思科公司2013年1月30日公布了两份全球性研究的调查结果,描绘出企业、IT部门及个人即将面临的各类安全挑战,尤其是在员工正在日益将工作与个人生活以移动形式掺杂在一起的情况下。
尽管主流评论普遍认为安全风险会随着个人在线活动的频繁而持续上升,但思科2013年度安全报告显示最严重的网络安全威胁并没有集中在色情、药品或赌博网站——因为它们基本上属于合法访问目的地,用户可以通过各种搜索引擎、零售网站以及社交媒体链接等进行跳转。事实上,思科公司发现目前的在线购物网站与搜索引擎等看似安全的网络平台其实相当危险——二者令用户感染恶意软件的机率分别为盗版软件网站的21倍与27倍。令人烦躁的在线广告呢?告诉大家一个可怕的结果,由广告引发的恶意软件感染机率居然是色情内容的182倍。
安全风险在企业领域也有所上升,这是因为许多员工将“个人套路”带进了业务环境,例如自有设备、工作以及在线活动等等。这种个人与工作相掺杂的状况几乎无处不在——办公室中、家里以及二点之间的所有位置。这种“消费化”趋势带来的企业安全挑战则在思科互联世界技术报告第二版中得到了强烈关注,该报告将这一代把业务与自身紧密结合的年轻员工群体称为“Y世代”。根据报告的调查,大多数Y世代员工都认同Facebook创始人的“隐私时代已经过去”的观点,其中三分之一甚至明确表示不介意通过存储及捕捉隐私进行数据收集。他们乐于将个人信息以社交形式公布在交流平台之上。事实上,世界各地的很多Y世代员工都坦言将个人信息与零售网站分享要比与企业IT部门分享舒服得多——而企业恰恰需要支付大量资金让这些部门保护员工的身份与设备。
随着Y世代毕业生开始从高校大量涌入劳动力市场,企业文化及政策已经成为招聘市场上最受应聘者看重的因素——包括在社交媒体上的自由表达权、设备选择以及移动时代下新型生活方式,这类需求在过去从未出现过。正如去年十二月互联世界技术报告第一章所述内容,Y世代员工会经常性查看社交媒体、电子邮件及文字信息,包括上床之后(四分之三的全球受访者)、餐桌之上(接近一半)、洗澡之中(三分之一)甚至是在驾车的同时(五分之一)。这种生活方式已经成为工作环境的重要组成部分,也成为企业未来工作模式变更与在人才竞争中赢取优秀员工的必要前提。遗憾的是,调查显示下一代员工的生活方式必然带来进一步安全风险,而且大多数企业之前从未经历过如此规模的挑战。
以下为调查结果概要汇总。
一、Android恶意软件
Android恶意软件截至2012年末数量增长幅度高达2577%。与此同时,移动恶意软件仅占全部Web恶意软件数量的0.5%。考虑到智能手机已经超越笔记本电脑、PC机与平板设备,一跃成为Y世代人群的首要使用设备,上述趋势之重要性可谓不言而喻。
二、各国Web恶意软件遭遇比例
2012年,全球用户在面对Web恶意软件的形势方面发生了显著变化。2011年占据恶意软件遭遇率第二位置的中国已经在过去的一年里成功退至第六位。而斯堪的纳维亚诸国,如丹麦、瑞典等,则迎来恶意软件的一波大规模肆虐,遭遇比例上升到全球第三及第四位。美国仍然一家独大,以33%的恶意软件容纳能力继续领跑本排行榜。
1,美国,33.14%
2,俄罗斯联邦,9.79%
3,丹麦,9.55%
4,瑞典,9.27%
5,德国,6.11%
6,中国,5.65%
7,英国,4.07%
8,土耳其,2.63%
9,荷兰,2.27%
10,爱尔兰,1.95%
三、垃圾邮件趋势
2012年与2011年相比,垃圾邮件在数量上下降了18%,同时有25%的垃圾邮件制作者开始将周末作为主要宣传时段。
