[[313155]]
天下武功,無堅不摧,唯快不破。對于網絡安全而言,最安全的選擇就是快,不但要比同行跑得快,還要比熊跑得快。這里說的快,不僅僅是對威脅的響應速度快,更重要的是安全能力的發展速度要超過威脅增長速度,在高速變化的威脅態勢中,僅僅依靠對漏洞縫縫補補,或針對隔夜的威脅設計一個刻舟求劍的安全方案已經遠遠不夠了。
未來十年最好的一年即將翻篇,隨之而來的是新的威脅和趨勢,以下安全牛匯總了 2020 年對網絡安全的十大預測,助您第一個嗅到春天的氣息:
1 勒索軟件變本加厲
睡眠質量糟糕已經成了全球性的頭號健康問題,但是對于企業 IT 部門來說,勒索軟件就是個那個讓你不敢入眠的噩夢。
勒索軟件正變得越來越復雜。
甚至能夠穿透最先進的電子郵件安全解決方案。
將帶來更多破壞性后果。
據英國一家技術服務集團發布的消息,2018 年全球 41% 的企業遭受過勒索軟件的攻擊,該類攻擊占企業攻擊的四分之一,有 37% 的企業受害者都選擇支付了贖款。一些中國企業已經成為勒索軟件的受害者。
2019 年,勒索軟件攻擊不但會更 “滑頭”,而且會更頻繁。
如今,隨著復雜度和自動化程度的不斷提高,一些勒索軟件攻擊(例如木馬變體)已經可以通滲透到最復雜的電子郵件安全解決方案中。更致命的是,當前的電子郵件安全解決方案在勒索軟件攻擊發生數小時后才能察覺,這給攻擊留下了足夠大的時間窗口。Emotet 就是一個典型的例子。這款勒索軟件界的當紅炸子雞如此成功的原因之一是:能夠利用特定的目標候選列表,導致安全系統需要花費更多時間來檢測它。而且 Emotet 的攻擊能夠不斷改變 IOC,即使最聰明的簽名系統、IDS 和其他傳統安全解決方案也無法足夠快地檢測到它。如我們所見,勒索軟件攻擊大約每隔一周就會發生一次。攻擊者不斷開發出新的樣本庫,其中包含新的混淆和規避技術,而安全廠商則疲于追趕,很難跟上新的攻擊樣本庫的節奏。
2 數據泄露第一元兇:網絡釣魚攻擊
一年前,通常認為惡意軟件是企業面臨的最大威脅。隨著我們臨近 2020 年,網絡釣魚攻擊成為主要問題。
根據 Verizon 2019 DBIR 數據泄露報告的觀點,網絡釣魚是造成數據泄露的第一大原因。
如今,企業提升電子郵件安全性的最大需求就是防范網絡釣魚攻擊。然而,過去幾年中,網絡釣魚攻擊變得越來越復雜,即使是最專業的專業人員也無法檢測到所有攻擊。暗網上提供五花八門的網絡釣魚工具包以及用以實施針對性攻擊的賬號列表,網絡釣魚攻擊的數量和復雜性可謂每日劇增。此外,網絡釣魚攻擊的后果變得更加嚴重。數據泄露,財務欺詐和網絡釣魚攻擊的其他后果可能對各種規模的組織造成可怕的后果。今年早些時候聯邦調查局發布的《互聯網犯罪報告》發現,BEC(商業電子郵件攻擊)在 2018 年共計造成了 13 億美元的損失——這一數字遠超于五年前的 6000 萬美元。另一項調查則顯示 2018 年大約 35% 的 CEO 和 CFO 受到過鯨釣攻擊。可以說,檢測和阻止網絡釣魚攻擊,尤其是通過電子郵件發起的釣魚/釣鯨攻擊,將是2019年企業安全的最大剛需之一。
3 縮短反射弧,提高威脅感知速度
數據驅動的安全解決方案要花費數小時才能檢測到前所未有的威脅。
這也是攻擊的最危險時段。
組織對這種等待時間的容忍度將越來越低。
從惡意攻擊發起到被檢測到之前的這段時間,是攻擊造成最大破壞性的窗口時段。目前即使是最復雜的安全解決方案,通常也要花費幾個小時(甚至更長的時間)才能檢測到新的、前所未有的攻擊,因此對企業來說,攻擊發起的最初幾個小時內的風險極大。
如何大幅縮短企業安全系統的 “反射弧”,提高對未知威脅的感知速度,將是 2020 年企業和安全業界面臨的關鍵挑戰。
4 企業網絡協作平臺和移動端成為攻擊對象
越來越多的攻擊者將嘗試利用網盤、即時通訊和企業協作平臺。
