又到歲末年初,2020年以一個異乎尋常的開始,改變了世界太多。在網絡安全領域,Palo Alto Networks(派拓網絡)日前發布的「2020年網絡安全回顧及2021年網絡安全預測」頗有代表性。
2020年網絡安全回顧
2020的新冠病毒疫情,明顯加快了世界的數位化轉型速度,隨之而來的遠程辦公、接觸者追蹤應用和可穿戴設備的數據安全影響也帶來了新的網絡威脅。
今天的4G問題與5G息息相關
亞太地區絕大多數國家仍將4G網絡作為首選。4G在部分亞太區國家才剛剛推出,因此距離5G網絡達到一定規模還需要相當長的時間。雖然5G網絡將與4G網絡一同發展,但5G時代尚未完全到來。在現有安全風險無法消除的情況下,移動網際網路服務提供商會在網絡攻擊中首先倒下,而不安全的IoT系統漏洞等,如果在4G時代不能解決的話,其影響將在5G環境下呈指數性擴大。
實際情況:
● 新冠疫情和金融、基礎設施和地緣政治等諸多挑戰阻礙了5G在許多國家的部署。
● 雖然泰國、韓國、中國和日本等少數國家推出了有限的消費者服務,但4G在亞太及日本大部分地區仍保持現狀。
● 儘管4G網絡已經存在了幾年,但它仍然非常容易受到網絡威脅的攻擊,特別是拒絕服務(DoS)式攻擊。
● 鑑於有限的可用服務,目前5G攻擊仍然比較罕見。然而,目前我們所看到的概念驗證攻擊是為了迫使用戶從5G網絡切換回4G網絡,強調了即使我們已經進入5G時代,4G安全仍然非常重要。
人才短缺問題
急需具備好奇心和解決問題的人才。除非人類與自動化各自能完成多少工作的觀念從根本上發生改變,否則網絡安全人才將持續出現供不應求的狀況。自動化將成為未來網絡安全的一個關鍵要素,因為不應該要求人類——也不應該期望人類——去做所有的事情。相反,他們需要利用那些無法自動化的技能,並專注於解決問題、溝通和協作等更高層次的任務。企業不應再追求鳳毛麟角的精英(他們並不存在!),而是應該在合適的渠道發掘人才。
實際情況:
● 2019年11月,全球最大的非營利網絡安全認證專業人員協會(ISC)²發布了一份全球研究報告,指出為滿足現有需求,網絡安全人員數量需要增加145%。
● 在新冠疫情高峰期,人們爭相遠程辦工,網絡安全專業人員人手不足,為網絡犯罪分子創造了理想的機會。一些最著名的攻擊類型包括以新冠疫情或冠狀病毒為主題的惡意垃圾郵件活動,吸引毫無戒心的受害者;新註冊的域名也利用新冠疫情主題,最終用於欺詐、指揮和控制攻擊和惡意軟體託管,以及針對關鍵部門(如醫療保健)的勒索軟體攻擊。
● 最近幾個月,公共和私營部門都加強了培訓和招聘網絡安全專業人員的舉措——既是為了應對新冠疫情,也是為了應對日益複雜的網絡攻擊。
● 其中許多舉措有助於引進具有不同背景和技能的專業人員,有可能解決我們在去年的預測中提出的軟技能差距。
● 雖然這是朝著建立一個更可持續的人才儲備邁出的積極一步,但企業仍需注意,這些新資源並不是解決全球人才短缺的法寶。
● 新冠疫情無疑證明了這類職務現在和未來的重要性。我們希望看到更多的人因此而選擇網絡安全作為職業發展道路。
對物聯網的探索無論對誰都將成為雷區
