较近迈克菲就“网络安全趋势”的话题发起了 #SecChat的Twitter线上讨论活动。讨论中的较早个问题便极富挑战性,即在网络安全专家看来,如今较严峻、而五年前不成问题的挑战有哪些?多数参与者指出的两大关键挑战是云集成和社交媒体导致的信息泄露。
基于云的服务正在前所未见地致使 IT 团队失控。借助基于 SaaS 的应用程序,监控员工的上网行为变得更加复杂,讨论中有人指出,无缝集成将成为关键。
而社交媒体是企业正在全力控制的新兴攻击媒介。一方面,社交媒体十分便于企业与员工和客户的联系与互动;而另一方面,不法分子现在能够轻松地将藏有恶意软件的链接直接通过 Twitter 等社交媒体发给 CEO。不仅如此,现在大多数员工都将自有设备带入公司,让人防不胜防。设想一下这样的情况,笔记本电脑在家里感染了 Facebook 或 Twitter 上的恶意链接,而第二天便被带入公司的办公环境......
接下来,我们的话题转到了下一代网络安全技术,如 NGFW(Next-Generation Firewall,下一代防火墙,简称 NGFW) 和 NGIPS(Next-Generation Intrusion Prevention Systems,下一代入侵防御系统,简称 NGFW)。多数参与者对“下一代”这个词都不感冒,因为这一术语在某种程度上依然缺乏准确的定义。然而,大家还是一致认同,某些技术能够提供更大的安全保障,尤其是在未来。
此外,引起大家广泛共鸣的话题是:明智的安全计划应该首先是投资于人,其次才是投资于技术。企业必须开始认识到每位员工都是信息安全计划的一份子。信息安全工作人员需要将员工视为盟友,而非敌人,而且行之有效的安全意识培养计划是关键所在。
对于员工安全意识的培养,参与讨论的人认为企业应该让员工参加安全会议,弥补培训时间上的不足。同时,安全意识教育必须成为入职培训的一环,为新员工指明要求和期望,防止其散漫地使用公司网络。
当问及参与者现在想部署哪些他们目前还没有做预算的新安全工具时,较多的回答是增加人力资本投入。因为多数大企业目前甚至没有专门的网络安全团队,所以企业必须从安全团队抓起。如果预算有限,可在采购前优先招募人才。
较后,我们以预测来结束讨论:未来六个月、一年或五年中,网络安全趋势该如何发展?我比较认可的观点是:随着时间的推移,企业将逐渐意识到过去自己并未合理利用公司的资源。我们处于相互共享网络的一个时段,因此企业现在需要开始做出调整,不仅要投资技术解决方案,还要对较重要的资源——人力成本,加大投入力度。
