作者:唐思源

　　安全威胁和保护必须跟随者威胁的发展而发展。我们向安全专家咨询了在接下来三到十年期间中小企业将要面临的安全趋势的重要信息。
　　你今天制定的安全计划面对以后的威胁还能有用吗?

　　为了创建一个有效的信息安全项目，计划和准备是关键。尤其是那些安全主管必须知道安全威胁正在发生什么样的变化，并且评估哪些技术能够最有效的降低他们的风险。然后，至少在中小企业中，他们必须确认和采用可能的物有所值的安全方法。

　　毫不奇怪，因为这些要求，Forrester Research的研究表明中小企业今年的的高级安全开销的优先次序会是整合新的端点安全技术，在网络结构内部设置更多的安全保卫和持续采用多功能安全器材。

　　然而，考虑到这些中小企业用来保卫安全的稀少资源，这些开销次序合适吗?此外，安全环境在接下来的3到5年会有什么样的变化，在此期间，攻击以及技术会带来危险还是希望呢?

　　为了找到答案，我们向安全专家咨询了不久的将来的十大安全趋势的细节。

　　1.攻击者们会不断进步。

　　在接下来的5年里，公司会一直碰到什么类型的安全威胁?“安全中一般类型的攻击和规则是不会改变的”Randy Abrams预测，他是ESET，一个安全软件提供方的技术教育部门的主管，但是，“已有的攻击技术和模型会演化成新的方式”

　　以通过e-mail的419欺骗行为为例。这些是钓鱼式攻击(Phishing attacks)，欺骗人们相信他们正在和一个合法的在线公司交易。从概念上说，这些攻击并不新颖。但是，今天绝大部分的攻击只是在一个主题方面翻来覆去而已，这个主题就是如何偷钱。

　　“公司真正需要关注的重点是理解基础结构”Abram说。换句话说，维持一个用来减轻高级安全威胁的策略，包括更新安全策略和经常性的训练职员，尤其是识别社会工程攻击(social engineering attacks)的方法。“社会工程将一直会是对SMBs的最成功的攻击之一”他说，“教育会是对抗这个的唯一方法”。

　　2.钓鱼式攻击次数将会下降

　　教育者已经可以指出一个显著的成功：钓鱼式攻击的有效性逐渐下降。“钓鱼式攻击已经开始走向末路”Steve Cole说，他是拥有180个雇员的San Mateo Credit Union的观察员，“IE7，firefox2，扩展了Verisign的安全认证—Verisign刚结束对使用者的教导：不要点击e-mails的连接。”

　　即使教育是有效的，在将来一些自动保护也不会起作用。“我希望看到一些东西能够真正阻止钓鱼式攻击”他说。

　　3.Vista的效率问题挥之不去

　　除了不断的垃圾邮件，间谍软件，恶意软件和链接的流行，Cole说他的最头痛的安全问题不是最新的攻击，而是预先安装在新PC上的操作系统。“我们最大的困难是我们被强迫在桌面上安装Vista”他解释说“每次我和别人谈起Vista，它简直就是个恶梦”。主要是因为“加强安全”的提示的数目，这些提示在用户尝试一些可能不完全安全的操作时会询问，警告或者建议用户。

　　如果Vista的安全加强导致了一个潜在的效率恶梦，Microsoft需要多长时间来改变它?“7年前，人们说我们该怎么处理Windows 2000，我们需要从NT4.0升级吗?”Michael Gavin说，他是提供安全风险评估的Security Innovation的安全战略家。“我们的标准答案是，至少给它一个或两个服务包和足够的时间，这样一切可以解决，因为在这个时候，不只是从安全观点看，如果一些东西被你接受，只是因为它是新的，你暂时就会歇业了”。
　　
　　4.随着移动的扩展，移动安全也会带来挑战

　　雇员的移动性越来越强。IDC预测在四年内，超过70%的人们会通过移动设备连到公司网络。但是Kom/Ferry International的调查表明，81%的经理主管说他们已经通过一个移动设备或其他的“一

直”连线工作。

　　不幸的是，总是在线的雇员和经理更有可能把公司信息暴露给窃听者，或者暴露自己的电脑设备。例如，对移动雇员的调查表明73%的人没有关注移动安全。在7个国家对700个移动工人的调查由Cisco Systems和National Cyber Security Aliance发布，它也发现1/3的使用者经常使用开放无线互联，不管是通过Wi-Fi还是通过邻居的不安全的信号。而且，几乎一半的雇员经常打开不知来源的e-mails上的文件。

　　如果明天的工作地点是移动的，它会是安全的吗?“移动设备正融合进中小企业，公司需要考虑终端使用者和他们是怎么对待移动设备的”Ron Teixeira说，他是NCSA的执行经理。

　　专家建议所有的公司培训雇员关于移动安全的最好做法，描述公司会支持什么样的移动设备，确保这些设备(包括笔记本)运行提供强密码认证的安全软件，甚至是整个磁盘加密，以便确保这些设备上的任何公司数据在硬件丢失或被窃时是不能恢复的。

　　5.网络接入控制越来越普及

　　随着需要支持越来越多的移动工人，IT管理者正在关注网络接入控制，它可以使组织者分清安全软件是否是活跃和配置好的，补丁是不是要更新了，请求接入网络的PC或服务器是否已经达成妥协。如果是这样的话，网络内嵌的安全控制或者是PC或服务器的内嵌安全控制可以把设备放到网络的隔离区中直到问题得到补救(或者对于许多没有时间检测间谍软件感染的小公司来说，只要简单的清除和重恢复)。

　　最近，三个主要终端安全标准已经出来。尤其是，Microsoft发布了它的网络接入保护，可以和Cisco的网络接入控制标准以及Trusted Computing Group的信任网络连接(Trusted Network Connect)标准一起相互作用。

　　所以，网络接入控制和隔离是未来的潮流吗?“对于中小企业来说，你确实想分离你的生产网络以远离HR和人们的桌面”Gavin说“只具有功能性，以保持合适的分开，这确实是一个好主意”。

　　但是适合中小企业使用的技术状态还没有准备好。根据Webroot CTO Gerhard Eschelbeck的说法“今天，我不会用两只脚跳进NAC”。他举出了多个问题，包括不完整的标准融合，没有解决的隔离和补救程序，潜在的用户抵抗和目前产品兼容性的缺乏。

　　“NAC必须是一个自治系统—就像TCP/IP—所有人都可以插入和工作”他说，要达到这点需要几年时间。另一方面“TCP/IP也不是一夜之间就出来的”Eschelbeck说。

　　6.多合一，UTM设备引导网络保护

　　中小企业中永恒的时间和资源紧张的IT部门带来自动化和效率。因此，他们采用多功能—也被称为统一威胁管理—安全设备。“对我们来说，UTM设备是巨大的—这是一个单点，我们可以通过它做很多”SMCU的Cole说，他使用从Fortinet来的设备作为他对网络安全深度防卫的方法的一部分。

　　除了设备本身，Cole重视自动化设备和攻击签名的更新。“我是签名模型的狂热爱好者”他说，“我们没有资源野营，观察病毒，垃圾邮件，入侵检测记录，恶意软件或者是Web内容过滤”总之，网关或者是单功能设备上的安全软件是不行的;UTM却可以。“你可以把一个设备作为防火墙卖了，另一个作为IDS，时间此时无疑结束了”Eschelbeck说。他估计今天85%的基于周长的保护现在是基于设备的，而这个数字还会持续增长。
　　
　　7.需要的安全软件逐渐成熟

　　如果UTM设备今天占统治地位，至少是在网关方面，当软件作为服务(SaaS)安全选项变得更加成熟，这意味着什么?事实上，SaaS能够为中小企业以低成本提供所有需要的安全性能，从补丁管理到潜在的所有桌面PC的安全需要吗?