您要提防家裡的無線門鈴可能會引來不速之客。隨著越來越多的物聯網產品進入市場,網絡威脅被悄悄地隱藏了起來。當有人踩到這些地雷時會發生什麼?2020年,我們預計物聯網安全的發展將在兩個關鍵領域展開:個人及工業物聯網。不論是聯網的門鈴攝像頭,還是無線揚聲器系統,我們將看到通過不安全的應用、薄弱的登錄憑證以及深度偽造技術入侵的攻擊模式不斷增長,作為許多亞洲經濟體關鍵支柱的製造業也將發生重大變化。
實際情況:
● 除了管理現有的物聯網漏洞之外,大規模向遠程辦公的轉變又帶來了更多的物聯網連接,給今年的網絡安全團隊帶來了巨大的挑戰。
● 隨著越來越多的工作設備連接到家庭網絡,以及越來越多的個人設備連接到企業網絡,2020年物聯網的安全問題變得更加複雜:
● 在我們自己發布的《物聯網安全報告》中,中國超過半數(52%)的受訪企業表示需要大幅改進物聯網安全方案。
○ 中國近半數(42%)的受訪企業表示還沒有開啟物聯網安全進程,或者還沒有為物聯網設備劃分單獨的網絡。
● 隨著在家辦公變得更加普遍,企業將需要繼續完善其管理網絡威脅的方法,並強化網絡衛生的重要性。
● 在工業物聯網方面,預計2020年亞太地區將在全球工業物聯網(IIoT)市場中佔據最大的市場份額。新冠疫情可能會暫時讓亞太地區停止擴張,但該地區可能仍然是工業製造的主要中心和全球重大投資以及網絡罪犯的焦點。
● 工業物聯網設備很少有直接的用戶交互行為,這種無人值守的性質意味著任何潛在的設備入侵都很可能被忽視和檢測不到,特別是如果惡意軟體沒有破壞設備的主要功能,而是在網絡的其他地方產生影響就更是如此。
● 現在構成工業物聯網的網絡傳感器、控制裝置和其他電子設備正在以數據交換、控制或遠程監控的方式增加新的功能,但同時也創造了新的商業和社會風險。
● 雖然我們沒有觀察到明顯的新型攻擊,但像Mirai這樣的物聯網殭屍網絡仍在不斷發展,並利用新的漏洞。我們還觀察到攻擊者積極利用消費類路由器上的舊有漏洞。
數據隱私界限越來越模糊
更多的數據隱私法規,以及數據主權安全悖論。大多數人為獲取短期利益(例如熱門應用、手機遊戲或在線比賽)會毫不猶豫地提供個人信息。為了幫助解決這一日益嚴重的問題並保護公民數據,監管機構圍繞實施更嚴格的本地數據隱私法而展開行動,例如建議將公民數據存放在其來源國的法律。
然而,建立本地化的數據中心並不一定會使數據更加安全。因為個人終端用戶或企業之間的聯繫日益緊密,容易受到全球事件的影響。
實際情況:
● 數據隱私是2020年少數幾個能與新冠疫情爭奪新聞頭條的話題之一。
● 在亞太區和世界各國,從圍繞熱門中資應用的爭議,到收集個人數據進行接觸者追蹤,關於我們如何訪問、存儲和分享個人數據的討論成為焦點。
● 隨著一些國家和企業對接觸者追蹤應用和可穿戴設備持謹慎態度——即使他們接受這些應用和可穿戴設備是必要的——新冠疫情使數據隱私問題進一步複雜化。
● 接觸者追蹤應用(包括政府和行業開發的)和可穿戴設備已經從數據主權中接管了數據隱私的爭論,但這些數據的存儲仍然是一個棘手的問題。
● 2020年,對新冠疫情進行追蹤的必要性很可能成為各國政府大規模有效保護公民數據的最終考驗。
雲未來初見端倪:不要在動蕩中迷失方向
配置更加混亂。整個地區對雲應用的態度和接受程度並不一樣。儘管遷移到雲是合理的,但是在將關鍵信息放入雲時也需要謹慎。亞太區的大型企業使用多種安全工具,造成安全態勢的碎片化,尤其是當企業在多雲環境中運行時。鑑於大型企業沒有足夠的時間和資源來專門用於雲安全審核和培訓,因此顯然需要自動化。
