2020年十大网络安全趋势预测

2019年是过去十年最糟糕的一年,也会是未来十年最好的一年。

天下武功,无坚不摧,唯快不破。对于网络安全而言,最安全的选择就是快,不但要比同行跑得快,还要比熊跑得快。这里说的快,不仅仅是对威胁的响应速度快,更重要的是安全能力的发展速度要超过威胁增长速度,在高速变化的威胁态势中,仅仅依靠对漏洞缝缝补补,或针对隔夜的威胁设计个刻舟求剑的安全方案已经远远不够了。未来十年最好的一年即将翻篇,随之而来的是新的威胁和趋势,以下安全牛汇总了2020年对网络安全的十大预测,助您第一个嗅到春天的气息:

1.勒索软件变本加厉

睡眠质量糟糕已经成了全球性的头号健康问题,但是对于企业IT部门来说,勒索软件就是个那个让你不敢入眠的噩梦。

  • 勒索软件正变得越来越复杂。
  • 甚至能够穿透最先进的电子邮件安全解决方案。
  • 将带来更多破坏性后果。

据英国一家技术服务集团发布的消息,2018年全球41%的企业遭受过勒索软件的攻击,该类攻击占企业攻击的四分之一,有37%的企业受害者都选择支付了赎款。一些中国企业已经成为勒索软件的受害者。

2019年,勒索软件攻击不但会更“滑头”,而且会更频繁。

如今,随着复杂度和自动化程度的不断提高,一些勒索软件攻击(例如木马变体)已经可以通渗透到最复杂的电子邮件安全解决方案中。更致命的是,当前的电子邮件安全解决方案在勒索软件攻击发生数小时后才能察觉,这给攻击留下了足够大的时间窗口。

Emotet就是一个典型的例子。这款勒索软件界的当红炸子鸡如此成功的原因之一是:能够利用特定的目标候选列表,导致安全系统需要花费更多时间来检测它。而且Emotet的攻击能够不断改变IOC,即使最聪明的签名系统、IDS和其他传统安全解决方案也无法足够快地检测到它。

如我们所见,勒索软件攻击大约每隔一周就会发生一次。攻击者不断开发出新的样本库,其中包含新的混淆和规避技术,而安全厂商则疲于追赶,很难跟上新的攻击样本库的节奏。

2.数据泄露第一元凶:网络钓鱼攻击

  • 一年前,通常认为恶意软件是企业面临的最大威胁。随着我们临近2020年,网络钓鱼攻击成为主要问题。
  • 根据Verizon 2019 DBIR数据泄露报告的观点(获取报告原文请在安全牛微信号后台回复DBIR2019),网络钓鱼是造成数据泄露的第一大原因

如今,企业提升电子邮件安全性的最大需求就是防范网络钓鱼攻击。然而,过去几年中,网络钓鱼攻击变得越来越复杂,即使是最专业的专业人员也无法检测到所有攻击。暗网上提供五花八门的网络钓鱼工具包以及用以实施针对性攻击的账号列表,网络钓鱼攻击的数量和复杂性可谓每日剧增。

此外,网络钓鱼攻击的后果变得更加严重。数据泄露,财务欺诈和网络钓鱼攻击的其他后果可能对各种规模的组织造成可怕的后果。今年早些时候联邦调查局发布的《互联网犯罪报告》发现,BEC(商业电子邮件攻击)在 2018 年共计造成了 13 亿美元的损失——这一数字远超于五年前的 6000 万美元。另一项调查则显示2018年大约 35% 的 CEO 和 CFO 受到过鲸钓攻击

可以说,检测和阻止网络钓鱼攻击,尤其是通过电子邮件发起的钓鱼/钓鲸攻击,将是2019年企业安全的最大刚需之一。

3.缩短反射弧,提高未知威胁感知速度

  • 数据驱动的安全解决方案要花费数小时才能检测到前所未有的威胁。
  • 这也是攻击的最危险时段。
  • 组织对这种等待时间的容忍度将越来越低。

从恶意攻击发起到被检测到之前的这段时间,是攻击造成最大破坏性的窗口时段。目前即使是最复杂的安全解决方案,通常也要花费几个小时(甚至更长的时间)才能检测到新的,前所未有的攻击,因此对企业来说,攻击发起的最初几个小时内的风险极大。

