2020年对网络安全的十大预测
扫描二维码
随时随地手机看文章
天下武功,无坚不摧,唯快不破。对于网络安全而言,最安全的选择就是快,不但要比同行跑得快,还要比熊跑得快。这里说的快,不仅仅是对威胁的响应速度快,更重要的是安全能力的发展速度要超过威胁增长速度,在高速变化的威胁态势中,仅仅依靠对漏洞缝缝补补,或针对隔夜的威胁设计一个刻舟求剑的安全方案已经远远不够了。
未来十年最好的一年即将翻篇,随之而来的是新的威胁和趋势,以下安全牛汇总了 2020 年对网络安全的十大预测,助您第一个嗅到春天的气息:
1 勒索软件变本加厉
睡眠质量糟糕已经成了全球性的头号健康问题,但是对于企业 IT 部门来说,勒索软件就是个那个让你不敢入眠的噩梦。
勒索软件正变得越来越复杂。
甚至能够穿透最先进的电子邮件安全解决方案。
将带来更多破坏性后果。
据英国一家技术服务集团发布的消息,2018 年全球 41% 的企业遭受过勒索软件的攻击,该类攻击占企业攻击的四分之一,有 37% 的企业受害者都选择支付了赎款。一些中国企业已经成为勒索软件的受害者。
2019 年,勒索软件攻击不但会更 “滑头”,而且会更频繁。
如今,随着复杂度和自动化程度的不断提高,一些勒索软件攻击(例如木马变体)已经可以通渗透到最复杂的电子邮件安全解决方案中。更致命的是,当前的电子邮件安全解决方案在勒索软件攻击发生数小时后才能察觉,这给攻击留下了足够大的时间窗口。 Emotet 就是一个典型的例子。这款勒索软件界的当红炸子鸡如此成功的原因之一是:能够利用特定的目标候选列表,导致安全系统需要花费更多时间来检测它。而且 Emotet 的攻击能够不断改变 IOC,即使最聪明的签名系统、IDS 和其他传统安全解决方案也无法足够快地检测到它。 如我们所见,勒索软件攻击大约每隔一周就会发生一次。攻击者不断开发出新的样本库,其中包含新的混淆和规避技术,而安全厂商则疲于追赶,很难跟上新的攻击样本库的节奏。
2 数据泄露第一元凶:网络钓鱼攻击
一年前,通常认为恶意软件是企业面临的最大威胁。随着我们临近 2020 年,网络钓鱼攻击成为主要问题。
根据 Verizon 2019 DBIR 数据泄露报告的观点,网络钓鱼是造成数据泄露的第一大原因。
如今,企业提升电子邮件安全性的最大需求就是防范网络钓鱼攻击。然而,过去几年中,网络钓鱼攻击变得越来越复杂,即使是最专业的专业人员也无法检测到所有攻击。暗网上提供五花八门的网络钓鱼工具包以及用以实施针对性攻击的账号列表,网络钓鱼攻击的数量和复杂性可谓每日剧增。 此外,网络钓鱼攻击的后果变得更加严重。数据泄露,财务欺诈和网络钓鱼攻击的其他后果可能对各种规模的组织造成可怕的后果。今年早些时候联邦调查局发布的《互联网犯罪报告》发现,BEC(商业电子邮件攻击)在 2018 年共计造成了 13 亿美元的损失——这一数字远超于五年前的 6000 万美元。另一项调查则显示 2018 年大约 35% 的 CEO 和 CFO 受到过鲸钓攻击。 可以说,检测和阻止网络钓鱼攻击,尤其是通过电子邮件发起的钓鱼/钓鲸攻击,将是2019年企业安全的最大刚需之一。
3 缩短反射弧,提高威胁感知速度
数据驱动的安全解决方案要花费数小时才能检测到前所未有的威胁。
这也是攻击的最危险时段。
组织对这种等待时间的容忍度将越来越低。
从恶意攻击发起到被检测到之前的这段时间,是攻击造成最大破坏性的窗口时段。目前即使是最复杂的安全解决方案,通常也要花费几个小时(甚至更长的时间)才能检测到新的、前所未有的攻击,因此对企业来说,攻击发起的最初几个小时内的风险极大。
如何大幅缩短企业安全系统的 “反射弧”,提高对未知威胁的感知速度,将是 2020 年企业和安全业界面临的关键挑战。
4 企业网络协作平台和移动端成为攻击对象
