Rozciągnięta linia obrony

W roku 2011 można spodziewać się wzrostu nakładów na takie obszary technologiczne, jak bezpieczeństwo mobilne, szyfrowanie, tworzenie kopii zapasowych oraz archiwizacja - pozwalają one efektywniej chronić informacje.

Zmierzch strefy zdemilitaryzowanej (DMZ - De-Militarized Zone), która zawsze była nieco "porowata", staje się już faktem. Przełamując ją, cyberprzestępcy przejmują legalne desktopy użytkowników i z nich zaczynają eksplorować system. Przesyłają interesujące ich informacje przez port 443, używając szyfrowania AES, co utrudnia namierzenie tych działań wprost.

Zamiast więc tworzyć jedną czy dwie nieszczelne granice, bardziej celowe stanie się tworzenie precyzyjnych, izolowanych domen bezpieczeństwa. Jeżeli stacje robocze nie muszą komunikować się z innymi, to nie należy im tego umożliwiać; większość serwerów również nie musi się komunikować i też nie należy do tego dopuszczać, a także większość administratorów niekoniecznie musi mieć połączenia z każdym serwerem itp.

Brak wyraźnych granic sieci wymusza koncentrację na ochronie informacji. Dlatego rozwiązania zabezpieczające informacje będą coraz bardziej wspierały tradycyjne systemy, oparte na analizie sygnatur, algorytmach heurystycznych oraz algorytmach analizy zachowań. Odpowiedzialni za ochronę systemów będą potrzebowali narzędzi, które umożliwią dokładne obserwowanie ruchu sieciowego, na przykład aplikacji webowych, aby ustanowić odpowiednie reguły polityki zabezpieczeń i systemy kontroli.

Ze względu na dużą liczbę i złożoność zagrożeń internetowych, konieczne stanie się używanie wielowarstwowych zabezpieczeń działających w czasie rzeczywistym. Większość nowych rozwiązań jest oparta na infrastrukturze zabezpieczającej, która wykorzystuje techniki oceny reputacji, porównujące zagrożenia z bazami danych zagrożeń dotyczących przetwarzania w chmurze i korelujące dane na temat zagrożeń internetowych oraz przenoszonych przez pocztę elektroniczną. Taka infrastruktura do zabezpieczania treści może zapewniać bieżącą ochronę przed najnowszymi zagrożeniami internetowymi.

W świecie, gdzie funkcjonuje więcej programów złośliwych niż legalnych, szczególnego znaczenia nabiera kontrola aplikacji, znana także jako metoda "białych list". Skanery antymalware realizują w istocie postulat "czarnej listy", decydując, czego nie można sprowadzać. Kontrola aplikacji to coś odwrotnego: pozwala administratorowi na określanie, które programy powinny być dozwolone do uruchamiania, oraz blokowanie pozostałych. Starannie wdrożona metoda białej listy może istotnie zmniejszyć ryzyko sprowadzenia malware.

W 2011 r. przewiduje się także wzrost zainteresowania analizą logów i monitorowaniem ruchu. Głównym narzędziem do wykrywania złośliwych działań pozostaje skromny plik logu. Dzienniki zdarzeń i zawartość, którą gromadzą, często zawierają symptomy ataków. Jednak w wielu sieciach logi nie zawsze są włączane i analizowane. Większość administratorów często zapomina o regularnym ich przeglądaniu i analizowaniu zawartości. Rejestrowanie zdarzeń włącza się zazwyczaj jedynie na serwerach, chociaż większość włamań z kodów złośliwych zdarza się na stacjach roboczych. Według danych firmy Verizon, 86% zdarzeń prowadzących do naruszeń danych odnotowano w logach.