2019年網絡安全趨勢展望
來源:中國電子政務網 更新時間:2018-12-28
基于詳實數據的網絡安全趨勢分析

即將過去的2018年是令人興奮的一年,我們對這一年里的成果進行了盤點,并對即將到來的2019年進行了展望。充分利用我司團隊在數據與應用安全領域的專業技術,根據全球用戶的反饋進行洞察,我們決定進行一次與以往不同的回顧,并對2019年的三大主流趨勢進行展望。

2018年發生了許多數據與應用安全大事件,據我們預計明年的數據違規規模與頻率將大規模爆發,同時云安全問題將成為全球關注的焦點。下面我們來看一下未來的一年將會發生哪些大趨勢。

數據違規情況嚴峻,將有更多的相關法規及合規政策出臺

違規情況日益嚴峻,更多的相關法規與合規政策將相應出臺。在201 8年美國地區數據違規的平均成本已高于700萬美金。

隨著GDPR、澳大利亞隱私法、泰國新發布的隱私法或土耳其的KVKK等法規的出臺,無論企業身在何地都將受到相關地區、集團或任何個別國家的標準約束。

在過去提到數據違規事件時,美國總是監管最嚴格的國家,但隨著監管架構及后續合規措施逐漸向全球擴展,今后這一情勢將會有所變化。

Imperva

2005年至2018年期間美國每年數據違規事件及數據泄露事件數量(單位:百萬)【來源于Statista】

到2019年,將可以看到全球都將對數據違規情況說不。2019年數據違規將成為全球性話題,不再只局限于美國。

全球都在布防各種網絡安全措施,對數據違規防控都嚴陣以待,那為何還有人要盜取私人數據或信用卡信息呢?如果其它人的個人數據保護都有些許不足,就極容易成為攻擊目標。因而相關法規與合規嚴格的地方會格外重視這類問題。

因此,預計在2019年年底的時候,那些不重視合規或出現嚴重過失的企業將受到監管機構更嚴厲且巨額的罰金。 這也將會為客戶使更多的企業去努力實現合規。

隨著業務向云內延展,是時候管控云風險

麥肯錫報告稱,到2020年,各企業在各類云產品上的開支將高于其在一般IT服務成本六倍以上。據LogicMonitor調查結果顯示,與此同時,所有企業的工作量將有83%都在云上實現。

Imperva

LogicMonitor發布了未來云服務未來趨勢研究報告[Forbes]

各企業將繼續加大數字經濟業務優勢投入,最終將更多的數據都存放在云內。但我們不能在沒有提前規劃的情況下就將業務向云內遷移,需要確認隨著企業發展是否能對數據進行分類,是否會逐漸將業務全部都遷到云上去?

安全團隊需要意識到,隨著數據向云的遷移,他們需要了解云內數據的構成,以及數據的使用者、使用時間與使用目的。可能很多企業還不能在2019年意識到這些問題。但從目前的趨勢來看,將有越來越多的基于云的解決方案推向市場來解決這些問題。

社會工程及擺脫人員短缺困擾的AI與機器學習技術的普及

2019年,最重要的發展方向之一是滿足企業安全團隊日益增高的工作壓力需求,持續提高網絡安全技術水平。Global Information Security Workforce Study表明,到2022年,網絡安全專業人員的缺口將達到180萬,而與此同時,ESG報告稱目前有意從事網絡安全工作的人才占比只有千分之九。

網絡安全技術將利用AI與機器學習填補各技術類別與人員短缺數量間的空白。

企業需雇傭許多(網絡安全、應用安全、數據安全、郵件安全及云安全)專業技術人員來解決網絡安全問題。這些專業技術對企業的安全環境來說至為關鍵。

但問題在于目前缺乏云安全、數據庫安全、應用安全、數據安全或文件安全的專業技術人員。據我們了解,企業都還在采取傳統的方法解決這些問題,例如,安裝更多的防惡意軟件、防病毒軟件及其它用處不大的方案等。有些則會采取AI相關的方法,并嘗試利用相關技術解決所遇到的問題。后者將使得目前客戶單純依賴訂購服務的模式發生轉變。

造成這種情況的原因通常有兩類:一是他們知道自己不是專家,但他們知道哪兒有這方面的專家,就是能夠提供相關解決方案的專業服務提供商。

其次,企業意識到他們將服務遷到云上益處更多,其中一個主要的決定性因素是OpEx (運營開支)而不是CapEx (資本性開支)。實際上訂購云服務還是本地服務并不重要,主要的還是技術人員短缺及成本問題。由于企業需要依靠各種安全服務來解決網絡安全問題,因此2019年安全服務產品的訂購將持續增長。

需要注意的是,雖然越來越多的企業都在轉向基于AI與機器學習的技術來幫助其制定安防策略,但攻擊者們也將利用該技術來攻破企業防線。

特別關注:網絡戰的“滴漏效應”

實際上,各國間相互網絡攻擊的情況時有發生。而我們就生活在這樣的環境里,對這種情況也是無可奈何。而且總有些人想要利用此類情況從中獲利。

他們熱衷于攻擊第三方業務、承包商與金融機構的網絡。這也是為什么網絡安全如此重要的原因,每個人都需要知道可能有人為了獲利(或政治利益或經濟利益)而正在偷盜你的數據。因此,無論目的為何,保護數據安全已經迫在眉睫。

國家間的網絡相互攻擊已經不需要正式宣戰,這場戰爭將永無終止。但我們需要特別注意國家間的網絡相互攻擊帶來的滴漏效應。同時各國政府利用各種復雜手段來打擊網絡犯罪行為,特別是那些攻擊企業與個人的犯罪行為。

慣犯

網絡安全事件層出不窮,任何清單列表都無法羅列出全部犯罪事件,因為還有很多都深藏未知。雖然不是每次攻擊都能得逞,但始終是安全團隊身旁可能隨時引爆的炸彈。

經過2017年的Equifax違規事件后,API安全成為OWASP10大榜首事件。隨著API的普及,越來越多的攻擊都轉向了API,使之面臨巨大攻擊檢測挑戰。我們也可以看到攻擊者們都將API當作一塊大蛋糕,發起各種威脅攻擊,包括暴力破解、APP模擬、釣魚與代碼注入等。

攻擊者們都知道挖礦是獲利最快的途徑,因此持續利用其技術攻擊機器以希望采得加密貨幣或那些能訪問并控制加密錢包的機器。

錢多活少全匿名,且只會對受攻擊者造成巨大危害,這種模式看起來是不是很像勒索軟件?目前來看,這類攻擊還將繼續存在。

如果問2019年將始終占據首位的主題是什么,那一定是威脅情報,這些情報可以幫助我們更好的了解危險所在,并采取相應預防措施。

在談到風險與可接受風險或合理風險間的差別時,許多企業都過于好高騖遠了,他們總是想要解決每一個問題,但最終導致安全團隊被淹沒在海量工作中,進而導致開支不足,而問題還沒有解決完。

可接受的風險并不是“因為我未能阻止攻擊而導致了數據丟失。而是在我采取了某些適當控制措施后,才沒有造成大量數據丟失。而風險之所以能減少是因為我付出了代價。”

可接受的風險是指“我知道發生了什么,我能夠接受發生的事情,但這些情況都在合理范圍之內,這可能是因為我布置了適當策略但針對性不足,這些解決方案未能達到解決風險所需的細粒度,但還在我能接受的風險范圍內。”

因此現在就應該著手控制風險規模與關聯性,逐漸將高風險降至中等風險,或合理風險至可接受風險程度。



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios