2015年企业必须知道的四大安全趋势！

香加一

1、用户登录凭证需要更强的身份验证

简单地说，用户名和密码是通向王国的钥匙，攻击者可以使用各种攻击向量来试图窃取用户登录凭证。

常见的攻击包括网络钓鱼攻击，其中攻击者会向毫无戒心的用户发送看似合法的电子邮件。这个电子邮件可能包含某种附件来感染用户，或者诱使用户点击链接来窃取其证书。

在2015年，随着漏洞利用工具包开始提供越来越复杂的工具来进行攻击，我们将会看到更多的用户登录凭证攻击。

从防御的角度来看，使用强大的身份验证(例如双因素身份验证)是2015年减少用户登录凭证攻击的关键。FIDO(快速身份在线)联盟在12月9日最终确定了强身份验证的规范，这将有助于在未来开创用户登录凭证安全的新时代。

2、特权升级问题加剧

用户登录凭证不足以让攻击者完全掌控系统。在很多数据泄露事故中，攻击者利用用户登录凭证作为进入网络的切入点，然后再利用特权升级漏洞利用来获取有价值数据。

在2015年，我们将会看到越来越多的特权升级漏洞，还会看到很多新技术来帮助保护企业目录系统和基于角色的访问控制。在2015年可能会改善的是微软的Active Directory，它广泛应用在企业中。

微软在11月13日收购了私人持有的安全公司Aorato，这给微软带来了新的技术来帮助保护Active Directory。在7月份，Aorato公开报道Active directory中存在的高风险漏洞。

3、未打补丁的漏洞不断被利用

在2014年，很多数据泄露事故是由已发布补丁的漏洞所导致。这个趋势在2015年还将继续，随着软件复杂性和软件修复量继续增长。

在2015年供应商为缓解未修复漏洞风险而采取的方法之一将会是自动化修复流程。多年来，谷歌已经完全自动化Chrome浏览器的更新，Adobe也已经为其Flash用户提供了自动更新选项。通过移除用户延迟和手动更新的需要，自动化更新将会在未来一年逐渐成为常态。

4、信息过载是风险

很多IT安全专业人士在2014年面对的主要挑战之一是信息过载。鉴于企业可以部署的令人眼花缭乱的安全技术以及所有能发出的信号，寻找有关安全信息并不是简单的工作。

2014年出现的明显趋势并将在2015年继续深化的是供应商致力于控制信息过载的风险。从现有技术获取更多价值，以及利用数据实现更好的安全结果，这将是很多企业在2015年的目标。

转自：联软企业空间