美国加州CISO：2010十大预测

　　1、你认为你得到了人才?

　　2010年开始，很多企业会将工作重点放在招聘、培训和留住网络安全专业人员工作上。我们面临比较大的一个问题是网络安全人才的稀缺。有很多的证据表明，没有坚实安全技术后盾的企业不能保证自己的系统和信息能够抵御现有的黑客和攻击者技能的水平。最近的一个报告表明，“新兴人才输送渠道很少”，并且“一些美国人开始担心，没有培养出足够的IT专业人员，使得公共机构和私营部门出现了专业人员的短缺”。我所在的单位就是公共机构，这些年来我们听说的所谓的“退休泡沫”正在变得很现实，我们不得不开始培养新一代网络安全专家。尽管许多组织都面临着经济和财政的挑战，但是谁忽视这些问题的重要性，谁就将给自己制造很大的危险。

　　2、社交媒介不仅仅是一种时尚，同时也从根本上改变了我们的通讯方式。

　　我们现在都清楚，社交网络的安全问题技术性都不高，但是波及面却很广泛。因为社交网络的风险利用的就是人与人交往的安全链条上最薄弱的环节和最难以控制的角度。钓鱼和网络犯罪分子往往习惯用这些方式发起攻击，欺诈问题将会越来越泛滥。虽然已经有了黑客的存在，但是网络犯罪分子已经找到了方法，让人们自己hack自己。直接导致的结果就是个人信息泄露事件的爆炸性增长，会有更多新的规则来保护企业和政府的有价证券投资和敏感信息。

　　3、关键基础设施，真的那么重要吗?

　　越来越多的政府认为用新的法规遵从来约束保有关键基础设施的私营部门，如发电、配电、配水等设备。这些讨论甚至会涉及到政府干预或直接给予紧急权力。很多媒体都忽视了这一问题，我们日常工作和生活中计算机的安全缺陷甚至会影响到国家关键基础设施的控制系统。即使有些人认为这很夸张，甚至像UFO之类的无稽之谈，但是没有人能够否认攻击面正在扩大。美国联邦政府将会认真对待加强全面监管的问题，并用新的法规来解决这些问题，这需要周密的设计和更多的安全控制，包括员工培训，甚至包括对关键基础设置安全专业人员的认证。

　　4、云计算安全问题

　　云计算“安全管理服务”(MSS)一开始不被人们接受，但是随着安全厂商服务的进步，人们也越来越接受这个新事物了。企业还会继续将预算看做是一个重要标准，很多企业都无法抵挡云计算安全服务给他们带来的巨大成本节约。邮件的防垃圾邮件过滤和防病毒扫描是既在云中能够运行良好又风险相对较低的解决方案。在预算紧缩的时期，内部员工减少和员工技能不足的情况下，IDS/IPS监测、漏洞扫描和Web应用扫描等MSS看起来是很理性的决策。

　　5、网络犯罪

　　黑客编写病毒，绕过安全控制进入系统，破坏数据的完整性，造成网络破坏，这些现象2010仍会存在。与过去的以金钱为动机相比，这种计算机攻击已经变成了一种不同的类型。不过，有一个坏消息，由于网络犯罪分子很具有创造性并且很聪明，所以你很难抓住他们。在人类的历史的进展中始终没有改变的一点是，他们聚集在金钱所在的地方。网络犯罪没有差异，入门门槛很低，被抓的风险几乎是零，网络犯罪正在蓬勃发展。由于在线商务增多了，那么网络犯罪的机遇就更多了。

　　2010我们将会看到犯罪事件的持续增长，以及通过社交媒介进行交流的人的增多，这些技术让网络犯罪分子不仅在网上猎取天真的猎物，更以信用卡欺诈、钓鱼、身份盗窃和色情传播的形式猎取所有的人。犯罪软件和一些程序盗窃密码并违规浏览器，随后指向假冒的网站。勒索软件是网络犯罪一个形式，受害者计算机因此受感染，数据或文件被加密，受害者被迫支付赎金取得密钥。新版本的勒索软件增加了一个“关卡”，他们切断互联网接入，需要受害者发送短信来获得代码以免费查看数据。