| 2020年十大網(wǎng)絡(luò )安全趨勢預測 |
| 新聞類(lèi)別: 行業(yè)動(dòng)態(tài) 瀏覽量:2274 |
天下武功,無(wú)堅不摧,唯快不破。對于網(wǎng)絡(luò )安全而言,最安全的選擇就是快,不但要比同行跑得快,還要比熊跑得快。這里說(shuō)的快,不僅僅是對威脅的響應速度快,更重要的是安全能力的發(fā)展速度要超過(guò)威脅增長(cháng)速度,在高速變化的威脅態(tài)勢中,僅僅依靠對漏洞縫縫補補,或針對隔夜的威脅設計一個(gè)刻舟求劍的安全方案已經(jīng)遠遠不夠了。未來(lái)十年最好的一年即將翻篇,隨之而來(lái)的是新的威脅和趨勢,以下安全牛匯總了 2020 年對網(wǎng)絡(luò )安全的十大預測,助您第一個(gè)嗅到春天的氣息:
1 勒索軟件變本加厲
睡眠質(zhì)量糟糕已經(jīng)成了全球性的頭號健康問(wèn)題,但是對于企業(yè) IT 部門(mén)來(lái)說(shuō),勒索軟件就是個(gè)那個(gè)讓你不敢入眠的噩夢(mèng)。
勒索軟件正變得越來(lái)越復雜。
甚至能夠穿透最先進(jìn)的電子郵件安全解決方案。
將帶來(lái)更多破壞性后果。
據英國一家技術(shù)服務(wù)集團發(fā)布的消息,2018 年全球 41% 的企業(yè)遭受過(guò)勒索軟件的攻擊,該類(lèi)攻擊占企業(yè)攻擊的四分之一,有 37% 的企業(yè)受害者都選擇支付了贖款。一些中國企業(yè)已經(jīng)成為勒索軟件的受害者。
2019 年,勒索軟件攻擊不但會(huì )更 “滑頭”,而且會(huì )更頻繁。
如今,隨著(zhù)復雜度和自動(dòng)化程度的不斷提高,一些勒索軟件攻擊(例如木馬變體)已經(jīng)可以通滲透到最復雜的電子郵件安全解決方案中。更致命的是,當前的電子郵件安全解決方案在勒索軟件攻擊發(fā)生數小時(shí)后才能察覺(jué),這給攻擊留下了足夠大的時(shí)間窗口。
Emotet 就是一個(gè)典型的例子。這款勒索軟件界的當紅炸子雞如此成功的原因之一是:能夠利用特定的目標候選列表,導致安全系統需要花費更多時(shí)間來(lái)檢測它。而且 Emotet 的攻擊能夠不斷改變 IOC,即使最聰明的簽名系統、IDS 和其他傳統安全解決方案也無(wú)法足夠快地檢測到它。
如我們所見(jiàn),勒索軟件攻擊大約每隔一周就會(huì )發(fā)生一次。攻擊者不斷開(kāi)發(fā)出新的樣本庫,其中包含新的混淆和規避技術(shù),而安全廠(chǎng)商則疲于追趕,很難跟上新的攻擊樣本庫的節奏。
2 數據泄露第一元兇:網(wǎng)絡(luò )釣魚(yú)攻擊
一年前,通常認為惡意軟件是企業(yè)面臨的最大威脅。隨著(zhù)我們臨近 2020 年,網(wǎng)絡(luò )釣魚(yú)攻擊成為主要問(wèn)題。
根據 Verizon 2019 DBIR 數據泄露報告的觀(guān)點(diǎn),網(wǎng)絡(luò )釣魚(yú)是造成數據泄露的第一大原因。
如今,企業(yè)提升電子郵件安全性的最大需求就是防范網(wǎng)絡(luò )釣魚(yú)攻擊。然而,過(guò)去幾年中,網(wǎng)絡(luò )釣魚(yú)攻擊變得越來(lái)越復雜,即使是最專(zhuān)業(yè)的專(zhuān)業(yè)人員也無(wú)法檢測到所有攻擊。暗網(wǎng)上提供五花八門(mén)的網(wǎng)絡(luò )釣魚(yú)工具包以及用以實(shí)施針對性攻擊的賬號列表,網(wǎng)絡(luò )釣魚(yú)攻擊的數量和復雜性可謂每日劇增。
此外,網(wǎng)絡(luò )釣魚(yú)攻擊的后果變得更加嚴重。數據泄露,財務(wù)欺詐和網(wǎng)絡(luò )釣魚(yú)攻擊的其他后果可能對各種規模的組織造成可怕的后果。今年早些時(shí)候聯(lián)邦調查局發(fā)布的《互聯(lián)網(wǎng)犯罪報告》發(fā)現,BEC(商業(yè)電子郵件攻擊)在 2018 年共計造成了 13 億美元的損失——這一數字遠超于五年前的 6000 萬(wàn)美元。另一項調查則顯示 2018 年大約 35% 的 CEO 和 CFO 受到過(guò)鯨釣攻擊。
