會更加強勁。Liquid Machines、BitArmor(DLP /eRM混合型企業)和其他新興公司預計會在2010年的市場調整和整合浪潮中被收購。希望微軟和其他廠商也能夠支持標準元數據標記,以滿足異構和分布式數據的分類需求,并實施普遍的數據集中式策略。
5.身份認證管理3.0。身份認證管理技術的發展已經持續多年,但絕大部分仍屬于落后的技術領域。到2010年,有關身份認證管理的討論將變得更加普遍。VMware和Citrix將探討有關虛擬機的可信任身份認證。金融服務機構將積極地為客戶提供安全認證標識,以保護他們的身份和金融資產。OpenID和類似技術將獲得消費者的青睞。美國國會將會認真考慮全國性的身份識別卡。出現這些發展措施的主要原因是身份認證管理已經失控。用戶有太多的用戶ID和密碼,匿名移動技術正以兔子繁殖般的速度增長,并且身份盜竊事件十分猖獗。處在這個社會中,我們必須找到一種方法,利用像PKI、Eclipse Project Framework和Liberty這樣的技術來更好地保護我們的身份和隱私。在過去,保護身份和隱私只出現在知識分子范疇里,但在2010年及以后,普通老百姓也會感到來自身份和隱私方面的壓力。
6.威脅形勢日益廣泛和深入。每年的威脅形勢日益嚴峻,2010年也不例外,并將提高以下幾個方面的安全風險。首先,網絡攻擊的浪潮將繼續升級,因為我們已經注意到幾家主流的網絡公司會定期受到攻擊。其次,我們可能會看到越來越多針對非Windows平臺的攻擊,如Mac、iPhone、Android、Blackberry、諾基亞設備以及IP電話系統。最后,ESG預感到2004年爆發的殺手蠕蟲病毒(如Conficker)將會再次出現,其發生的頻率也會有所增加。大多數蠕蟲病毒不會攜帶惡意封包內容,而只是起到破壞和偵察的目的。用戶必須使用最佳的安全技術來武裝終端設備,采用基于云的威脅管理來獲得擴展性和理想性能,并定期研究威脅智能報告,從而提前應對即將出現的威脅升級。
7.白宮任命網絡安全協調員。美國總統奧巴馬曾表示他計劃于2009年5月任命一位國家網絡安全協調員,但直到作者撰寫本文時這個職位仍處于空缺狀態。華盛頓有不少人對此感到不滿。今年8月,眾議院兩黨的網絡安全決策小組曾寫信給總統,建議他盡快填補這一職位。代表紐約州的眾議員Yvette Clarke和參議員Joseph Lieberman以及TechAmerica產業集團也表達了相同意愿,但總統顯然更加關注醫療改革和過去數月的經濟狀況,以及即將到來的假期,看來2009年年末是不可能再發生什么大事了。不過,我希望國會能夠在1月份就此事對總統施壓,要求他在2月底提名候選人。
8.重大的網絡安全事故。雖然2007年的TJX數據泄漏事件仍然是數據盜竊的典型,但也許2010年會發生更加嚴重的事故。銀行、電網或電信網絡都有可能成為攻擊的目標。它可能發生在美國、西歐或是亞洲。雖然無法準確地指出會發生什么事,但ESG預感到將有更具威脅性的事件發生。不幸的是,這個世界必須再次經歷痛苦,才能吸取教訓,就如它在2001年9月11日的恐怖襲擊中吸取的教訓一樣。這次攻擊的后果將是不光彩的,政客們會將事件歸咎于執法和情報部門以及其它各方。如果這個事件發生在美國,那么奧巴馬總統可能會成為主要的替罪羊,尤其是他延誤了網絡安全協調員的任命。作為普通公民,我們從根本上感到更加害怕,對此也更加關注,并更加迫切地要求盡快行動起來——越快越好。
9.新的美國網絡安全法規。由于美國眾議院和參議院早就通過了大量相關的法案,因此,推出新的網絡安全法規也是順理成章的事情。就在本周,眾議院通過了數據問責制和信托法案(DATA),這為在全國性的侵害事件通知法案的通過鋪平了道路,緩解了當前只有個別州有相關立法的窘境。今年11月,眾議院也通過了第4061號議案,要求對網絡安全研究投入更多的資金。美國參議院對此也采取支持態度。Rockefeller-Snowe法案旨在使聯邦的網絡安全工作日趨合理化和結構化,同時參議員Joseph Lieberman日前提出了一項議案,明確了網絡安全在國土安全部中的作用。今年的這些努力到2010年可能會碩果累累。ESG預計國會將會在2010年通過一項全國性的數據侵害法案,增加網絡安全的資金投入,并對聯邦信息安全管理法案(FISMA)進行重大修正。再次強調,倘若在2010年發生了重大網絡安全事件的話,希望會有頻繁的立法活動。
10.增強網絡安全意識和教育。雖然國會內部在2009年就網絡安全培訓和教育方面的投資進行過辯論,但沒有什么確切的變革跡象。網絡安全技術仍然處于稀缺狀況,雖然10月被定為“全國網絡安全意識宣傳月”,但外界對此卻幾乎一無所知。希望這種情況在2010年會有重大變化。許多網絡安全法案都包括增加對網絡安全教育計劃的投資,如美國國家科學基金會(NSF)的服務性獎學金(SFS)、美國國家安全局(NSA)的信息安全認證計劃、NSF/NSA合資的網絡公司等。除了更高級別的教育項目以外,也希望美國聯邦政府能夠與安全產業合作,以大幅增加有關網絡安全意識的公共服務項目。ESG預計在2010年會發起一項廣受關注的公關運動,類似于“拒絕(毒品)”或“烈火赤子”(預防森林火災)的運動。
重要事實
總之,信息安全在2010年的變化將會有所增加,但不會發生劇變。與此同時,明年的網絡安全形勢將會更加嚴峻,并最終會發生一次重大事件。好消息是這個未知的事件可以大幅提高各相關部門以及公民的網絡安全意識,并將對準備工作作為當務之急。而不利因素是許多國會議員和公民會針對網絡相關的漏洞、問題和提出的解決方案做出過激反應。全世界的公有和私營企業必須迅速提高自身的網絡安全意識,以便更好地了解安全事故、增強應對措施、為緊急響應做好準備,并建立適當級別的風險管理評估,將其與適當的安保措施相結合。
【編輯推薦】