　　“当然，工业发展的方向是很明显的”Eschelbeck说，他预测成熟的SaaS—也称为需求(on-demand)—安全选项会在两到三年内出现，从桌面安全工具开始，包括预防病毒软件，预防间谍软件和预防恶意软件，还有漏洞管理。在5年内，他认为中小企业只需要预先安装很少的安全程序。

　　专家说SaaS安全会获得成功因为它解决了现在中小企业面临的两项问题：时间的缺乏和资深专家的缺乏，后者更常见。“从一个安全观点来看，问题在你开始改变事物的时候出现，尤其是你还不是你要改变的事物方面的专家”Security Innovations的Gavin说，“如果你是个零售商，你开始调整垃圾邮件的规则，防火墙规则，或入侵检测规则，你可能不会得到正确的，你可能会遇到一些问题，但是并没有意识到为什么，因为你觉得你已经做了一些工作，以提高安全性。”

　　对比而言，服务提供者很可能从来不会犯这些错误，并且能够快速更改任何已经发生的错误或漏洞(或者是冒着丢失客户的风险)。就像建议的那样，需求软件也不需要客户打补丁，这会是巨大的时间节省。

　　8.安全厂商继续合并

　　从市场观点来看，未来毫无疑问会见证更大的安全厂商的合并。只要看一下日益扩大的厂商列表—经常通过兼并--Symantec, McAfee, Trend Micro, CA, Webroot还有许多其他人。

　　“在我们看来，把安全整合到一个管理平台上是圣杯，是一个我们提倡的趋势”，Erna Arnesen说，他是赛门铁克公司全球SMB工业和合作伙伴市场营销的副总裁。特别是在中小企业面前，她说，“我们认为它们会不断要求整合，否则它们就会垮掉”。

　　在不久的将来，Arnesen预测一台PC机会处理端点所有的和安全相关的问题，从申请防毒和反间谍软件到和网络接入控制设备交流来确保安全传输以及补丁的安装等。“那就是我们公司努力的方向，期望能够使用单一主体--能够有效管理它们的端点，和过去对比，有许多不同的能力，但是在过去，它们并不能处理这些”，她说。

　　9.套装不一定解决问题

　　多合一的安全套装真的是未来的趋势吗?“我一直在关注这个，到现在为止，我认为套装会获得更多的驱动力，在2008，2009到2010年之间确实会是一个成功的模型”Gvain说，但是到现在为止，企业安全套装至少在市场份额上还没有一个明确的最佳产品。

　　为什么公司不使用套装和它们的单一管理界面?“从消费者观点来看，我认为它们很好，而且我强烈建议所有的人使用它们”SMCU的Cole说，“但是从商业方面看，对我来说，要把它们放到每个使用者的桌面上代价太昂贵了。对我而言，UTM设备—或者不管你怎么弄出来的—好得多，从企业层面看得话”

　　San Mateo Credit Union不是唯一的。“我认为人们正在认识到套装是公司尝试在不只一个领域竞争的产物，但是它们还没有得到重视，它们还可能不是好的市场领导者”Gavin说。拥有每个最新的潜力—而且可能闲置—特征，保持所有的这些签名更新也需要花很多钱。

　　此外，安全套装的一个主要的卖点就是单个管理界面节省时间。但是今天，许多产品和基于网络的接口相同。所以，“我认为人们更愿意尝试全新的产品，因为接口并不是全不一样的”Gavin说，“这不是那些遭遇管理恶梦的人所期望的”。

　　10.范围内的规则会扩展

　　专家说在将来，SMB可能有幸和大企业一起参加称之为法规遵从的活动。特别是那些处理信用卡数据的中小企业可能很快会面对更严格的支付卡行业数据安全标准(PCI-DSS)规则。例如，对PCI1.1版本的新的添加在6月生效，被称为6.6的要求会要求企业让专家人工审查它们的应用源代码，或者是部署一个应用层防火墙。

　　“PCI倾向于走向添加更多的软件和应用安全层问题”Gvain说。起初，大机构必须遵从新的PCI规则，但是他预测许多要求会扩展到所有处理信用卡数据的机构。

　　遵守这些规则对大部分的小组织来说不是很紧迫，但是写作是靠积累的。“在4到5年内，它们真的需要开始瞧一瞧这个了”他说。