因為用戶往往會不假思索地信任企業協作平臺,攻擊者將充分利用這一點。
BYOD 風險加大,APT 攻擊開始熱衷移動端。
隨著企業數字化轉型、敏捷組織和去中心化組織的流行,企業協作服務市場呈爆炸式增長。用戶越來越多地使用釘釘、Slack、微軟 OneDrive 等工具進行協作。雖然這些工具對于提高生產率效果顯著,但對企業安全專業人員則意味著嚴峻挑戰。
企業協作服務將受到不斷的攻擊,頻率、復雜性和隱秘性也將不斷提高,可能造成的風險和潛在損失也將不斷增加。
此外,移動端植入如今已成為很多 APT 團伙的基本操作,移動端的零日漏洞價格也是水漲船高,行情一路看漲。今年 9 月份,零日漏洞交易服務商 Zerodium 發布的數據顯示,Android 零日漏洞的價格首次超過了 iOS。該公司目前給 “零點擊”(無需被攻擊者進行任何手機操作)Android 零日漏洞開出的價格高達 250 萬美元,遠遠超過了此前 iOS 越獄漏洞創下的 200 萬美元的最高收購價格。
5 BAS亟待實現攻擊面的全覆蓋
根據 Gartner 的說法,大多數威脅仍然始于電子郵件渠道。
電子郵件傳遞涉及 94% 的惡意軟件檢測,2018 年造成的損失超過12億美元。
突破和攻擊模擬 (BAS) 工具通過模擬網絡攻擊來測試網絡的防御能力,但電子郵件的 BAS 尚未成為主流。
客戶希望 BAS 供應商將其解決方案擴展到整個攻擊面,提供更全面的解決方案。由于電子郵件依然是一種流行的攻擊媒介,BAS 供應商們很可能優先將電子郵件作為其 BAS 解決方案的一部分進行覆蓋。
6 CMMC風頭蓋過ISO 27001、SOC 2和HTIRUST等老牌安全認證
美國國防部即將于 2020 年 1 月份發布的 CMMC(安全成熟度模型認證)被不少業界人士看好,有望成為風頭蓋過 ISO27001、SOC2 等老牌安全認證的熱門認證。CMMC 最初的合規對象是美國 20 萬家國防工業企業,包括波音、雷神這樣的行業巨頭,并覆蓋整個供應鏈上的大大小小的 IT 供應商和子承包商。簡單來說,CMMC 就是美國國防部用來對 NIST800-171 和規范圍內企業進行第三方獨立審計的一套方法。CMMC 采取以數據為中心的安全評估方法,重點放在 CUI 在系統、應用程序或服務的整個生命周期中的存儲,傳輸和處理。這超越了 ISO 27001,SOC 2 或 HITRUST 面向流程的評估方法,這些方法評估的是現有的內部風險管控機制,而 CMMC 的成熟度標準覆蓋了敏感數據生命周期、技術基礎架構乃至整個供應鏈的人員、流程和技術。
如果你對 CMMC 的了解還不多,那么需要抓緊時間了,因為 CMMC 很有可能成為成為全球企業信息安全認證的下一個 “黃金標準”。
7 物聯網安全法蓄勢待發
由于在技術標準的生命周期早期沒有充分考慮信息安全問題,以及產品技術和產業的高度碎片化,物聯網 IoT 安全問題顯得尤為棘手。
2020 年 1 月,全球首部物聯網安全法將在美國加利福尼亞州啟動實施。對于全球物聯網產業和監管部門來說,加州物聯網安全法贏得了極大的關注度,但遺憾的是,該法律尚未實施就已經暴露出不少潛在問題。例如,加州物聯網安全法依據的 CIS 20 并非專門針對物聯網設備,導致對物聯網設備范圍定義模糊,而且違規認定和處罰方面的條款都非常模糊,企業合規困難。但即便問題纏身,面對迫在眉睫的物聯網 “安全原罪”,2020 年將有越來越多的國家開始擬訂或發布類似法規。此外,諸如歐盟《通用數據保護法規》和《加利福尼亞消費者隱私法》也強調了 IoT 設備中隱私和安全性的重要性。隨著物聯網設備數量的增加和更多政府法規的出臺,數據隱私和安全性成為推動物聯網解決方案發展的重中之重。
8 GDPR罰款機開始大規模“收割韭菜”
