nana 發表於 2020-02-04 15:15:07
天下武功,無堅不摧,唯快不破。對於網絡安全而言,最安全的選擇就是快,不但要比同行跑得快,還要比熊跑得快。這裡說的快,不僅僅是對威脅的響應速度快,更重要的是安全能力的發展速度要超過威脅增長速度,在高速變化的威脅態勢中,僅僅依靠對漏洞縫縫補補,或針對隔夜的威脅設計一個刻舟求劍的安全方案已經遠遠不夠了。
未來十年最好的一年即將翻篇,隨之而來的是新的威脅和趨勢,以下安全牛匯總了 2020 年對網絡安全的十大預測,助您第一個嗅到春天的氣息:
1 勒索軟體變本加厲
睡眠質量糟糕已經成了全球性的頭號健康問題,但是對於企業 IT 部門來說,勒索軟體就是個那個讓你不敢入眠的噩夢。
勒索軟體正變得越來越複雜。
甚至能夠穿透最先進的電子郵件安全解決方案。
將帶來更多破壞性後果。
據英國一家技術服務集團發布的消息,2018 年全球 41% 的企業遭受過勒索軟體的攻擊,該類攻擊佔企業攻擊的四分之一,有 37% 的企業受害者都選擇支付了贖款。一些中國企業已經成為勒索軟體的受害者。
2019 年,勒索軟體攻擊不但會更 「滑頭」,而且會更頻繁。
如今,隨著複雜度和自動化程度的不斷提高,一些勒索軟體攻擊(例如木馬變體)已經可以通滲透到最複雜的電子郵件安全解決方案中。更致命的是,當前的電子郵件安全解決方案在勒索軟體攻擊發生數小時後才能察覺,這給攻擊留下了足夠大的時間窗口。 Emotet 就是一個典型的例子。這款勒索軟體界的當紅炸子雞如此成功的原因之一是:能夠利用特定的目標候選列表,導致安全系統需要花費更多時間來檢測它。而且 Emotet 的攻擊能夠不斷改變 IOC,即使最聰明的籤名系統、IDS 和其他傳統安全解決方案也無法足夠快地檢測到它。 如我們所見,勒索軟體攻擊大約每隔一周就會發生一次。攻擊者不斷開發出新的樣本庫,其中包含新的混淆和規避技術,而安全廠商則疲於追趕,很難跟上新的攻擊樣本庫的節奏。
2 數據洩露第一元兇:網絡釣魚攻擊
一年前,通常認為惡意軟體是企業面臨的最大威脅。隨著我們臨近 2020 年,網絡釣魚攻擊成為主要問題。
根據 Verizon 2019 DBIR 數據洩露報告的觀點,網絡釣魚是造成數據洩露的第一大原因。
如今,企業提升電子郵件安全性的最大需求就是防範網絡釣魚攻擊。然而,過去幾年中,網絡釣魚攻擊變得越來越複雜,即使是最專業的專業人員也無法檢測到所有攻擊。暗網上提供五花八門的網絡釣魚工具包以及用以實施針對性攻擊的帳號列表,網絡釣魚攻擊的數量和複雜性可謂每日劇增。 此外,網絡釣魚攻擊的後果變得更加嚴重。數據洩露,財務欺詐和網絡釣魚攻擊的其他後果可能對各種規模的組織造成可怕的後果。今年早些時候聯邦調查局發布的《網際網路犯罪報告》發現,BEC(商業電子郵件攻擊)在 2018 年共計造成了 13 億美元的損失——這一數字遠超於五年前的 6000 萬美元。另一項調查則顯示 2018 年大約 35% 的 CEO 和 CFO 受到過鯨釣攻擊。 可以說,檢測和阻止網絡釣魚攻擊,尤其是通過電子郵件發起的釣魚/釣鯨攻擊,將是2019年企業安全的最大剛需之一。
3 縮短反射弧,提高威脅感知速度
數據驅動的安全解決方案要花費數小時才能檢測到前所未有的威脅。
這也是攻擊的最危險時段。
組織對這種等待時間的容忍度將越來越低。
從惡意攻擊發起到被檢測到之前的這段時間,是攻擊造成最大破壞性的窗口時段。目前即使是最複雜的安全解決方案,通常也要花費幾個小時(甚至更長的時間)才能檢測到新的、前所未有的攻擊,因此對企業來說,攻擊發起的最初幾個小時內的風險極大。
如何大幅縮短企業安全系統的 「反射弧」,提高對未知威脅的感知速度,將是 2020 年企業和安全業界面臨的關鍵挑戰。
4 企業網絡協作平臺和移動端成為攻擊對象
越來越多的攻擊者將嘗試利用網盤、即時通訊和企業協作平臺。