實際情況:
● 在我們發布的《2019年亞太地區雲安全研究》中發現,在中國:
○ 50%的大型企業認為安全和隱私問題是他們採用雲計算的最大挑戰。
○ 76%的大型企業有超過10個安全工具同時運行。
○ 77%的企業沒有部署可對雲上所有威脅形成統一視圖的安全工具。
● 我們的《雲原生安全現狀報告》代表了全球最大的雲原生安全市場數據,報告發現,越來越多的依賴雲並沒有增加對雲安全態勢的信心。此外,利用多個安全供應商和工具已成為常態;然而,受訪者仍不確定誰是真正的安全責任人。
● 新冠疫情的爆發無疑加劇了所有這些混亂。新冠疫情是一個關鍵的催化劑,加速了企業在2020年向雲轉移,因為企業發現自己需要迅速實現數位化,以便更好地支持遠程員工。
● 欲速則不達:不幸的是,向雲轉移的混亂導致了同樣的(如果不是更嚴重的)錯誤配置的挑戰。我們的《2020年下半年雲威脅報告》發現,身份錯誤配置在雲帳戶中普遍存在,對企業來說是一個重大的安全風險,可能導致代價高昂的數據洩露。該研究在2020年5月至8月間進行,覆蓋全球範圍的TB級數據,以及數千個雲帳戶和超過10萬個GitHub代碼庫。
2021年預測
2020年是一個分水嶺,是對我們總體數字韌性的一次真正考驗。由於新冠疫情的影響可能會持續多年,企業必須重新審視他們的策略以在較長時期駕馭這一新常態。隨著我們對技術的日益依賴,企業如何成功確保2021年的數位化未來?以下是Palo Alto Networks(派拓網絡)對2021年影響數位化未來的網絡安全趨勢的預測:
預測1 數據隱私的爭論將加劇
● 儘管圍繞數據隱私的爭論已經進行了多年——一些大型科技公司對數據的使用持謹慎態度,GDPR的合規性對企業來說仍然是一項挑戰——但真正引起個人重視數據隱私的是接觸者追蹤服務。
● 事實證明,嚴格的接觸者追蹤服務和及時獲得準確完整的數據,是幫助許多迅速轉向此類數位化工具的東亞國家「拉平疫情曲線」的關鍵因素。然而,隨著感染率再次飆升,Future Market Insights的研究表明,在許多國家反覆出現的感染浪潮的推動下,新的接觸者追蹤應用將以每年15%的速度推出。
● 除了由衛生部門主導的公共部門舉措外,私營機構也在推出支持此類工作的舉措,最引人注目的是蘋果-谷歌的暴露通知 (Apple–Google Exposure Notification)系統,一些國家甚至已經開始利用該系統。
● 每個人都在思考的問題是,我們多久才能恢復到某種程度的正常狀態,而對旅行的渴望是整個亞太地區乃至全球最常見的情緒之一。
● 越來越多的國家正在建立旅行泡泡和互惠綠色通道,以重振旅遊和酒店行業。然而,為了使這些安排對所有旅行者都安全高效,個人數據需要在正確的安全控制下進行跨境共享,並就如何處理和存儲這些數據進行透明化溝通。
● 鑑於在政府機構與航空公司、機場和酒店等企業之間轉移數據的迫切需求,有關如何存儲,訪問和使用這些數據的爭論將持續到2021年,尤其是個人現在對其個人數據被共享的意識大大提高的情況下。
● 然而,這一次,通過新冠病毒快速檢測得出的醫療數據的共享,再加上對所有守法公民而不僅僅是政府拒籤名單上的個人的持續跟蹤和登記,將使旅行者在恢復休閒旅行時對他們共享的信息三思而後行。
預測2 對那些做好充分準備的人來說,5G時代已經開始,但5G安全呢?
