對(duì)于安全業(yè)界來說，以下的這4個(gè)安全趨勢(shì)都已經(jīng)非常的明顯, 這些趨勢(shì)也表明，對(duì)IT安全人士而言,2015年將非常具有挑戰(zhàn)性。

　　1、用戶登錄憑證需要更強(qiáng)的身份驗(yàn)證

簡(jiǎn)單地說，用戶名和密碼是通向王國(guó)的鑰匙，攻擊者可以使用各種攻擊向量來試圖竊取用戶登錄憑證。

常見的攻擊包括網(wǎng)絡(luò)釣魚攻擊，其中攻擊者會(huì)向毫無戒心的用戶發(fā)送看似合法的電子郵件。這個(gè)電子郵件可能包含某種附件來感染用戶，或者誘使用戶點(diǎn)擊鏈接來竊取其證書。

在2015年，隨著漏洞利用工具包開始提供越來越復(fù)雜的工具來進(jìn)行攻擊，我們將會(huì)看到更多的用戶登錄憑證攻擊。

從防御的角度來看，使用強(qiáng)大的身份驗(yàn)證(例如雙因素身份驗(yàn)證)是2015年減少用戶登錄憑證攻擊的關(guān)鍵。FIDO(快速身份在線)聯(lián)盟在12月9日最終確定了強(qiáng)身份驗(yàn)證的規(guī)范，這將有助于在未來開創(chuàng)用戶登錄憑證安全的新時(shí)代。

2、特權(quán)升級(jí)問題加劇

用戶登錄憑證不足以讓攻擊者完全掌控系統(tǒng)。在很多數(shù)據(jù)泄露事故中，攻擊者利用用戶登錄憑證作為進(jìn)入網(wǎng)絡(luò)的切入點(diǎn)，然后再利用特權(quán)升級(jí)漏洞利用來獲取有價(jià)值數(shù)據(jù)。

在2015年，我們將會(huì)看到越來越多的特權(quán)升級(jí)漏洞，還會(huì)看到很多新技術(shù)來幫助保護(hù)企業(yè)目錄系統(tǒng)和基于角色的訪問控制。在2015年可能會(huì)改善的是微軟的Active Directory，它廣泛應(yīng)用在企業(yè)中。

微軟在11月13日收購了私人持有的安全公司Aorato，這給微軟帶來了新的技術(shù)來幫助保護(hù)Active Directory。在7月份，Aorato公開報(bào)道Active directory中存在的高風(fēng)險(xiǎn)漏洞。

3、未打補(bǔ)丁的漏洞不斷被利用

在2014年，很多數(shù)據(jù)泄露事故是由已發(fā)布補(bǔ)丁的漏洞所導(dǎo)致。這個(gè)趨勢(shì)在2015年還將繼續(xù)，隨著軟件復(fù)雜性和軟件修復(fù)量繼續(xù)增長(zhǎng)。

在2015年供應(yīng)商為緩解未修復(fù)漏洞風(fēng)險(xiǎn)而采取的方法之一將會(huì)是自動(dòng)化修復(fù)流程。多年來，谷歌已經(jīng)完全自動(dòng)化Chrome瀏覽器的更新，Adobe也已經(jīng)為其Flash用戶提供了自動(dòng)更新選項(xiàng)。通過移除用戶延遲和手動(dòng)更新的需要，自動(dòng)化更新將會(huì)在未來一年逐漸成為常態(tài)。

4、信息過載是風(fēng)險(xiǎn)

很多IT安全專業(yè)人士在2014年面對(duì)的主要挑戰(zhàn)之一是信息過載。鑒于企業(yè)可以部署的令人眼花繚亂的安全技術(shù)以及所有能發(fā)出的信號(hào)，尋找有關(guān)安全信息并不是簡(jiǎn)單的工作。

2014年出現(xiàn)的明顯趨勢(shì)并將在2015年繼續(xù)深化的是供應(yīng)商致力于控制信息過載的風(fēng)險(xiǎn)。從現(xiàn)有技術(shù)獲取更多價(jià)值，以及利用數(shù)據(jù)實(shí)現(xiàn)更好的安全結(jié)果，這將是很多企業(yè)在2015年的目標(biāo)。