因為用戶往往會不假思索地信任企業協作平臺,攻擊者將充分利用這一點。
BYOD 風險加大,APT 攻擊開始熱衷移動端。
隨著企業數位化轉型、敏捷組織和去中心化組織的流行,企業協作服務市場呈爆炸式增長。用戶越來越多地使用釘釘、Slack、微軟 OneDrive 等工具進行協作。雖然這些工具對於提高生產率效果顯著,但對企業安全專業人員則意味著嚴峻挑戰。
企業協作服務將受到不斷的攻擊,頻率、複雜性和隱秘性也將不斷提高,可能造成的風險和潛在損失也將不斷增加。
此外,移動端植入如今已成為很多 APT 團夥的基本操作,移動端的零日漏洞價格也是水漲船高,行情一路看漲。今年 9 月份,零日漏洞交易服務商 Zerodium 發布的數據顯示,Android 零日漏洞的價格首次超過了 iOS。該公司目前給 「零點擊」(無需被攻擊者進行任何手機操作)Android 零日漏洞開出的價格高達 250 萬美元,遠遠超過了此前 iOS 越獄漏洞創下的 200 萬美元的最高收購價格。
5 BAS亟待實現攻擊面的全覆蓋
根據 Gartner 的說法,大多數威脅仍然始於電子郵件渠道。
電子郵件傳遞涉及 94% 的惡意軟體檢測,2018 年造成的損失超過12億美元。
突破和攻擊模擬 (BAS) 工具通過模擬網絡攻擊來測試網絡的防禦能力,但電子郵件的 BAS 尚未成為主流。
客戶希望 BAS 供應商將其解決方案擴展到整個攻擊面,提供更全面的解決方案。由於電子郵件依然是一種流行的攻擊媒介,BAS 供應商們很可能優先將電子郵件作為其 BAS 解決方案的一部分進行覆蓋。
6 CMMC風頭蓋過ISO 27001、SOC 2和HTIRUST等老牌安全認證
美國國防部即將於 2020 年 1 月份發布的 CMMC(安全成熟度模型認證)被不少業界人士看好,有望成為風頭蓋過 ISO27001、SOC2 等老牌安全認證的熱門認證。CMMC 最初的合規對象是美國 20 萬家國防工業企業,包括波音、雷神這樣的行業巨頭,並覆蓋整個供應鏈上的大大小小的 IT 供應商和子承包商。簡單來說,CMMC 就是美國國防部用來對 NIST800-171 和規範圍內企業進行第三方獨立審計的一套方法。 CMMC 採取以數據為中心的安全評估方法,重點放在 CUI 在系統、應用程式或服務的整個生命周期中的存儲,傳輸和處理。這超越了 ISO 27001,SOC 2 或 HITRUST 面向流程的評估方法,這些方法評估的是現有的內部風險管控機制,而 CMMC 的成熟度標準覆蓋了敏感數據生命周期、技術基礎架構乃至整個供應鏈的人員、流程和技術。
如果你對 CMMC 的了解還不多,那麼需要抓緊時間了,因為 CMMC 很有可能成為成為全球企業信息安全認證的下一個 「黃金標準」。
7 物聯網安全法蓄勢待發
由於在技術標準的生命周期早期沒有充分考慮信息安全問題,以及產品技術和產業的高度碎片化,物聯網 IoT 安全問題顯得尤為棘手。
2020 年 1 月,全球首部物聯網安全法將在美國加利福尼亞州啟動實施。對於全球物聯網產業和監管部門來說,加州物聯網安全法贏得了極大的關注度,但遺憾的是,該法律尚未實施就已經暴露出不少潛在問題。例如,加州物聯網安全法依據的 CIS 20 並非專門針對物聯網設備,導致對物聯網設備範圍定義模糊,而且違規認定和處罰方面的條款都非常模糊,企業合規困難。 但即便問題纏身,面對迫在眉睫的物聯網 「安全原罪」,2020 年將有越來越多的國家開始擬訂或發布類似法規。此外,諸如歐盟《通用數據保護法規》和《加利福尼亞消費者隱私法》也強調了 IoT 設備中隱私和安全性的重要性。隨著物聯網設備數量的增加和更多政府法規的出臺,數據隱私和安全性成為推動物聯網解決方案發展的重中之重。
8 GDPR罰款機開始大規模「收割韭菜」
