為了創(chuàng)建一個(gè)有效的信息安全項(xiàng)目，計(jì)劃和準(zhǔn)備是關(guān)鍵。尤其是那些安全主管必須知道安全威脅正在發(fā)生什么樣的變化，并且評(píng)估哪些技術(shù)能夠最有效的降低他們的風(fēng)險(xiǎn)。然后，至少在中小企業(yè)中，他們必須確認(rèn)和采用可能的物有所值的安全方法。

毫不奇怪，因?yàn)檫@些要求，F(xiàn)orrester Research的研究表明中小企業(yè)今年的的高級(jí)安全開銷的優(yōu)先次序會(huì)是整合新的端點(diǎn)安全技術(shù)，在網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)部設(shè)置更多的安全保衛(wèi)和持續(xù)采用多功能安全器材。

然而，考慮到這些中小企業(yè)用來保衛(wèi)安全的稀少資源，這些開銷次序合適嗎?此外，安全環(huán)境在接下來的3到5年會(huì)有什么樣的變化，在此期間，攻擊以及技術(shù)會(huì)帶來危險(xiǎn)還是希望呢?

為了找到答案，我們向安全專家咨詢了不久的將來的十大安全趨勢的細(xì)節(jié)。

1.攻擊者們會(huì)不斷進(jìn)步。

在接下來的5年里，公司會(huì)一直碰到什么類型的安全威脅?"安全中一般類型的攻擊和規(guī)則是不會(huì)改變的"Randy Abrams預(yù)測，他是ESET，一個(gè)安全軟件提供方的技術(shù)教育部門的主管，但是，"已有的攻擊技術(shù)和模型會(huì)演化成新的方式"

以通過e-mail的419欺騙行為為例。這些是釣魚式攻擊(Phishing attacks)，欺騙人們相信他們正在和一個(gè)合法的在線公司交易。從概念上說，這些攻擊并不新穎。但是，今天絕大部分的攻擊只是在一個(gè)主題方面翻來覆去而已，這個(gè)主題就是如何偷錢。

"公司真正需要關(guān)注的重點(diǎn)是理解基礎(chǔ)結(jié)構(gòu)"Abram說。換句話說，維持一個(gè)用來減輕高級(jí)安全威脅的策略，包括更新安全策略和經(jīng)常性的訓(xùn)練職員，尤其是識(shí)別社會(huì)工程攻擊(social engineering attacks)的方法。"社會(huì)工程將一直會(huì)是對(duì)SMBs的最成功的攻擊之一"他說，"教育會(huì)是對(duì)抗這個(gè)的唯一方法"。

2.釣魚式攻擊次數(shù)將會(huì)下降

教育者已經(jīng)可以指出一個(gè)顯著的成功：釣魚式攻擊的有效性逐漸下降。"釣魚式攻擊已經(jīng)開始走向末路"Steve Cole說，他是擁有180個(gè)雇員的San Mateo Credit Union的觀察員，"IE7，firefox2，擴(kuò)展了Verisign的安全認(rèn)證-Verisign剛結(jié)束對(duì)使用者的教導(dǎo)：不要點(diǎn)擊e-mails的連接。"

即使教育是有效的，在將來一些自動(dòng)保護(hù)也不會(huì)起作用。"我希望看到一些東西能夠真正阻止釣魚式攻擊"他說。

3.Vista的效率問題揮之不去

除了不斷的垃圾郵件，間諜軟件，惡意軟件和鏈接的流行，Cole說他的最頭痛的安全問題不是最新的攻擊，而是預(yù)先安裝在新PC上的操作系統(tǒng)。"我們最大的困難是我們被強(qiáng)迫在桌面上安裝Vista"他解釋說"每次我和別人談起Vista，它簡直就是個(gè)惡夢"。主要是因?yàn)?quot;加強(qiáng)安全"的提示的數(shù)目，這些提示在用戶嘗試一些可能不完全安全的操作時(shí)會(huì)詢問，警告或者建議用戶。

