關(guān)于數(shù)據(jù)泄露與破壞性漏洞的議論之聲可謂甚囂塵上，大家對(duì)于此類言論恐怕也早已聽得耳生老繭。世上沒有萬靈藥，但以下四項(xiàng)趨勢(shì)也許能幫助各位在新的一年中成功應(yīng)對(duì)安全威脅。

在如今這個(gè)瘋狂的世界當(dāng)中，黑客們已經(jīng)有能力顛覆整家公司、破壞項(xiàng)目甚至讓數(shù)百萬觀眾的觀影之夜化為泡影。有鑒于此，我相信形勢(shì)已經(jīng)發(fā)展到了臨界點(diǎn)位置。我的意思是，是時(shí)候出現(xiàn)強(qiáng)有力的制約措施、阻止那些意圖不軌的攻擊者顛覆奉公守法的無辜企業(yè)了。

[[125234]]

這里我指的并不單單是索尼一家。黑客們多年以來已經(jīng)給眾多企業(yè)造成了嚴(yán)重困擾。過去他們的攻擊目標(biāo)主要是小型企業(yè)，但如今由此類惡意活動(dòng)引發(fā)的損失已經(jīng)高達(dá)上億美元——而在索尼遭遇的事故當(dāng)中，其長遠(yuǎn)損失將可能突破五億美元。值得注意的是，絕大多數(shù)攻擊活動(dòng)并不需要多么高深的入侵技術(shù)，只不過是目前我們的防御機(jī)制太過糟糕。換言之，每一家企業(yè)都有可能身陷與索尼相同的困境。

既然安全狀況目前已經(jīng)探底，那么接下來恐怕只有逐步升溫這一條發(fā)展道路了。事實(shí)上，在與黑客及惡意軟件無休止的斗爭當(dāng)中，我發(fā)現(xiàn)了四種能夠有效緩解甚至解決安全問題的方式：

1.良好的培訓(xùn)能夠抵御社交工程攻擊

在過去一年中，大部分企業(yè)都淪陷在了具備良好技術(shù)實(shí)踐方案的社交工程攻擊活動(dòng)的鐵蹄之下。

我們根本用不著擔(dān)心那些充斥著來自陌生人邀請(qǐng)、要求目標(biāo)對(duì)象涉入其聞所未聞之事等信息的釣魚郵件。不，如今的網(wǎng)絡(luò)釣魚郵件開始借由大家所認(rèn)識(shí)且擁有固定工作交集的相關(guān)者賬戶發(fā)送，例如雙方都長期效力于同一個(gè)項(xiàng)目團(tuán)隊(duì)，且要求我們完成某種看似非常合理的要求——例如將某些實(shí)際情況或者專業(yè)知識(shí)與其進(jìn)行共享。

抵御此類高端攻擊活動(dòng)的惟一辦法就是推行更理想的培訓(xùn)機(jī)制。我們必須教導(dǎo)自己的用戶如何分辨最常見的攻擊活動(dòng)、攻擊者又試圖讓我們執(zhí)行哪些操作——例如登錄某個(gè)網(wǎng)站(用于竊取業(yè)務(wù)登錄憑證)或者運(yùn)行某種程序(通常屬于木馬程序)。

我敢肯定，大多數(shù)企業(yè)仍然在使用陳舊的指示性演示資料，例如告訴大家不要打開可疑的文件附件或者避免訪問“不可信”網(wǎng)站。在即將到來的2015年中，我認(rèn)為企業(yè)將最終意識(shí)到現(xiàn)有機(jī)制的不足、并利用切實(shí)可靠的培訓(xùn)體系應(yīng)對(duì)目前愈發(fā)復(fù)雜的安全威脅。

2. 總體而言，隱私保護(hù)將有所改善

在過去一年多以來，感謝愛德華·斯諾登的毅然反水，每個(gè)人都意識(shí)到自己根本沒有隱私可言。

由于政府方面對(duì)個(gè)人電子郵件肆無忌憚地查閱以及對(duì)電話呼叫的廣泛追蹤，我們心中已經(jīng)因此衍生出強(qiáng)烈的抵觸情緒。有鑒于此，大部分云服務(wù)供應(yīng)商開始在其產(chǎn)品當(dāng)中默認(rèn)提供加密機(jī)制，或者是在2015年中計(jì)劃并實(shí)際推出此類方案。在我看來，到2016年我們將很難再找到一款沒有以默認(rèn)方式提供加密機(jī)制的產(chǎn)品、云服務(wù)或者其它什么解決方案。到那個(gè)時(shí)候，惟一能夠訪問到密鑰內(nèi)容的就只有用戶本人，這絕對(duì)是一場值得慶賀的巨大勝利。

我根本不打算理會(huì)那些被迫害妄想癥患者，他們總是叫囂著默認(rèn)加密機(jī)制會(huì)讓這個(gè)世界充斥恐怖分子與兒童猥褻犯。抱歉，警察叔叔們，你們又得回去從基礎(chǔ)警備工作干起了——或者至少要在提供保證的前提下查閱個(gè)人信息。我絕不會(huì)放棄自己保護(hù)個(gè)人隱私的權(quán)利，相信這世界上還有幾十億人跟我有同樣的觀念——而犧牲如此龐大的訴求，就為了追捕幾百或者上千名真正的罪犯?別開玩笑了。