可以說(shuō),檢測和阻止網(wǎng)絡(luò )釣魚(yú)攻擊,尤其是通過(guò)電子郵件發(fā)起的釣魚(yú)/釣鯨攻擊,將是2019年企業(yè)安全的最大剛需之一。
3 縮短反射弧,提高威脅感知速度
數據驅動(dòng)的安全解決方案要花費數小時(shí)才能檢測到前所未有的威脅。
這也是攻擊的最危險時(shí)段。
組織對這種等待時(shí)間的容忍度將越來(lái)越低。
從惡意攻擊發(fā)起到被檢測到之前的這段時(shí)間,是攻擊造成最大破壞性的窗口時(shí)段。目前即使是最復雜的安全解決方案,通常也要花費幾個(gè)小時(shí)(甚至更長(cháng)的時(shí)間)才能檢測到新的、前所未有的攻擊,因此對企業(yè)來(lái)說(shuō),攻擊發(fā)起的最初幾個(gè)小時(shí)內的風(fēng)險極大。
如何大幅縮短企業(yè)安全系統的 “反射弧”,提高對未知威脅的感知速度,將是 2020 年企業(yè)和安全業(yè)界面臨的關(guān)鍵挑戰。
4 企業(yè)網(wǎng)絡(luò )協(xié)作平臺和移動(dòng)端成為攻擊對象
越來(lái)越多的攻擊者將嘗試利用網(wǎng)盤(pán)、即時(shí)通訊和企業(yè)協(xié)作平臺。
因為用戶(hù)往往會(huì )不假思索地信任企業(yè)協(xié)作平臺,攻擊者將充分利用這一點(diǎn)。
BYOD 風(fēng)險加大,APT 攻擊開(kāi)始熱衷移動(dòng)端。
隨著(zhù)企業(yè)數字化轉型、敏捷組織和去中心化組織的流行,企業(yè)協(xié)作服務(wù)市場(chǎng)呈爆炸式增長(cháng)。用戶(hù)越來(lái)越多地使用釘釘、Slack、微軟 OneDrive 等工具進(jìn)行協(xié)作。雖然這些工具對于提高生產(chǎn)率效果顯著(zhù),但對企業(yè)安全專(zhuān)業(yè)人員則意味著(zhù)嚴峻挑戰。
企業(yè)協(xié)作服務(wù)將受到不斷的攻擊,頻率、復雜性和隱秘性也將不斷提高,可能造成的風(fēng)險和潛在損失也將不斷增加。
此外,移動(dòng)端植入如今已成為很多 APT 團伙的基本操作,移動(dòng)端的零日漏洞價(jià)格也是水漲船高,行情一路看漲。今年 9 月份,零日漏洞交易服務(wù)商 Zerodium 發(fā)布的數據顯示,Android 零日漏洞的價(jià)格首次超過(guò)了 iOS。該公司目前給 “零點(diǎn)擊”(無(wú)需被攻擊者進(jìn)行任何手機操作)Android 零日漏洞開(kāi)出的價(jià)格高達 250 萬(wàn)美元,遠遠超過(guò)了此前 iOS 越獄漏洞創(chuàng )下的 200 萬(wàn)美元的最高收購價(jià)格。
5 BAS亟待實(shí)現攻擊面的全覆蓋
根據 Gartner 的說(shuō)法,大多數威脅仍然始于電子郵件渠道。
電子郵件傳遞涉及 94% 的惡意軟件檢測,2018 年造成的損失超過(guò)12億美元。
突破和攻擊模擬 (BAS) 工具通過(guò)模擬網(wǎng)絡(luò )攻擊來(lái)測試網(wǎng)絡(luò )的防御能力,但電子郵件的 BAS 尚未成為主流。
客戶(hù)希望 BAS 供應商將其解決方案擴展到整個(gè)攻擊面,提供更全面的解決方案。由于電子郵件依然是一種流行的攻擊媒介,BAS 供應商們很可能優(yōu)先將電子郵件作為其 BAS 解決方案的一部分進(jìn)行覆蓋。
6 CMMC風(fēng)頭蓋過(guò)ISO 27001、SOC 2和HTIRUST等老牌安全認證
