2020年十大网络安全趋势预测

2019 年是曩昔十年最糟糕的一年，也或者会是将来十年最好的一年。

世界武功，无坚不摧，唯快不破。对于收集平安而言，最平安的选择就是快，不只要比同业跑得快，还要比熊跑得快。这里说的快，不光仅是对威胁的响应速度快，更主要的是平安能力的成长速度要跨越威胁增进速度，在高速转变的威胁态势中，仅仅依靠对破绽缝缝补补，或针对隔夜的威胁设计一个缘木求鱼的平安方案已经远远不敷了。将来十年最好的一年即将翻篇，随之而来的是新的威胁和趋势，以下平安牛汇总了 2020 年对收集平安的十大展望，助您第一个嗅到春天的气息：

睡眠质量糟糕已经成了全球性的头号健康问题，然则对于企业 IT 部门来说，勒索软件就是个谁人让你不敢入眠的恶梦。

勒索软件正变得越来越复杂。

甚至可以穿透最进步的电子邮件平安解决方案。

将带来更多损坏性后果。

据英国一家手艺办事集体发布的新闻，2018 年全球 41% 的企业蒙受过勒索软件的冲击，该类冲击占企业冲击的四分之一，有 37% 的企业受害者都选择支出了赎款。一些中国企业已经成为勒索软件的受害者。

2019 年，勒索软件冲击不只会更 “狡徒”，并且会更频仍。

现在，跟着复杂度和主动化水平的络续提高，一些勒索软件冲击（例如木马变体）已经能够通渗透到最复杂的电子邮件平安解决方案中。更致命的是，当前的电子邮件平安解决方案在勒索软件冲击发生数小时后才能察觉，这给冲击留下了充沛大的时间窗口。

Emotet 就是一个典型的例子。这款勒索软件界的当红炸子鸡如斯成功的原因之一是：可以行使特定的方针候选列表，导致平安系统需要破费更多时间来检测它。并且 Emotet 的冲击可以络续改变 IOC，即使最伶俐的签名系统、IDS 和其他传统平安解决方案也无法充沛快地检测到它。

如我们所见，勒索软件冲击大约每隔一周就会发生一次。冲击者络续斥地出新的样本库，个中包含新的搅浑和规避手艺，而平安厂商则疲于追赶，很难跟上新的冲击样本库的节奏。

一年前，平日认为恶意软件是企业面临的最大威胁。跟着我们临近 2020 年，收集垂纶冲击成为首要问题。

凭据 Verizon 2019 DBIR 数据泄露申报的概念，收集垂纶是造成数据泄露的第一大原因。

现在，企业提拔电子邮件平安性的最大需求就是提防收集垂纶冲击。然而，曩昔几年中，收集垂纶冲击变得越来越复杂，即使是最专业的专业人员也无法检测到所有冲击。暗网上供应八门五花的收集垂纶对象包以及用以实施针对性冲击的账号列表，收集垂纶冲击的数量和复杂性可谓每日剧增。

此外，收集垂纶冲击的后果变得加倍严重。数据泄露，财务欺诈和收集垂纶冲击的其他后果或者对各类规模的组织造成恐怖的后果。本年早些时候联邦查询局发布的《互联网犯罪申报》发现，BEC（贸易电子邮件冲击）在 2018 年共计造成了 13 亿美元的损失——这一数字远超于五年前的 6000 万美元。另一项查询则显露 2018 年大约 35% 的 CEO 和 CFO 受到过鲸钓冲击。

能够说，检测和阻止收集垂纶冲击，尤其是经由电子邮件提议的垂纶/钓鲸冲击，将是2019年企业平安的最大刚需之一。

数据驱动的平安解决方案要破费数小时才能检测到空前未有的威胁。

这也是冲击的最危险时段。

组织对这种守候时间的容忍度将越来越低。

从恶意冲击提议到被检测到之前的这段时间，是冲击造成最大损坏性的窗口时段。今朝即使是最复杂的平安解决方案，平日也要破费几个小时（甚至更长的时间）才能检测到新的、空前未有的冲击，是以对企业来说，冲击提议的最初几个小时内的风险极大。

