好了,我们深入到安全报告季节。什么开始作为与RSA大会小雨已经变成了洪流。当然,Verizon的数据泄露报告已成为安全报告的大狗,但它绝不是唯一。许多这些报告包含了一些有用的数据和指标。但总体而言,通过他们读我得到的印象是,我不需要天气预报告诉我正在下雨。我可以看看外面,看到自己。
那岂不是巨大的,如果我们能够把这些趋势,看看下一个大的攻击向量将是?是的,它会,但遗憾的是我们大多数人不会知道下一个大的攻击向量,直到我们看到在明年的报告中写起坐。
不幸的是,我的朋友迈克尔Farnum啾啾“叫所有喇叭资讯安全没有想象!您在2014年的材料准备好了!今天去得到你的Verizon #DBIR!”正如迈克尔后来解释,这并不意味着Verizon的DBIR是不是充满了巨大的信息,它只是意味着它并不需要做真正的安全和保持警惕的地方。
随着Verizon的报告中第10个年头之中,有对违规在过去十年中一些重大的历史观点。我不是说你不能拿这个数据在未来一年来预测。我是说,虽然,这样的安全工作,明年我们可能会读到一些新的攻击向量或方法坏人利用突破。
但是,我们不要对Verizon报告挑,还有一些其他的报表是相当不错。一个是警报逻辑云安全报告全一些伟大的指标和研究对不同类型的抗攻击另一个很好的报告,基于云的基础设施与内部部署的基础设施。这是警报逻辑报告中的第三或第四个年头。它每年从内部部署的安全性越来越好,给了我们怎样的威胁是个好主意,反过来安全在云不同。
其他报告信息安全的PWC全局状态,该TrustWave安全压力报告,2014年思科年度安全报告,Sophos的安全报告中,Firemon / Ponemon的研究所的报告一世写了一篇关于上周和赛门铁克报告。
这些报告每一个在自己的权利很大。他们可以与所有你需要做的,为什么你的安全团队需要更多的预算你的案件的事实和数字的手臂你。正如迈克尔·Farnum说,这是一个资讯安全扬声器的有足够的事实,图表和图形的梦想,让我们去一年之久。
但是,在已经通过所有的这些报道,我觉得像我正在看电视天气预报告诉我,下雨了,而我也只是看窗外了。所有这些报告是非常一致的。他们都说,我们是受到攻击。他们说,我们已经看到了比以往全线更多的攻击。无论是在云中,对终端或服务器上的前提下,我们看到更多的事件,更多的攻击,甚至更复杂的攻击。
在另一方面,安全方面的预算仍然资金不足,管理人员没有组织的安全的真实情况的清晰图片,以及安全团队没有得到真正传达真正缺乏准备到权力的机会,是。
之后看了许多报告足够多年了,我觉得我知道自己,我应该拿出雨伞;我不需要别人来告诉我正在下雨。
我想我的问题是,我们能做些什么来改变预测?难道仅仅是更多的相同?我想看到的东西,说在地平线上有哪些承诺改变方程式这些变化,新思路,新方法。我们已经掌握了安全漏洞数据报告。什么是我们为我们的下一幕呢?
这下一幕是我们如何采取这一信息,并从根本上“改变的天气预报。”我们可以运用什么经验教训,以避免在明年的报告安全土拨鼠日?
我不知道这个问题的答案是什么。如果我这样做,我会告诉你。但是,直到我们这样做,更多的破坏和安全指标同样严峻的统计数据是落在聋子的耳朵。