越来越多的攻击者将尝试利用网盘、即时通讯和企业协作平台。
因为用户往往会不假思索地信任企业协作平台,攻击者将充分利用这一点。
BYOD 风险加大,APT 攻击开始热衷移动端。
随着企业数字化转型、敏捷组织和去中心化组织的流行,企业协作服务市场呈爆炸式增长。用户越来越多地使用钉钉、Slack、微软 OneDrive 等工具进行协作。虽然这些工具对于提高生产率效果显著,但对企业安全专业人员则意味着严峻挑战。
企业协作服务将受到不断的攻击,频率、复杂性和隐秘性也将不断提高,可能造成的风险和潜在损失也将不断增加。
此外,移动端植入如今已成为很多 APT 团伙的基本操作,移动端的零日漏洞价格也是水涨船高,行情一路看涨。今年 9 月份,零日漏洞交易服务商 Zerodium 发布的数据显示,Android 零日漏洞的价格首次超过了 iOS。该公司目前给 “零点击”(无需被攻击者进行任何手机操作)Android 零日漏洞开出的价格高达 250 万美元,远远超过了此前 iOS 越狱漏洞创下的 200 万美元的最高收购价格。
5 BAS亟待实现攻击面的全覆盖
根据 Gartner 的说法,大多数威胁仍然始于电子邮件渠道。
电子邮件传递涉及 94% 的恶意软件检测,2018 年造成的损失超过12亿美元。
突破和攻击模拟 (BAS) 工具通过模拟网络攻击来测试网络的防御能力,但电子邮件的 BAS 尚未成为主流。
客户希望 BAS 供应商将其解决方案扩展到整个攻击面,提供更全面的解决方案。由于电子邮件依然是一种流行的攻击媒介,BAS 供应商们很可能优先将电子邮件作为其 BAS 解决方案的一部分进行覆盖。
6 CMMC风头盖过ISO 27001、SOC 2和HTIRUST等老牌安全认证
美国国防部即将于 2020 年 1 月份发布的 CMMC(安全成熟度模型认证)被不少业界人士看好,有望成为风头盖过 ISO27001、SOC2 等老牌安全认证的热门认证。CMMC 最初的合规对象是美国 20 万家国防工业企业,包括波音、雷神这样的行业巨头,并覆盖整个供应链上的大大小小的 IT 供应商和子承包商。简单来说,CMMC 就是美国国防部用来对 NIST800-171 和规范围内企业进行第三方独立审计的一套方法。 CMMC 采取以数据为中心的安全评估方法,重点放在 CUI 在系统、应用程序或服务的整个生命周期中的存储,传输和处理。这超越了 ISO 27001,SOC 2 或 HITRUST 面向流程的评估方法,这些方法评估的是现有的内部风险管控机制,而 CMMC 的成熟度标准覆盖了敏感数据生命周期、技术基础架构乃至整个供应链的人员、流程和技术。
如果你对 CMMC 的了解还不多,那么需要抓紧时间了,因为 CMMC 很有可能成为成为全球企业信息安全认证的下一个 “黄金标准”。
7 物联网安全法蓄势待发
由于在技术标准的生命周期早期没有充分考虑信息安全问题,以及产品技术和产业的高度碎片化,物联网 IoT 安全问题显得尤为棘手。
2020 年 1 月,全球首部物联网安全法将在美国加利福尼亚州启动实施。对于全球物联网产业和监管部门来说,加州物联网安全法赢得了极大的关注度,但遗憾的是,该法律尚未实施就已经暴露出不少潜在问题。例如,加州物联网安全法依据的 CIS 20 并非专门针对物联网设备,导致对物联网设备范围定义模糊,而且违规认定和处罚方面的条款都非常模糊,企业合规困难。 但即便问题缠身,面对迫在眉睫的物联网 “安全原罪”,2020 年将有越来越多的国家开始拟订或发布类似法规。此外,诸如欧盟《通用数据保护法规》和《加利福尼亚消费者隐私法》也强调了 IoT 设备中隐私和安全性的重要性。随着物联网设备数量的增加和更多政府法规的出台,数据隐私和安全性成为推动物联网解决方案发展的重中之重。
8 GDPR罚款机开始大规模“收割韭菜”