如果Vista的安全加強(qiáng)導(dǎo)致了一個(gè)潛在的效率惡夢，Microsoft需要多長時(shí)間來改變它?"7年前，人們說我們?cè)撛趺刺幚鞼indows 2000，我們需要從NT4.0升級(jí)嗎?"Michael Gavin說，他是提供安全風(fēng)險(xiǎn)評(píng)估的Security Innovation的安全戰(zhàn)略家。"我們的標(biāo)準(zhǔn)答案是，至少給它一個(gè)或兩個(gè)服務(wù)包和足夠的時(shí)間，這樣一切可以解決，因?yàn)樵谶@個(gè)時(shí)候，不只是從安全觀點(diǎn)看，如果一些東西被你接受，只是因?yàn)樗切碌模銜簳r(shí)就會(huì)歇業(yè)了"。

4.隨著移動(dòng)的擴(kuò)展，移動(dòng)安全也會(huì)帶來挑戰(zhàn)

雇員的移動(dòng)性越來越強(qiáng)。IDC預(yù)測在四年內(nèi)，超過70%的人們會(huì)通過移動(dòng)設(shè)備連到公司網(wǎng)絡(luò)。但是Kom/Ferry International的調(diào)查表明，81%的經(jīng)理主管說他們已經(jīng)通過一個(gè)移動(dòng)設(shè)備或其他的"一

直"連線工作。

不幸的是，總是在線的雇員和經(jīng)理更有可能把公司信息暴露給竊聽者，或者暴露自己的電腦設(shè)備。例如，對(duì)移動(dòng)雇員的調(diào)查表明73%的人沒有關(guān)注移動(dòng)安全。在7個(gè)國家對(duì)700個(gè)移動(dòng)工人的調(diào)查由Cisco Systems和National Cyber Security Aliance發(fā)布，它也發(fā)現(xiàn)1/3的使用者經(jīng)常使用開放無線互聯(lián)，不管是通過Wi-Fi還是通過鄰居的不安全的信號(hào)。而且，幾乎一半的雇員經(jīng)常打開不知來源的e-mails上的文件。

如果明天的工作地點(diǎn)是移動(dòng)的，它會(huì)是安全的嗎?"移動(dòng)設(shè)備正融合進(jìn)中小企業(yè)，公司需要考慮終端使用者和他們是怎么對(duì)待移動(dòng)設(shè)備的"Ron Teixeira說，他是NCSA的執(zhí)行經(jīng)理。

專家建議所有的公司培訓(xùn)雇員關(guān)于移動(dòng)安全的最好做法，描述公司會(huì)支持什么樣的移動(dòng)設(shè)備，確保這些設(shè)備(包括筆記本)運(yùn)行提供強(qiáng)密碼認(rèn)證的安全軟件，甚至是整個(gè)磁盤加密，以便確保這些設(shè)備上的任何公司數(shù)據(jù)在硬件丟失或被竊時(shí)是不能恢復(fù)的。

5.網(wǎng)絡(luò)接入控制越來越普及

隨著需要支持越來越多的移動(dòng)工人，IT管理者正在關(guān)注網(wǎng)絡(luò)接入控制，它可以使組織者分清安全軟件是否是活躍和配置好的，補(bǔ)丁是不是要更新了，請(qǐng)求接入網(wǎng)絡(luò)的PC或服務(wù)器是否已經(jīng)達(dá)成妥協(xié)。如果是這樣的話，網(wǎng)絡(luò)內(nèi)嵌的安全控制或者是PC或服務(wù)器的內(nèi)嵌安全控制可以把設(shè)備放到網(wǎng)絡(luò)的隔離區(qū)中直到問題得到補(bǔ)救(或者對(duì)于許多沒有時(shí)間檢測間諜軟件感染的小公司來說，只要簡單的清除和重恢復(fù))。

最近，三個(gè)主要終端安全標(biāo)準(zhǔn)已經(jīng)出來。尤其是，Microsoft發(fā)布了它的網(wǎng)絡(luò)接入保護(hù)，可以和Cisco的網(wǎng)絡(luò)接入控制標(biāo)準(zhǔn)以及Trusted Computing Group的信任網(wǎng)絡(luò)連接(Trusted Network Connect)標(biāo)準(zhǔn)一起相互作用。

所以，網(wǎng)絡(luò)接入控制和隔離是未來的潮流嗎?"對(duì)于中小企業(yè)來說，你確實(shí)想分離你的生產(chǎn)網(wǎng)絡(luò)以遠(yuǎn)離HR和人們的桌面"Gavin說"只具有功能性，以保持合適的分開，這確實(shí)是一個(gè)好主意"。