美國國防部即將于 2020 年 1 月份發(fā)布的 CMMC(安全成熟度模型認證)被不少業(yè)界人士看好,有望成為風(fēng)頭蓋過(guò) ISO27001、SOC2 等老牌安全認證的熱門(mén)認證。CMMC 最初的合規對象是美國 20 萬(wàn)家國防工業(yè)企業(yè),包括波音、雷神這樣的行業(yè)巨頭,并覆蓋整個(gè)供應鏈上的大大小小的 IT 供應商和子承包商。簡(jiǎn)單來(lái)說(shuō),CMMC 就是美國國防部用來(lái)對 NIST800-171 和規范圍內企業(yè)進(jìn)行第三方獨立審計的一套方法。
CMMC 采取以數據為中心的安全評估方法,重點(diǎn)放在 CUI 在系統、應用程序或服務(wù)的整個(gè)生命周期中的存儲,傳輸和處理。這超越了 ISO 27001,SOC 2 或 HITRUST 面向流程的評估方法,這些方法評估的是現有的內部風(fēng)險管控機制,而 CMMC 的成熟度標準覆蓋了敏感數據生命周期、技術(shù)基礎架構乃至整個(gè)供應鏈的人員、流程和技術(shù)。
如果你對 CMMC 的了解還不多,那么需要抓緊時(shí)間了,因為 CMMC 很有可能成為成為全球企業(yè)信息安全認證的下一個(gè) “黃金標準”。
7 物聯(lián)網(wǎng)安全法蓄勢待發(fā)
由于在技術(shù)標準的生命周期早期沒(méi)有充分考慮信息安全問(wèn)題,以及產(chǎn)品技術(shù)和產(chǎn)業(yè)的高度碎片化,物聯(lián)網(wǎng) IoT 安全問(wèn)題顯得尤為棘手。
2020 年 1 月,全球首部物聯(lián)網(wǎng)安全法將在美國加利福尼亞州啟動(dòng)實(shí)施。對于全球物聯(lián)網(wǎng)產(chǎn)業(yè)和監管部門(mén)來(lái)說(shuō),加州物聯(lián)網(wǎng)安全法贏(yíng)得了極大的關(guān)注度,但遺憾的是,該法律尚未實(shí)施就已經(jīng)暴露出不少潛在問(wèn)題。例如,加州物聯(lián)網(wǎng)安全法依據的 CIS 20 并非專(zhuān)門(mén)針對物聯(lián)網(wǎng)設備,導致對物聯(lián)網(wǎng)設備范圍定義模糊,而且違規認定和處罰方面的條款都非常模糊,企業(yè)合規困難。
但即便問(wèn)題纏身,面對迫在眉睫的物聯(lián)網(wǎng) “安全原罪”,2020 年將有越來(lái)越多的國家開(kāi)始擬訂或發(fā)布類(lèi)似法規。此外,諸如歐盟《通用數據保護法規》和《加利福尼亞消費者隱私法》也強調了 IoT 設備中隱私和安全性的重要性。隨著(zhù)物聯(lián)網(wǎng)設備數量的增加和更多政府法規的出臺,數據隱私和安全性成為推動(dòng)物聯(lián)網(wǎng)解決方案發(fā)展的重中之重。
8 GDPR罰款機開(kāi)始大規模“收割韭菜”
就數據泄露的嚴重性而言,根據 RBS 的 2019 數據泄露年中報告,2019 年是過(guò)去十年最糟糕的一年,也會(huì )是未來(lái)十年最好的一年。2019 年上半年數據泄露事件同比暴增 54%,半年間累計發(fā)生 3800 起數據泄露事件,超過(guò) 40 億條消費者個(gè)人和財務(wù)數據被暴露。
GDPR 這臺巨型聯(lián)合罰款機,剛剛完成熱車(chē),它會(huì )有多殘暴?誰(shuí)會(huì )被收割?2019 年 Facebook 面臨的 20 億美元罰單,英國航空(2.3億美元)、萬(wàn)豪國際和 Uber 的整改和罰款,都只是牛刀小試,但也足以讓大量非歐盟跨國企業(yè)們虎軀一震。對于擁有海外業(yè)務(wù)的企業(yè)安全專(zhuān)業(yè)人士和管理人員來(lái)說(shuō),如果不能盡快從 2019 已經(jīng)發(fā)生的大大小小的GDPR合規案例中汲取經(jīng)驗,那么 2020 年將會(huì )是腥風(fēng)血雨的一年。