就數據泄露的嚴重性而言,根據 RBS 的 2019 數據泄露年中報告,2019 年是過去十年最糟糕的一年,也會是未來十年最好的一年。2019 年上半年數據泄露事件同比暴增 54%,半年間累計發生 3800 起數據泄露事件,超過 40 億條消費者個人和財務數據被暴露。GDPR 這臺巨型聯合罰款機,剛剛完成熱車,它會有多殘暴?誰會被收割?2019 年 Facebook 面臨的 20 億美元罰單,英國航空(2.3億美元)、萬豪國際和 Uber 的整改和罰款,都只是牛刀小試,但也足以讓大量非歐盟跨國企業們虎軀一震。對于擁有海外業務的企業安全專業人士和管理人員來說,如果不能盡快從 2019 已經發生的大大小小的GDPR合規案例中汲取經驗,那么 2020 年將會是腥風血雨的一年。
以英國航空(官網的第三方供應商腳本被改裝成信用卡盜卡器)和 Uber 為例,英國航空現在面臨的整改包括:實施定期安全審查,代碼分析和惡意軟件檢測技術和審查,并加密敏感數據。此外,英國航空還必須在整個數據收集過程中增加額外的控制,從表單到付款提交,包括第三方合作伙伴,以及更積極地監控和響應外部威脅環境。
Uber 的整改工作包括但不限于:強制實踐包括用于訪問 AWS S3 服務器的 IP 過濾系統,要求工程師使用 2FA 連接到 GitHub,而不是以純文本格式存儲這些憑據。
9 工控安全:OT安全需求大增
OT(運營技術)的網絡安全已經變得越來越重要,這在一定程度上要 “歸功于” 安全儀表系統已成為攻擊目標。霍尼韋爾的 Mirel Sehic 預計,隨著越來越多的 OT 環境采用數字化技術,這一趨勢將在 2020 年加速。
OT 市場目前還處于早期階段,從安全角度來看,OT 正處于 10 年前 IT 的發展階段。十年前,為 IT 環境尋找匹配的網絡安全標準非常困難。網絡專業人員可以查找 NIST 指南,但是針對各種特定工業環境的垂直指南卻少得可憐。
這導致以 OT 為中心的組織(例如西門子的 Charter of Trust 和非營利的 MITER Engenuity 威脅情報防御中心)開始 “吃香”。2020 年將有更多工控企業以 OT 網絡標準為重點。
事實上,OT 比 IT 安全更難。因為現實中,隨著操作系統的整合,各種臺式機、筆記本電腦和服務器沒有太大不同,但是 Rockwell PLC 和 Honeywell 制造系統之間的差異卻是巨大的。
值得欣慰的是,以 OT 為中心的安全標準(例如 ISA / IEC 62443 和歐洲網絡指令)以及來自 NIST,NERC,SANS 和 CIS 的框架正在增多。2020 年,更多采用這些框架和標準能夠降低網絡風險,但同時也增加工控網絡的安全成本和復雜性。考慮到目前 OT 安全標準和框架尚處于驗證階段,企業往往會評估采用多個框架,從而進一步增加成本和復雜性。
10 安全咨詢和可管理安全(托管)服務市場激增
近年來,越來越多的公司放棄了完全自主的安全管理。根據肯尼斯研究 (Kenneth Research) 的研究報告,可管理安全服務是安全市場中增速較高的領域,每年增速達到 15%。
報告認為 2020 年可管理安全服務市場的增長將提速。很多數字化轉型中的企業很難找到足夠的安全人才應對日益復雜的網絡安全問題,這促使他們將目光投向可管理安全服務。
報告還預計,隨著企業對技術的依賴性加強,安全咨詢業務的需求也將快速增長。公司尋求可以幫助他們解決問題并滿足公司需求的安全服務,安全咨詢服務交付的主要方式包括合作伙伴關系、外包、SaaS 解決方案和常規服務等。
但是,網絡安全市場的復雜性使一些公司不愿將所有的安全任務都外包出去,市場上的一個變化趨勢是,大公司愿意引入可管理安全服務提供商解決難點和痛點,但并不會全部外包,自主和外包的混合模式將成為主流。