但是適合中小企業(yè)使用的技術(shù)狀態(tài)還沒有準(zhǔn)備好。根據(jù)Webroot CTO Gerhard Eschelbeck的說法"今天，我不會(huì)用兩只腳跳進(jìn)NAC"。他舉出了多個(gè)問題，包括不完整的標(biāo)準(zhǔn)融合，沒有解決的隔離和補(bǔ)救程序，潛在的用戶抵抗和目前產(chǎn)品兼容性的缺乏。

"NAC必須是一個(gè)自治系統(tǒng)-就像TCP/IP-所有人都可以插入和工作"他說，要達(dá)到這點(diǎn)需要幾年時(shí)間。另一方面"TCP/IP也不是一夜之間就出來的"Eschelbeck說。

6.多合一，UTM設(shè)備引導(dǎo)網(wǎng)絡(luò)保護(hù)

中小企業(yè)中永恒的時(shí)間和資源緊張的IT部門帶來自動(dòng)化和效率。因此，他們采用多功能-也被稱為統(tǒng)一威脅管理-安全設(shè)備。"對(duì)我們來說，UTM設(shè)備是巨大的-這是一個(gè)單點(diǎn)，我們可以通過它做很多"SMCU的Cole說，他使用從Fortinet來的設(shè)備作為他對(duì)網(wǎng)絡(luò)安全深度防衛(wèi)的方法的一部分。

除了設(shè)備本身，Cole重視自動(dòng)化設(shè)備和攻擊簽名的更新。"我是簽名模型的狂熱愛好者"他說，"我們沒有資源野營，觀察病毒，垃圾郵件，入侵檢測記錄，惡意軟件或者是Web內(nèi)容過濾"總之，網(wǎng)關(guān)或者是單功能設(shè)備上的安全軟件是不行的;UTM卻可以。"你可以把一個(gè)設(shè)備作為防火墻賣了，另一個(gè)作為IDS，時(shí)間此時(shí)無疑結(jié)束了"Eschelbeck說。他估計(jì)今天85%的基于周長的保護(hù)現(xiàn)在是基于設(shè)備的，而這個(gè)數(shù)字還會(huì)持續(xù)增長。

7.需要的安全軟件逐漸成熟

如果UTM設(shè)備今天占統(tǒng)治地位，至少是在網(wǎng)關(guān)方面，當(dāng)軟件作為服務(wù)(SaaS)安全選項(xiàng)變得更加成熟，這意味著什么?事實(shí)上，SaaS能夠?yàn)橹行∑髽I(yè)以低成本提供所有需要的安全性能，從補(bǔ)丁管理到潛在的所有桌面PC的安全需要嗎?

"當(dāng)然，工業(yè)發(fā)展的方向是很明顯的"Eschelbeck說，他預(yù)測成熟的SaaS-也稱為需求(on-demand)-安全選項(xiàng)會(huì)在兩到三年內(nèi)出現(xiàn)，從桌面安全工具開始，包括預(yù)防病毒軟件，預(yù)防間諜軟件和預(yù)防惡意軟件，還有漏洞管理。在5年內(nèi)，他認(rèn)為中小企業(yè)只需要預(yù)先安裝很少的安全程序。

專家說SaaS安全會(huì)獲得成功因?yàn)樗鉀Q了現(xiàn)在中小企業(yè)面臨的兩項(xiàng)問題：時(shí)間的缺乏和資深專家的缺乏，后者更常見。"從一個(gè)安全觀點(diǎn)來看，問題在你開始改變事物的時(shí)候出現(xiàn)，尤其是你還不是你要改變的事物方面的專家"Security Innovations的Gavin說，"如果你是個(gè)零售商，你開始調(diào)整垃圾郵件的規(guī)則，防火墻規(guī)則，或入侵檢測規(guī)則，你可能不會(huì)得到正確的，你可能會(huì)遇到一些問題，但是并沒有意識(shí)到為什么，因?yàn)槟阌X得你已經(jīng)做了一些工作，以提高安全性。"

對(duì)比而言，服務(wù)提供者很可能從來不會(huì)犯這些錯(cuò)誤，并且能夠快速更改任何已經(jīng)發(fā)生的錯(cuò)誤或漏洞(或者是冒著丟失客戶的風(fēng)險(xiǎn))。就像建議的那樣，需求軟件也不需要客戶打補(bǔ)丁，這會(huì)是巨大的時(shí)間節(jié)省。

