| 标题 | 2020年网络安全趋势预测 |
| 范文 | 常莽 对于网络安全而言,最安全的选择就是快,这里说的快,不仅是对威胁的响应速度快,更重要的是安全能力的发展速度要超过威胁增长速度,在高速变化的威胁态势中,仅依靠对漏洞缝缝补补,或针对隔夜的威胁设计一个刻舟求剑的安全方案已经远远不够,以下是2020年对网络安全的十大预测。 1勒索软件变本加厉 睡眠质量糟糕已经成了全球性的头号健康问题,但是对于企业IT部门来说,勒索软件就是个那个让你不敢入眠的噩梦。勒索软件正变得越来越复杂,甚至能够穿透最先进的电子邮件安全解决方案,带来更多破坏性后果。 据英国一家技术服务集团发布的消息,2018年全球41 %的企业遭受过勒索软件的攻击,该类攻击占企业攻击的四分之一,有37 %的企业受害者都选择支付了赎款,一些中国企业也成为勒索软件的受害者。 2019年,勒索软件攻击不但会更“滑头”,而且会更频繁。 如今,随着复杂度和自动化程度的不断提高,一些勒索软件攻击(例如木马变体)已经可以渗透到最复杂的电子邮件安全解决方案中。更致命的是,当前的电子邮件安全解决方案在勒索软件攻击发生数小时后才能察觉,这给攻击留下了足够大的时间窗口。Emotet就是一个典型的例子。这款勒索软件如此“成功”的原因之一是:能够利用特定的目标候选列表,导致安全系统需要花费更多时间来检测它。而且Emotet的攻击能够不断改变IOC,即使最聪明的签名系统、IDS和其他传统安全解决方案也无法足够快地检测到它。如我们所见,勒索软件攻击大约每隔一周就会发生一次,攻击者不断开发出新的样本库,其中包含新的混淆和规避技术,而安全厂商则疲于追赶,很难跟上新攻击样本库的节奏。 2数据泄露第一元凶:网络钓鱼攻击 一年前,通常认为恶意软件是企业面临的最大威胁,到了2020年,网络钓鱼攻击成为主要问题。 根据Verizon 2019 DBIR数据泄露报告的观点,网络钓鱼是造成数据泄露的第一大原因。 如今,企业提升电子邮件安全性的最大需求就是防范网络钓鱼攻击。然而,过去几年中,网络钓鱼攻击变得越来越复杂,即使是最专业的人员也无法检测到所有攻击。暗网上提供五花八门的网络钓鱼工具包以及用以实施针对性攻击的账号列表,网络钓鱼攻击的数量和复杂性可谓每日剧增。此外,网络钓鱼攻击的后果变得更加严重。数据泄露,财务欺诈和网络钓鱼攻击的其他后果可对各种规模的组织造成可怕的后果。2019年早些时候联邦调查局发布的《互联网犯罪报告》发现,商业电子邮件攻击(BEC)在2018年共计造成了13亿美元的损失———这一数字远超5年前的6 000万美元。另一项调查则显示2018年大约35 %的CEO和CFO受到过鲸钓攻击。可以說,检测和阻止网络钓鱼攻击,尤其是通过电子邮件发起的钓鱼/钓鲸攻击,将是2019年企业安全的最大刚需之一。 3缩短反射弧,提高威胁感知速度 数据驱动的安全解决方案要花费数小时才能检测到前所未有的威胁,这也是攻击的最危险时段。组织对这种等待时间的容忍度将越来越低,从恶意攻击发起到被检测到之前的这段时间,是攻击造成最大破坏性的窗口时段。目前即使是最复杂的安全解决方案,通常也要花费几个小时(甚至更长的时间)才能检测到新的、前所未有的攻击,因此对企业来说,攻击发起的最初几个小时内的风险极大。 如何大幅缩短企业安全系统的“反射弧”,提高对未知威胁的感知速度,将是2020年企业和安全业界面临的关键挑战。 4企业网络协作平台和移动端成为攻击对象 越来越多的攻击者尝试利用网盘、即时通讯和企业协作平台,因为用户往往会不假思索地信任企业协作平台,攻击者将充分利用这一点,BYOD风险加大,APT攻击开始热衷移动端。 随着企业数字化转型、敏捷组织和去中心化组织的流行,企业协作服务市场呈爆炸式增长。用户越来越多地使用《钉钉》Slack和《微软OneDrive》等工具进行协作。虽然这些工具提高生产率效果显著,但对企业安全专业人员则意味着严峻挑战。企业协作服务将受到不断的攻击,频率、复杂性和隐秘性也将不断提高,可能造成的风险和潜在损失也将不断增加。 此外,移动端植入如今已成为很多APT团伙的基本操作,移动端的零日漏洞价格也是水涨船高,行情一路看涨。根据2019年9月份,零日漏洞交易服务商Zerodium发布的数据显示,Android零日漏洞的价格首次超过了iOS。该公司目前给“零点击”(无需被攻击者进行任何手机操作)Android零日漏洞开出的价格高达250万美元,远远超过此前iOS越狱漏洞创下的200万美元最高收购价格。 5突破和攻击模拟亟待实现攻击面的全覆盖 根据Gartner的说法,大多数威胁仍然始于电子邮件渠道。电子邮件传递涉及94%的恶意软件检测,2018年造成的损失超过12亿美元。 BAS工具通过模拟网络攻击来测试网络的防御能力,但电子邮件的BAS尚未成为主流。客户希望BAS供应商将其解决方案扩展到整个攻击面,提供更全面的解决方案。由于电子邮件依然是一种流行的攻击媒介,BAS供应商们很可能优先将电子邮件作为其BAS解决方案的一部分进行覆盖。 