如何大幅缩短企业安全系统的“反射弧”,提高对未知威胁的感知速度,将是2020年企业和安全业界面临的关键挑战。

4.企业网络协作平台将成为热门攻击对象

  • 越来越多的攻击者将尝试利用网盘、即时通讯和企业协作平台。
  • 因为用户往往会不假思索地信任企业协作平台,攻击者将充分利用这一点。

随着企业数字化转型、敏捷组织和去中心化组织的流行,企业协作服务市场呈爆炸式增长。用户越来越多地使用钉钉、Slack、微软OneDrive等工具进行协作。虽然这些工具对于提高生产率效果显著,但对企业安全专业人员则意味着严峻挑战。

企业协作服务将受到不断的攻击,频率、复杂性和隐秘性也将不断提高,可能造成的风险和潜在损失也将不断增加。

5.BAS亟待实现攻击面的全覆盖

  • 根据Gartner的说法,大多数威胁仍然始于电子邮件渠道。
  • 电子邮件传递涉及94%的恶意软件检测,2018年造成的损失超过12亿美元。
  • 突破和攻击模拟(BAS)工具通过模拟网络攻击来测试网络的防御能力,但电子邮件的BAS尚未成为主流。

客户希望BAS供应商将其解决方案扩展到整个攻击面,提供更全面的解决方案。由于电子邮件依然是一种流行的攻击媒介,BAS供应商们很可能优先将电子邮件作为其BAS解决方案的一部分进行覆盖。

6.APT热衷移动端攻击

移动端植入如今已成为很多APT团伙的基本操作,移动端的零日漏洞价格也是水涨船高,行情一路看涨。今年9月份,零日漏洞交易服务商Zerodium发布的数据显示,Android零日漏洞的价格首次超过了iOS。该公司目前给“零点击”(无需被攻击者进行任何手机操作)Android零日漏洞开出的价格高达250万美元,远远超过了此前iOS越狱漏洞创下的200万美元的最高收购价格。

7.CMMC风头盖过ISO 27001、SOC 2和HTIRUST等老牌安全认证

美国国防部即将于2020年1月份发布的CMMC(安全成熟度模型认证)被不少业界人士看好,有望成为风头盖过ISO27001、SOC2等老牌安全认证的热门认证。CMMC最初的合规对象是美国20万家国防工业企业,包括波音、雷神这样的行业巨头,并覆盖整个供应链上的大大小小的IT供应商和子承包商。简单来说,CMMC就是美国国防部用来对NIST800-171和规范围内企业进行第三方独立审计的一套方法。

CMMC采取以数据为中心的安全评估方法,重点放在CUI在系统、应用程序或服务的整个生命周期中的存储,传输和处理。这超越了ISO 27001,SOC 2或HITRUST面向流程的评估方法,这些方法评估的是现有的内部风险管控机制,而CMMC的成熟度标准覆盖了敏感数据生命周期、技术基础架构乃至整个供应链的人员、流程和技术。

如果你对CMMC的了解还不多,那么需要抓紧时间了,因为CMMC很有可能成为成为全球企业信息安全认证的下一个“黄金标准”。

7. 物联网安全法蓄势待发

由于在技术标准的生命周期早期没有充分考虑信息安全问题,以及产品技术和产业的高度碎片化,物联网IoT安全问题显得尤为棘手。

2020年1月,全球首部物联网安全法将在美国加利福尼亚州启动实施。对于全球物联网产业和监管部门来说,加州物联网安全法赢得了极大的关注度,但遗憾的是,该法律尚未实施就已经暴露出不少潜在问题。例如,加州物联网安全法依据的CIS 20并非专门针对物联网设备,导致对物联网设备范围定义模糊,而且违规认定和处罚方面的条款都非常模糊,企业合规困难。