8.安全廠商繼續(xù)合并

從市場觀點(diǎn)來看，未來毫無疑問會(huì)見證更大的安全廠商的合并。只要看一下日益擴(kuò)大的廠商列表-經(jīng)常通過兼并–Symantec, McAfee, Trend Micro, CA, Webroot還有許多其他人。

"在我們看來，把安全整合到一個(gè)管理平臺(tái)上是圣杯，是一個(gè)我們提倡的趨勢"，Erna Arnesen說，他是賽門鐵克公司全球SMB工業(yè)和合作伙伴市場營銷的副總裁。特別是在中小企業(yè)面前，她說，"我們認(rèn)為它們會(huì)不斷要求整合，否則它們就會(huì)垮掉"。

在不久的將來，Arnesen預(yù)測一臺(tái)PC機(jī)會(huì)處理端點(diǎn)所有的和安全相關(guān)的問題，從申請(qǐng)防毒和反間諜軟件到和網(wǎng)絡(luò)接入控制設(shè)備交流來確保安全傳輸以及補(bǔ)丁的安裝等。"那就是我們公司努力的方向，期望能夠使用單一主體–能夠有效管理它們的端點(diǎn)，和過去對(duì)比，有許多不同的能力，但是在過去，它們并不能處理這些"，她說。

9.套裝不一定解決問題

多合一的安全套裝真的是未來的趨勢嗎?"我一直在關(guān)注這個(gè)，到現(xiàn)在為止，我認(rèn)為套裝會(huì)獲得更多的驅(qū)動(dòng)力，在2008，2009到2010年之間確實(shí)會(huì)是一個(gè)成功的模型"Gvain說，但是到現(xiàn)在為止，企業(yè)安全套裝至少在市場份額上還沒有一個(gè)明確的最佳產(chǎn)品。

為什么公司不使用套裝和它們的單一管理界面?"從消費(fèi)者觀點(diǎn)來看，我認(rèn)為它們很好，而且我強(qiáng)烈建議所有的人使用它們"SMCU的Cole說，"但是從商業(yè)方面看，對(duì)我來說，要把它們放到每個(gè)使用者的桌面上代價(jià)太昂貴了。對(duì)我而言，UTM設(shè)備-或者不管你怎么弄出來的-好得多，從企業(yè)層面看得話"

San Mateo Credit Union不是唯一的。"我認(rèn)為人們正在認(rèn)識(shí)到套裝是公司嘗試在不只一個(gè)領(lǐng)域競爭的產(chǎn)物，但是它們還沒有得到重視，它們還可能不是好的市場領(lǐng)導(dǎo)者"Gavin說。擁有每個(gè)最新的潛力-而且可能閑置-特征，保持所有的這些簽名更新也需要花很多錢。

此外，安全套裝的一個(gè)主要的賣點(diǎn)就是單個(gè)管理界面節(jié)省時(shí)間。但是今天，許多產(chǎn)品和基于網(wǎng)絡(luò)的接口相同。所以，"我認(rèn)為人們更愿意嘗試全新的產(chǎn)品，因?yàn)榻涌诓⒉皇侨灰粯拥?quot;Gavin說，"這不是那些遭遇管理惡夢的人所期望的"。

10.范圍內(nèi)的規(guī)則會(huì)擴(kuò)展

專家說在將來，SMB可能有幸和大企業(yè)一起參加稱之為法規(guī)遵從的活動(dòng)。特別是那些處理信用卡數(shù)據(jù)的中小企業(yè)可能很快會(huì)面對(duì)更嚴(yán)格的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)規(guī)則。例如，對(duì)PCI1.1版本的新的添加在6月生效，被稱為6.6的要求會(huì)要求企業(yè)讓專家人工審查它們的應(yīng)用源代碼，或者是部署一個(gè)應(yīng)用層防火墻。

"PCI傾向于走向添加更多的軟件和應(yīng)用安全層問題"Gvain說。起初，大機(jī)構(gòu)必須遵從新的PCI規(guī)則，但是他預(yù)測許多要求會(huì)擴(kuò)展到所有處理信用卡數(shù)據(jù)的機(jī)構(gòu)。

遵守這些規(guī)則對(duì)大部分的小組織來說不是很緊迫，但是寫作是靠積累的。"在4到5年內(nèi)，它們真的需要開始瞧一瞧這個(gè)了"他說。

多易