越來越多的企業(yè)開始招聘專門的隱私保護(hù)人員，其中包括首席隱私官。保障客戶及員工數(shù)據(jù)及隱私免受侵害已經(jīng)成為主流觀點(diǎn)，而且這是一條不可能回頭的發(fā)展道路。經(jīng)過最黑暗的黎明前夕，隱私侵犯活動(dòng)最終將結(jié)束其罪惡的一生。

3. Crowdsourced防御方案不斷增加

Crowdsourced機(jī)制幾乎已經(jīng)融入了奮不顧身，從創(chuàng)新性融資到支持公益組織的抗議活動(dòng)。毫無疑問，眾包在計(jì)算機(jī)安全領(lǐng)域同樣將有所建樹。

大部分惡意分子會(huì)同時(shí)將大量對(duì)象作為攻擊目標(biāo)。垃圾郵件發(fā)送者將同樣內(nèi)容的副本發(fā)送給數(shù)千萬甚至過億用戶。APT通常能夠在同一時(shí)間入侵?jǐn)?shù)以百計(jì)甚至上千家企業(yè)。在這種情況下，每一位潛在受害者都擁有寶貴的詳細(xì)信息，將其合理分享能夠有效對(duì)抗此類犯罪活動(dòng)。

但始終困擾著我的是，為什么我們沒能建立起頻率更高且反應(yīng)更迅速的集體智慧共享機(jī)制?不過在2014年里，我發(fā)現(xiàn)已經(jīng)有越來越多的企業(yè)愿意將自身遭遇攻擊活動(dòng)的經(jīng)歷進(jìn)行共享，其共享范疇可能是企業(yè)中的特定業(yè)務(wù)團(tuán)隊(duì)、也可能是整個(gè)行業(yè)。無論如何，這種新趨勢(shì)帶來了積極成效。

黑客們通過長期共享各類攻擊手段及心得不斷壯大自身隊(duì)伍，受害者們?yōu)槭裁淳筒荒苡赂艺境鰜?、采取同樣的團(tuán)結(jié)姿態(tài)?

2015年，將有更多企業(yè)加入到信息共享的陣營中來——也將有更多工具專門負(fù)責(zé)利用此類信息。目前不同殺毒軟件合作伙伴之間已經(jīng)開始共享開放論壇及寶貴資訊，計(jì)算機(jī)安全防御系統(tǒng)在進(jìn)入眾包時(shí)代后將使黑客更加難以遁形。

4. 國際合作更為普遍

網(wǎng)絡(luò)犯罪分子之所以如此猖獗，是因?yàn)樗麄冎雷约郝淙敕ňW(wǎng)的可能性非常之低。

如今的互聯(lián)網(wǎng)正如當(dāng)年的狂野西部，惡意攻擊者只需要跨越邊界就能逃過法律的制裁。我們已經(jīng)掌握了大量造成實(shí)際損失的黑客的身份資料，但他們?cè)谧约旱膰也粫?huì)被批捕或者受審——即使我們已經(jīng)掌握了充足的證據(jù)。

歷史告訴我們，狂野西部最終會(huì)被以社區(qū)為基礎(chǔ)的安全文明所取代，法律與秩序才是推動(dòng)人類成功的前提條件。時(shí)至今日，即使是那些習(xí)慣于藏污納垢的國家，也從中看到了美好的發(fā)展前景——即使是從其自身利益出發(fā)。舉例來說，美國的眾多企業(yè)現(xiàn)在開始整體屏蔽來自特定國家的全部訪問流量，這種作法對(duì)于該國的經(jīng)濟(jì)絕對(duì)不是什么好事。

在過去，很多此類安全港國家對(duì)國際輿論采取視而不見的態(tài)度，這直接導(dǎo)致其成為大量黑客的避難地與庇護(hù)所。最終，這些賊人終于按捺不住，開始朝著所在地的目標(biāo)下手。那些坐視國外政府遭受攻擊的政治主體開始嘗到自己親手種下的苦果。

最后，邊境作為管轄權(quán)阻礙的作用正變得愈發(fā)薄弱。相信未來一年中將有更多對(duì)國際網(wǎng)絡(luò)犯罪分子的批捕與監(jiān)禁報(bào)道出現(xiàn)?？傆幸恍﹪?，例如俄羅斯，會(huì)成為攻擊者們不惜花重金以求藏身的居所。但即使是最保守的處置方針也足以讓這幫家伙逐漸成為無處逃竄的流寇。

真正的改變?也許會(huì)出現(xiàn)

當(dāng)然，我認(rèn)為2015年中計(jì)算機(jī)安全狀況不會(huì)得到真正的改善，但我同樣保留著一絲希望的曙光。如果上述預(yù)言能有一項(xiàng)變成現(xiàn)實(shí)，我肯定會(huì)開心得跳起來; 事實(shí)上，即使單單一項(xiàng)成功也足以鼓舞人心同時(shí)沉重打擊網(wǎng)絡(luò)犯罪活動(dòng)的囂張氣焰。

之所以抱有希望，是因?yàn)槲铱吹接行┦挛镆呀?jīng)切實(shí)改變。我們不能接受一個(gè)混亂的世界，一個(gè)僅僅因?yàn)榉磳?duì)未遂就讓電影公司陷入癱瘓、甚至徹底顛覆整個(gè)社交體系的世界。畢竟沒人愿意回到狂野西部時(shí)代，對(duì)吧?

原文鏈接：http://www.infoworld.com/article/2862208/security/4-positive-predictions-computer-security-2015.html