就數據洩露的嚴重性而言,根據 RBS 的 2019 數據洩露年中報告,2019 年是過去十年最糟糕的一年,也會是未來十年最好的一年。2019 年上半年數據洩露事件同比暴增 54%,半年間累計發生 3800 起數據洩露事件,超過 40 億條消費者個人和財務數據被暴露。 GDPR 這臺巨型聯合罰款機,剛剛完成熱車,它會有多殘暴?誰會被收割?2019 年 Facebook 面臨的 20 億美元罰單,英國航空(2.3億美元)、萬豪國際和 Uber 的整改和罰款,都只是牛刀小試,但也足以讓大量非歐盟跨國企業們虎軀一震。對於擁有海外業務的企業安全專業人士和管理人員來說,如果不能儘快從 2019 已經發生的大大小小的GDPR合規案例中汲取經驗,那麼 2020 年將會是腥風血雨的一年。
以英國航空(官網的第三方供應商腳本被改裝成信用卡盜卡器)和 Uber 為例,英國航空現在面臨的整改包括:實施定期安全審查,代碼分析和惡意軟體檢測技術和審查,並加密敏感數據。此外,英國航空還必須在整個數據收集過程中增加額外的控制,從表單到付款提交,包括第三方合作夥伴,以及更積極地監控和響應外部威脅環境。
Uber 的整改工作包括但不限於:強制實踐包括用於訪問 AWS S3 伺服器的 IP 過濾系統,要求工程師使用 2FA 連接到 GitHub,而不是以純文本格式存儲這些憑據。
9 工控安全:OT安全需求大增
OT(運營技術)的網絡安全已經變得越來越重要,這在一定程度上要 「歸功於」 安全儀表系統已成為攻擊目標。霍尼韋爾的 Mirel Sehic 預計,隨著越來越多的 OT 環境採用數位化技術,這一趨勢將在 2020 年加速。
OT 市場目前還處於早期階段,從安全角度來看,OT 正處於 10 年前 IT 的發展階段。十年前,為 IT 環境尋找匹配的網絡安全標準非常困難。網絡專業人員可以查找 NIST 指南,但是針對各種特定工業環境的垂直指南卻少得可憐。
這導致以 OT 為中心的組織(例如西門子的 Charter of Trust 和非營利的 MITER Engenuity 威脅情報防禦中心)開始 「吃香」。2020 年將有更多工控企業以 OT 網絡標準為重點。
事實上,OT 比 IT 安全更難。因為現實中,隨著作業系統的整合,各種臺式機、筆記本電腦和伺服器沒有太大不同,但是 Rockwell PLC 和 Honeywell 製造系統之間的差異卻是巨大的。
值得欣慰的是,以 OT 為中心的安全標準(例如 ISA / IEC 62443 和歐洲網絡指令)以及來自 NIST,NERC,SANS 和 CIS 的框架正在增多。2020 年,更多採用這些框架和標準能夠降低網絡風險,但同時也增加工控網絡的安全成本和複雜性。考慮到目前 OT 安全標準和框架尚處於驗證階段,企業往往會評估採用多個框架,從而進一步增加成本和複雜性。
10 安全諮詢和可管理安全(託管)服務市場激增
近年來,越來越多的公司放棄了完全自主的安全管理。根據肯尼斯研究 (Kenneth Research) 的研究報告,可管理安全服務是安全市場中增速較高的領域,每年增速達到 15%。
報告認為 2020 年可管理安全服務市場的增長將提速。很多數位化轉型中的企業很難找到足夠的安全人才應對日益複雜的網絡安全問題,這促使他們將目光投向可管理安全服務。
報告還預計,隨著企業對技術的依賴性加強,安全諮詢業務的需求也將快速增長。公司尋求可以幫助他們解決問題並滿足公司需求的安全服務,安全諮詢服務交付的主要方式包括合作夥伴關係、外包、SaaS 解決方案和常規服務等。
但是,網絡安全市場的複雜性使一些公司不願將所有的安全任務都外包出去,市場上的一個變化趨勢是,大公司願意引入可管理安全服務提供商解決難點和痛點,但並不會全部外包,自主和外包的混合模式將成為主流。
打開APP閱讀更多精彩內容聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容圖片侵權或者其他問題,請聯繫本站作侵刪。 侵權投訴