● 雖然5G網絡已經在少數市場推出,但iPhone 12的推出將使5G設備首次得到大規模應用。
● 這無疑將鼓勵更多國家加快5G網絡的推廣,因為電信運營商正在尋求為消費者部署新的服務,政府也在為2021年的經濟復甦挖掘數位化機遇。然而,我們仍需一段時間才能體驗到5G所承諾的降低延遲和速度飆升的優勢。
● 與此同時,企業對專用5G網絡的採用正在大幅提速。德勤預測,2020-2025年專用5G市場(以美元支出衡量)的三分之一,將來自港口、機場和類似的物流樞紐,預計這些地方將成為先行者。
● 網絡系統、服務和軟體公司Ciena最近的一項調查發現,來自新加坡、印度尼西亞、菲律賓和日本企業的31%的受訪者認為,5G最大的影響在於實現數位化轉型,並能夠支持更多的數位化應用。
5G推廣過程中需要避免的陷阱
● 在亞太及日本區,政府在很大程度上是5G部署的推動者。例如,澳大利亞政府已承諾投資近3,000萬澳元,在農業、採礦和物流等行業試用5G技術,而曼谷的醫院已在使用5G技術改善患者護理和運營效率。
● 然而,隨著各國政府忙於應對新冠疫情和經濟復甦,私營機構肯定會接手5G競賽。
● 這是2021年更多企業必須關注的問題。需要安裝的節點數量之多,使得5G網絡的部署更具挑戰性,極大地增加了潛在的網絡攻擊面。
預測3 在家辦公變得更智能、更安全,安全功能將擴展到網絡邊緣並被簡化
● 各地企業在突然的封鎖和保持社交距離措施中,爭先恐後地推出各種措施,以方便遠程辦公。在短短幾周內,數位化轉型已從「令人厭倦的流行語」變成了「適應生存」的必要條件。
● 許多方案都依賴於傳統技術,例如實體密鑰卡和數字密鑰,這些技術從來都不是為大量員工同時登錄而設計的。其中許多方案也曾經只是為了作為短期的修復措施,或者對於對網絡安全影響理解有限的員工來說過於複雜。
● 如果說2020年讓企業學到了什麼,那就是在整個企業範圍內實現遠程辦公完全可能。由於員工是一切的核心,2021年為企業提供了一個機遇,尋求新的發展方式並整合將工作交付給其員工的創新方案。
雲計算的價值變得不那麼虛無縹緲
● 隨著雲工具被越來越多地採用,虛擬化桌面成為越來越流行的解決方案,我們可以看到對具有更強計算能力的昂貴設備的需求有所減少。
● 企業可以為員工提供更簡單的聯網設備,使員工能夠在線訪問他們所需的程序和資源,直接將工作交付給他們——進而保護公司最寶貴的資產。
● 對員工連接方式的顛覆性設計消除了與自帶設備(BYOD)相關的網絡安全難題——或者說,自帶電腦(BYOC)政策已經成為常態——同時更高效地執行網絡分段。
● 然後,網絡邊緣需要提供安全功能,由於其靈活性、簡單性及可視性,安全訪問服務邊緣(SASE)等解決方案將成為新的網絡安全規範。
預測4 重建內部秩序的一年,隨著IT團隊回歸基礎工作,漫無邊際的構想將被淘汰
● 隨著電子郵件之類得心應手的功能向雲的快速遷移,2021年將有更多的工作實現虛擬化,迫使許多企業重新審視現有雲環境的安全性。
● 雖然網絡安全控制功能仍然是雲安全的重要組成部分,但隨著企業不斷擴大其雲業務的規模,現在還需要增加一層身份和訪問管理(IAM)治理。
● 今年,Palo Alto Networks(派拓網絡)的Unit 42研究人員發現,單個IAM配置錯誤就可以使攻擊者攻陷整個雲環境並繞過幾乎所有安全控制功能。
● 總體而言,我們的研究結果表明,這些身份錯誤配置在眾多雲帳戶中普遍存在,對企業構成了重大的安全風險,有可能在不到一周的時間內影響整個環境,造成數千種工作負載。
走出錯誤配置的誤區
● 隨著新冠疫情引導IT團隊從漫無邊際的構想轉向更多的具體問題,2021年將有更多的企業將IT重心轉向內部,著眼於做好基礎工作,並重新關注真正重要的事情,甚至找到以更少的成本做同樣事情的方法。
● 這樣做很可能會看到現有的網絡安全團隊和角色被重新設計,以配合整體重點,使內部秩序井然,並建立一個更有彈性的雲環境。
● 2019年,貝恩諮詢公司和Facebook估計,到2025年,東南亞將有3.1億人在線購物。由於新冠疫情的出現,這一裡程碑將在2020年底實現。儘管混合多雲環境非常複雜,但企業(乃至整個行業)將應用和數據遷移到雲的速度,意味著這項工作的很大一部分必須實現自動化。
● 安全功能現在需要以雲的速度運行,任何在2021年遲遲沒有認識到這一點的企業,其安全漏洞只會成倍增加。
【編輯推薦】
【責任編輯:
龐桂玉TEL:(010)68476606】