6安全成熟度模型认证风头盖过ISO 27001、SOC 2和HTIRUST等老牌安全认证 美国国防部于2020年1月份发布的安全成熟度模型认证(CMMC)被不少业界人士看好,有望成为盖过ISO27001、SOC2等老牌安全认证的热门认证。CMMC最初的合规对象是美国20万家国防工业企业,包括波音、雷神这样的行业巨头,并覆盖整个供应链上的大大小小的IT供应商和子承包商。简单来说,CMMC就是美国国防部用来对NIST800-171和规范围内企业进行第三方独立审计的一套方法。CMMC采取以数据为中心的安全评估方法,重点放在CUI在系统、应用程序或服务的整个生命周期中的存储,传输和处理。这超越了ISO 27001,SOC 2或 HITRUST面向流程的评估方法,这些方法评估的是现有的内部风险管控机制,而CMMC的成熟度标准覆盖了敏感数据生命周期、技术基础架构乃至整个供应链的人员、流程和技术。 如果对CMMC的了解还不多,那么需要抓紧时间了,因为CMMC很有可能成为成为全球企业信息安全认证的下一个“黄金标准”。 7物联网安全法蓄势待发 由于在技术标准的生命周期早期没有充分考虑信息安全问题,以及产品技术和产业的高度碎片化,物联网IoT安全问题显得尤为棘手。 2020年1月,全球首部物联网安全法将在美国加利福尼亚州启动实施。对于全球物联网产业和监管部门来说,加州物联网安全法赢得了极大的关注度,但遗憾的是,该法律尚未实施就已经暴露出不少潜在问题。例如,加州物联网安全法依据的CIS 20并非专门针对物联网设备,导致对物联网设备范围定义模糊,而且违规认定和处罚方面的条款都非常模糊,企业合规困难。但即便问题缠身,面对迫在眉睫的物联网“安全原罪”,2020年将有越来越多的国家开始拟订或发布类似法规。此外,诸如欧盟《通用数据保护法规》和《加利福尼亚消费者隐私法》也强调了IoT设备中隐私和安全性的重要性。随着物联网设备数量的增加和更多政府法规的出台,数据隐私和安全性成为推动物联网解决方案发展的重中之重。 8 GDPR罚款机开始大规模“收割韭菜” 就数据泄露的严重性而言,根据RBS的2019数据泄露年中报告,2019年是过去10年最糟糕的一年,也会是未来10年最好的一年。2019年上半年数据泄露事件同比暴增54 %,半年间累计发生3 800起数据泄露事件,超过40亿条消费者个人和财务数据被暴露。GDPR这台巨型联合罚款机,刚刚完成热车,它会有多残暴?谁会被收割?2019年Facebook面临的20亿美元罚单,英国航空(2.3亿美元)、万豪国际和Uber的整改和罚款,都只是牛刀小试,但也足以让大量非欧盟跨国企业们“虎躯一震”。对于拥有海外业务的企业安全专业人士和管理人员来说,如果不能尽快从2019已经发生的大大小小的GDPR合规案例中汲取經验,那么2020年将会是腥风血雨的一年。 9工控安全:运营技术安全需求大增 运营技术(OT)的网络安全已经变得越来越重要,这在一定程度上要“归功于”安全仪表系统已成为攻击目标。霍尼韦尔的Mirel Sehic预计,随着越来越多的OT环境采用数字化技术,这一趋势将在2020年加速。 OT市场目前还处于早期阶段,从安全角度来看,OT正处于10年前IT的发展阶段。10年前,为IT环境寻找匹配的网络安全标准非常困难。网络专业人员可以查找NIST指南,但是针对各种特定工业环境的垂直指南却少得可怜。 这导致以OT为中心的组织(例如西门子的Charter of Trust和非营利的MITER Engenuity威胁情报防御中心)开始“吃香”。 2020年将有更多工控企业以OT网络标准为重点。 事实上,OT比IT安全更难。因为现实中,随着操作系统的整合,各种台式机、笔记本电脑和服务器没有太大不同,但是Rockwell PLC和Honeywell制造系统之间的差异却是巨大的。 值得欣慰的是,以OT为中心的安全标准(例如ISA / IEC 62443和欧洲网络指令)以及来自NIST,NERC,SANS,CIS的框架正在增多。2020年,更多采用这些框架和标准能够降低网络风险,但同时也增加工控网络的安全成本和复杂性。考虑到目前OT安全标准和框架尚处于验证阶段,企业往往会评估采用多个框架,从而进一步增加成本和复杂性。 10安全咨询和可管理安全(托管)服务市场激增 近年来,越来越多的公司放弃了完全自主的安全管理。根据肯尼斯研究的研究报告,可管理安全服务是安全市场中增速较高的领域,每年增速达到15%。 报告认为2020年可管理安全服务市场的增长将提速。很多数字化转型中的企业很难找到足够的安全人才应对日益复杂的网络安全问题,这促使他们将目光投向可管理安全服务。 报告还预计,随着企业对技术的依赖性加强,安全咨询业务的需求也将快速增长。公司寻求可以帮助他们解决问题并满足公司需求的安全服务,安全咨询服务交付的主要方式包括合作伙伴关系、外包、SaaS解决方案和常规服务等。 但是,网络安全市场的复杂性使一些公司不愿将所有的安全任务都外包出去,市场上的一个变化趋势是,大公司愿意引入可管理安全服务提供商解决难点和痛点,但并不会全部外包,自主和外包的混合模式将成为主流。 |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。