但即便问题缠身,面对迫在眉睫的物联网“安全原罪”,2020年将有越来越多的国家开始拟订或发布类似法规。此外,诸如欧盟《通用数据保护法规》和《加利福尼亚消费者隐私法》也强调了IoT设备中隐私和安全性的重要性。随着物联网设备数量的增加和更多政府法规的出台,数据隐私和安全性成为推动物联网解决方案发展的重中之重。

8. 数据泄露成灾,GDPR罚款机开始大规模“收割韭菜”

就数据泄露的严重性而言,根据RBS的2019数据泄露年中报告(查看报告原文请点击查看原文),2019年是过去十年最糟糕的一年,也会是未来十年最好的一年。2019年上半年数据泄露事件同比暴增54%,半年间累计发生3800起数据泄露事件,超过40亿条消费者个人和财务数据被暴露。

GDPR这台巨型联合罚款机,刚刚完成热车,它会有多残暴?谁会被收割?2019年Facebook面临的20亿美元罚单,英国航空(2.3亿美元)、万豪国际和Uber的整改和罚款,都只是牛刀小试,但也足以让大量非欧盟跨国企业们虎躯一震。对于拥有海外业务的企业安全专业人士和管理人员来说,如果不能尽快从2019已经发生的大大小小的GDPR合规案例中汲取经验,那么2020年将会是腥风血雨的一年。

以英国航空(官网的第三方供应商脚本被改装成信用卡盗卡器)和Uber为例,英国航空现在面临的整改包括:实施定期安全审查,代码分析和恶意软件检测技术和审查,并加密敏感数据。此外,英国航空还必须在整个数据收集过程中增加额外的控制,从表单到付款提交,包括第三方合作伙伴,以及更积极地监控和响应外部威胁环境。

Uber的整改工作包括但不限于:强制实践包括用于访问AWS S3服务器的IP过滤系统,要求工程师使用2FA连接到GitHub,而不是以纯文本格式存储这些凭据。

9.工控安全:OT(运营技术)安全需求大增

OT(运营技术)的网络安全已经变得越来越重要,这在一定程度上要“归功于”安全仪表系统已成为攻击目标。霍尼韦尔的Mirel Sehic预计,随着越来越多的OT环境采用数字化技术,这一趋势将在2020年加速。

OT市场目前还处于早期阶段,从安全角度来看,OT正处于10年前IT的发展阶段。十年前,为IT环境寻找匹配的网络安全标准非常困难。网络专业人员可以查找NIST指南,但是针对各种特定工业环境的垂直指南却少得可怜。

这导致以OT为中心的组织(例如西门子的Charter of Trust和非营利的MITER Engenuity威胁情报防御中心)开始“吃香”。2020年将有更多工控企业以OT网络标准为重点。

事实上,OT比IT安全更难。因为现实中,随着操作系统的整合,各种台式机、笔记本电脑和服务器没有太大不同,但是Rockwell PLC和Honeywell制造系统之间的差异却是巨大的。

值得欣慰的是,以OT为中心的安全标准(例如ISA / IEC 62443和欧洲网络指令)以及来自NIST,NERC,SANS和CIS的框架正在增多。2020年,更多采用这些框架和标准能够降低网络风险,但同时也增加工控网络的安全成本和复杂性。考虑到目前OT安全标准和框架尚处于验证阶段,企业往往会评估采用多个框架,从而进一步增加成本和复杂性。

10. 安全咨询和可管理安全(托管)服务市场激增

近年来,越来越多的公司放弃了完全自主的安全管理。根据肯尼斯研究Kenneth Research)的研究报告,可管理安全服务是安全市场中增速较高的领域,每年增速达到15%。

报告认为2020年可管理安全服务市场的增长将提速。很多数字化转型中的企业很难找到足够的安全人才应对日益复杂的网络安全问题,这促使他们将目光投向可管理安全服务。

报告还预计,随着企业对技术的依赖性加强,安全咨询业务的需求也将快速增长。公司寻求可以帮助他们解决问题并满足公司需求的安全服务,安全咨询服务交付的主要方式包括合作伙伴关系、外包、SaaS解决方案和常规服务等。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:
标签:


关于作者

最牛的信息安全新媒体 (www.aqniu.com)