2012年,大多数垃圾邮件出现在工作日时段——其中周二又是整个周期中受灾最严重的一天。
印度是垃圾邮件的主要发源地,而美国也从2011年的第六位上升到今年垃圾邮件发源地榜的第二位。韩国、中国与越南占据了前五名中的其余几个位置。
垃圾邮件中涉及的虚假品牌也有一定规律可循,首先中枪的是各类处方药,其中又以伟哥和西力士为主;其次是劳力士及欧米茄等高端手表。
垃圾邮件制造者始终在努力提高投资回报率,并针对真实世界中的许多重大新闻及短期事件发送颇具吸引力的宣传内容。
一月到三月:主要宣传Windows软件,借以迎合同一阶段微软Windows 8消费者预览版的公布。
二月到四月:趁美国报税季宣传税务软件。
一月到三月以及九月到十二月:主要宣传LinkedIn等专业网站,因为这两个阶段正是普通员工跳槽的高发时期。
九月到十一月:借苹果iPhone 5上市之机帮助各地通讯运营商扩大影响力。
四、隐私信息的平衡点
思科公司通过Y世代员工在个人需求、处理态度及实际行为方面的表现分析了企业可能因此受到的影响:
尽管大多数Y世代员工对保护个人信息的网站表示不够信任(75%),例如信用卡及个人联系方式,但这种信心的缺失并没有阻碍博彩、购物等一系列网络活动。此类行为的出现令企业管理者倍感压力,可能受到恶意感染的设备进入业务环境后将带来不可忽视的安全隐患。
57%的Y世代员工对于个人信息不太重视,他们认为零售商、社交媒体网站及其它在线服务商利用这些隐私数据进行牟利并无不妥。
五、IT策略合规性
九成的IT管理者表示他们在工作中具备针对特定设备的管理策略,但只有四成左右的Y世代受访者感觉到了这类策略的存在与影响。
更糟糕的是,在了解IT策略的Y世代受访者中有八成以上声称自己拒绝遵守相关规定。
IT专业人士虽然清楚许多员工并没有遵守规定,但他们并不了解这种情况到底有多普遍:全球范围内超过一半的IT人士(52%)认为他们的员工严格执行了管理策略,但却有接近四分之三(71%)的Y世代员工表示他们根本没把规定放在眼里。
全球三分之二(66%)的Y世代受访者认为IT部门无权监控他们的网上行为,即使是在企业派发的设备及业务网络中也不行。
企业IT监控机制带给Y世代的困扰与厌恶感要远高于零售网站的在线监控手段。换言之,Y世代员工对于来自陌生人(例如零售商)的监控并不太抵触,但对雇主方组织的IT管理却极为反感——尽管IT团队的初衷在于保护员工个人及企业整体的信息安全。
六、互联网的全面覆盖与安全前景
展望未来,互联网全面覆盖之势已经一发不可收拾,大有将万事万物包纳其中的迹象。随着越来越多用户、设备及装置接入互联网,企业及服务供应商的网络将迎来更多样、更复杂的交互信息,而这有可能带来新的安全漏洞、同时给IT人士带来更加难以弥合的保护难题。
设备与设备间的连接数量每天都在以指数级速度增长,对接范畴也由过去的移动设备、笔记本及台式机三大组成部分发展为“一切对一切”形式,即任何设备都能够通过任何网络线路接入任何云环境及任何应用程序。
截至2020年,随着互联网的进一步开放,全球世界内将有约500亿种网络接入终端,加上各终端彼此之间的连通需求,总连接数量将达到约13311666640184600个。而每新增加一套终端(即500亿+1),总连接数量又会增加500亿个。这些全新连接会不断产生新数据,而我们需要在它们产生问题之前对重要性做出评估并加以实时保护,否则很可能带来无法挽回的损害。
对于网络安全专家而言,关注的重点需要从以往的终端及网络边缘向中间内容传输进行转变。