2011年即將過去，這一年網絡安全領域發生太多的事情。云計算、移動互聯網等新技術得到了大家的認可和廣泛的應用，隨之而來的網絡安全問題也受到了大家的重視。那么，2012年網絡安全領域將會是怎樣的情形呢?Kroll Inc公司網絡安全和信息保障部門在做年度安全預測時指出：移動技術安全威脅，社交媒體，黑客行動主義( hacktivism )等在2012年將會愈演愈烈。

　　該部門的負責人Karen Schuler稱，2011年出現的安全事件說明在網絡安全領域，一些公共組織或私營機構仍然存在問題。令這些組織頭疼的傳統問題包括移動技術，事件響應和管理要求在2012年將加劇。網絡安全和信息保障部門的高級常務董事Alan Brill稱，經常會看到一些組織把自己假定為非攻擊目標來制定防護措施。但是2011年的教訓告訴我們不能心存僥幸。企業需要實施策略性的主動網絡安全防護，面對安全問題不能一葉蔽目。

　　1、移動技術安全威脅將是前所未有的

　　移動技術發展如此迅速以至于在一些企業中部署新技術的需要和壓力將超過公司的在安全上的承受能力。而這對于那些準備利用移動應用實施高度定向惡意攻擊的人而言已經不是秘密。同樣，設備丟失的問題也會擴展到這些新技術以及過去網絡安全計劃中覆蓋不到的設備。例如，醫療設備中用來記錄門診治療的數碼相機對想要竊取病人信息的人就具有很大的吸引力。這類數據的丟失違背了HIPAA隱私法規可能對醫療行業造成嚴重影響。

　　2、社交媒體將成為社工行為的幫兇

　　社交媒體在企業中迅速擴張，它也因此成為惡劣一大威脅。到2012年，社交媒體的資料將成為社工策略的渠道。盜竊信息的人利用社工技術迫使終端用戶公開敏感信息，下載惡意軟件或是二者兼具。為了應對這種威脅，各公司應該不局限于基礎安全策略，還應該使用更高級的技術，如防數據泄漏，高級網絡監控和日志文件分析等。

　　3、中小企業也會成為網絡攻擊的目標

　　“黑客行動主義”可能登上新聞頭條，但事實上數據盜竊僅僅是尋找企業安全防護中的最薄弱環節而已。之后，再通過這個最薄弱的環節長驅直入獲取大量有價值信息。最常見的攻擊模式從社工到SQL注入不等。此外，使用沒有升級的舊系統也會降低企業的防御能力，企業信息可能因此處于高危狀態。

　　4、隨著云服務的普及，相關的數據泄露事件也會層出不窮

　　從效益角度出發，企業會在節約成本和簡化操作的基礎上使用云服務。遺憾的是，當前的調查和報告指出現在很多公司在審查云服務商的時候都低估了安全的重要性。2012年，云服務的使用率會增加，新的漏洞會突顯這些服務給分析與事件響應帶來的挑戰，而云安全最終也會得到應有的關注。

　　5、商業和政府合作對于經濟和架構健康而言是關鍵任務

　　無論是大公司還是個人消費者，網絡犯罪都可以對其商業行為進行破壞。同樣，美國架構的安全也讓人不放心。基于這些原因，在美國的私營企業和美國政府之間的信息共享正在加強。私營機構與公共部門之間加強溝通不僅讓政府掌握足夠信息來打擊主要威脅，還增強了私有機構響應重大危機的能力。

　　6、隱私上的顧慮將導致地理定位技術的白熱化

　　地理定位技術是一把典型的雙刃劍。一方面，用戶喜歡創新移動應用帶來的邊界以及利用這項技術提供的服務。另一方面，該技術也可能導致行蹤等信息的泄露。事實上，2011年美國就出臺了兩條有關地理定位信息保護的聯邦法案。不知道這兩條法案在2012年是否會成為法律，但是隱私或許可以促使企業接受買/賣方贊成模式。

　　7、日志的管理和分析在事件準備與響應中會越來越被重視

　　安全事件的復雜性與頻率在近年都有所增加，最有效的響應方式之一就是為網絡和關鍵應用保留完整日志。雖然這一點在過去沒有得到應有的重視，但是日志記錄可以為網絡行為和安全事件文檔的分析提供重要信息。到2012年，各公司會看到各式各樣的錯誤，然后他們就可以部署正式的風險評估來查找安全薄弱環節。

　　8、事件響應團隊在標準商業運營中會持續獲得青睞

　　以前，事件響應團隊的成員都是機動性的，只在安全事件發生的時候才會被號召起來。但是為了保持公司在當今市場的競爭力，公司需要將事件響應團隊從機動部隊升級為常規化的運作。有效的事件響應團隊可以是專職進行事件響應的員工也可以是第三方顧問組成的團隊。

　　9、公司可能會輕視一些關鍵性的漏洞，因為常規性的裝置會繼續推動企業的安全

　　州立法規與聯邦法規都保留著大量數據隱私和安全的衡量尺度。但是用這些東西來推動安全是不可靠的，因為大量數據安全法規都忽視了基本的IT安全控件。當然，會有一些法規可以解決加密需求或是事件響應計劃的開發，但是極少有法規要求提供廣泛的最佳實例控件，如最新的反病毒軟件。安全漏洞導致越來越多的破壞行為，期望一些監管機構能夠為風險評估和標準IT安全控件提供專門指導。

　　10、違規通知方面的法律會在美國以外的地方得到發展

　　雖然美國國會在聯邦級別的違規通知法律上沒有形成共識，但是這一概念在世界范圍內發展勢頭不錯。德國在2010年久要求所有部門出具違規通知，還有一些歐盟國家也對此表現出興趣。同時，加拿大也正在考慮并將其作為PIPEDA修訂版的一部分強制執行，這樣就可以對加拿大企業收集，使用和公開個人信息的情況進行監管。希望躋身國際市場的公司應該密切關注這些發展，因為這對公司的海外運營有著顯著影響。

　　英文原文鏈接：http://www.securitymagazine.com/articles/82634-top-ten-cyber-security-trends-for-2012 

原文鏈接：http://safe.it168.com/a2011/1220/1291/000001291327.shtml