以英國航空(官網(wǎng)的第三方供應商腳本被改裝成信用卡盜卡器)和 Uber 為例,英國航空現在面臨的整改包括:實(shí)施定期安全審查,代碼分析和惡意軟件檢測技術(shù)和審查,并加密敏感數據。此外,英國航空還必須在整個(gè)數據收集過(guò)程中增加額外的控制,從表單到付款提交,包括第三方合作伙伴,以及更積極地監控和響應外部威脅環(huán)境。
Uber 的整改工作包括但不限于:強制實(shí)踐包括用于訪(fǎng)問(wèn) AWS S3 服務(wù)器的 IP 過(guò)濾系統,要求工程師使用 2FA 連接到 GitHub,而不是以純文本格式存儲這些憑據。
9 工控安全:OT安全需求大增
OT(運營(yíng)技術(shù))的網(wǎng)絡(luò )安全已經(jīng)變得越來(lái)越重要,這在一定程度上要 “歸功于” 安全儀表系統已成為攻擊目標。霍尼韋爾的 Mirel Sehic 預計,隨著(zhù)越來(lái)越多的 OT 環(huán)境采用數字化技術(shù),這一趨勢將在 2020 年加速。
OT 市場(chǎng)目前還處于早期階段,從安全角度來(lái)看,OT 正處于 10 年前 IT 的發(fā)展階段。十年前,為 IT 環(huán)境尋找匹配的網(wǎng)絡(luò )安全標準非常困難。網(wǎng)絡(luò )專(zhuān)業(yè)人員可以查找 NIST 指南,但是針對各種特定工業(yè)環(huán)境的垂直指南卻少得可憐。
這導致以 OT 為中心的組織(例如西門(mén)子的 Charter of Trust 和非營(yíng)利的 MITER Engenuity 威脅情報防御中心)開(kāi)始 “吃香”。2020 年將有更多工控企業(yè)以 OT 網(wǎng)絡(luò )標準為重點(diǎn)。
事實(shí)上,OT 比 IT 安全更難。因為現實(shí)中,隨著(zhù)操作系統的整合,各種臺式機、筆記本電腦和服務(wù)器沒(méi)有太大不同,但是 Rockwell PLC 和 Honeywell 制造系統之間的差異卻是巨大的。
值得欣慰的是,以 OT 為中心的安全標準(例如 ISA / IEC 62443 和歐洲網(wǎng)絡(luò )指令)以及來(lái)自 NIST,NERC,SANS 和 CIS 的框架正在增多。2020 年,更多采用這些框架和標準能夠降低網(wǎng)絡(luò )風(fēng)險,但同時(shí)也增加工控網(wǎng)絡(luò )的安全成本和復雜性。考慮到目前 OT 安全標準和框架尚處于驗證階段,企業(yè)往往會(huì )評估采用多個(gè)框架,從而進(jìn)一步增加成本和復雜性。
10 安全咨詢(xún)和可管理安全(托管)服務(wù)市場(chǎng)激增
近年來(lái),越來(lái)越多的公司放棄了完全自主的安全管理。根據肯尼斯研究 (Kenneth Research) 的研究報告,可管理安全服務(wù)是安全市場(chǎng)中增速較高的領(lǐng)域,每年增速達到 15%。
報告認為 2020 年可管理安全服務(wù)市場(chǎng)的增長(cháng)將提速。很多數字化轉型中的企業(yè)很難找到足夠的安全人才應對日益復雜的網(wǎng)絡(luò )安全問(wèn)題,這促使他們將目光投向可管理安全服務(wù)。
報告還預計,隨著(zhù)企業(yè)對技術(shù)的依賴(lài)性加強,安全咨詢(xún)業(yè)務(wù)的需求也將快速增長(cháng)。公司尋求可以幫助他們解決問(wèn)題并滿(mǎn)足公司需求的安全服務(wù),安全咨詢(xún)服務(wù)交付的主要方式包括合作伙伴關(guān)系、外包、SaaS 解決方案和常規服務(wù)等。
但是,網(wǎng)絡(luò )安全市場(chǎng)的復雜性使一些公司不愿將所有的安全任務(wù)都外包出去,市場(chǎng)上的一個(gè)變化趨勢是,大公司愿意引入可管理安全服務(wù)提供商解決難點(diǎn)和痛點(diǎn),但并不會(huì )全部外包,自主和外包的混合模式將成為主流。
文章來(lái)源:安全牛 |