就数据泄露的严重性而言,根据 RBS 的 2019 数据泄露年中报告,2019 年是过去十年最糟糕的一年,也会是未来十年最好的一年。2019 年上半年数据泄露事件同比暴增 54%,半年间累计发生 3800 起数据泄露事件,超过 40 亿条消费者个人和财务数据被暴露。 GDPR 这台巨型联合罚款机,刚刚完成热车,它会有多残暴?谁会被收割?2019 年 Facebook 面临的 20 亿美元罚单,英国航空(2.3亿美元)、万豪国际和 Uber 的整改和罚款,都只是牛刀小试,但也足以让大量非欧盟跨国企业们虎躯一震。对于拥有海外业务的企业安全专业人士和管理人员来说,如果不能尽快从 2019 已经发生的大大小小的GDPR合规案例中汲取经验,那么 2020 年将会是腥风血雨的一年。
以英国航空(官网的第三方供应商脚本被改装成信用卡盗卡器)和 Uber 为例,英国航空现在面临的整改包括:实施定期安全审查,代码分析和恶意软件检测技术和审查,并加密敏感数据。此外,英国航空还必须在整个数据收集过程中增加额外的控制,从表单到付款提交,包括第三方合作伙伴,以及更积极地监控和响应外部威胁环境。
Uber 的整改工作包括但不限于:强制实践包括用于访问 AWS S3 服务器的 IP 过滤系统,要求工程师使用 2FA 连接到 GitHub,而不是以纯文本格式存储这些凭据。
9 工控安全:OT安全需求大增
OT(运营技术)的网络安全已经变得越来越重要,这在一定程度上要 “归功于” 安全仪表系统已成为攻击目标。霍尼韦尔的 Mirel Sehic 预计,随着越来越多的 OT 环境采用数字化技术,这一趋势将在 2020 年加速。
OT 市场目前还处于早期阶段,从安全角度来看,OT 正处于 10 年前 IT 的发展阶段。十年前,为 IT 环境寻找匹配的网络安全标准非常困难。网络专业人员可以查找 NIST 指南,但是针对各种特定工业环境的垂直指南却少得可怜。
这导致以 OT 为中心的组织(例如西门子的 Charter of Trust 和非营利的 MITER Engenuity 威胁情报防御中心)开始 “吃香”。2020 年将有更多工控企业以 OT 网络标准为重点。
事实上,OT 比 IT 安全更难。因为现实中,随着操作系统的整合,各种台式机、笔记本电脑和服务器没有太大不同,但是 Rockwell PLC 和 Honeywell 制造系统之间的差异却是巨大的。
值得欣慰的是,以 OT 为中心的安全标准(例如 ISA / IEC 62443 和欧洲网络指令)以及来自 NIST,NERC,SANS 和 CIS 的框架正在增多。2020 年,更多采用这些框架和标准能够降低网络风险,但同时也增加工控网络的安全成本和复杂性。考虑到目前 OT 安全标准和框架尚处于验证阶段,企业往往会评估采用多个框架,从而进一步增加成本和复杂性。
10 安全咨询和可管理安全(托管)服务市场激增
近年来,越来越多的公司放弃了完全自主的安全管理。根据肯尼斯研究 (Kenneth Research) 的研究报告,可管理安全服务是安全市场中增速较高的领域,每年增速达到 15%。
报告认为 2020 年可管理安全服务市场的增长将提速。很多数字化转型中的企业很难找到足够的安全人才应对日益复杂的网络安全问题,这促使他们将目光投向可管理安全服务。
报告还预计,随着企业对技术的依赖性加强,安全咨询业务的需求也将快速增长。公司寻求可以帮助他们解决问题并满足公司需求的安全服务,安全咨询服务交付的主要方式包括合作伙伴关系、外包、SaaS 解决方案和常规服务等。
但是,网络安全市场的复杂性使一些公司不愿将所有的安全任务都外包出去,市场上的一个变化趋势是,大公司愿意引入可管理安全服务提供商解决难点和痛点,但并不会全部外包,自主和外包的混合模式将成为主流。