若何大幅缩短企业平安系统的 “反射弧”，提高对未知威胁的感知速度，将是 2020 年企业和平安业界面临的要害挑战。

越来越多的冲击者将测验行使网盘、即时通信和企业协作..。

因为用户往往会不假思索地信任企业协作..，冲击者将充裕行使这一点。

BYOD 风险加大，APT 冲击起头热衷移动端。

跟着企业数字化转型、迅速组织和去中心化组织的风行，企业协作办事市场呈爆炸式增进。用户越来越多地使用钉钉、Slack、微软 OneDrive 等对象进行协作。固然这些对象对于提高生产率结果显著，但对企业平安专业人员则意味着严重挑战。

企业协作办事将受到络续的冲击，频率、复杂性和隐秘性也将络续提高，或者造成的风险和潜在损失也将络续增加。

此外，移动端植入现在已成为好多 APT 团伙的根基把持，移动端的零日破绽价钱也是水涨船高，行情一路看涨。本年 9 月份，零日破绽生意办事商 Zerodium 发布的数据显露，Android 零日破绽的价钱首次跨越了 iOS。该公司今朝给 “零点击”（无需被冲击者进行任何手机把持）Android 零日破绽开出的价钱高达 250 万美元，远远跨越了此前 iOS 逃狱破绽创下的 200 万美元的最高收购价钱。

凭据 Gartner 的说法，大多数威胁仍然始于电子邮件渠道。

电子邮件传递涉及 94％ 的恶意软件检测，2018 年造成的损失跨越12亿美元。

冲破和冲击模拟 (BAS) 对象经由模拟收集冲击来测试收集的防御能力，但电子邮件的 BAS 尚未成为主流。

客户进展 BAS 供给商将其解决方案扩展到整个冲击面，供应更周全的解决方案。因为电子邮件依然是一种风行的冲击序言，BAS 供给商们很或者优先将电子邮件作为其 BAS 解决方案的一部门进行笼盖。

美国国防部即将于 2020 年 1 月份发布的 CMMC（平安成熟度模型认证）被不少业界人士看好，有望成为风头盖过 ISO27001、SOC2 等老牌平安认证的热点认证。CMMC 最初的合规对象是美国 20 万家国防工业企业，包罗波音、雷神如许的行业巨头，并笼盖整个供给链上的大巨细小的 IT 供给商和子承包商。简洁来说，CMMC 就是美国国防部用来对 NIST800-171 和规局限内企业进行第三方自力审计的一套方式。

CMMC 接纳以数据为中心的平安评估方式，重点放在 CUI 在系统、应用法式或办事的整个生命周期中的存储，传输和处理。这超越了 ISO 27001，SOC 2 或 HITRUST 面向流程的评估方式，这些方式评估的是现有的内部风险管控机制，而 CMMC 的成熟度尺度笼盖了敏感数据生命周期、手艺根蒂架构甚至整个供给链的人员、流程和手艺。

若是你对 CMMC 的认识还不多，那么需要抓紧时间了，因为 CMMC 很有或者成为成为全球企业信息平安认证的下一个 “黄金尺度”。

因为在手艺尺度的生命周期早期没有充裕考虑信息平安问题，以及产物手艺和财富的高度碎片化，物联网 IoT 平安问题显得尤为棘手。

2020 年 1 月，全球首部物联网平安法将在美国加利福尼亚州启动实施。对于全球物联网财富和监管部门来说，加州物联网平安法博得了极大的存眷度，但遗憾的是，该司法尚未实施就已经露出出不少潜在问题。例如，加州物联网平安法依据的 CIS 20 并非专门针对物联网设备，导致对物联网设备局限界说恍惚，并且违规认定和惩罚方面的条目都非常恍惚，企业合规难题。

但尽量问题缠身，面临迫在眉睫的物联网 “平安原罪”，2020 年将有越来越多的国度起头订定或发布雷同律例。此外，诸如欧盟《通用数据珍爱律例》和《加利福尼亚消费者隐私法》也强调了 IoT 设备中隐私和平安性的主要性。跟着物联网设备数量的增加和更多当局律例的出台，数据隐私和平安性成为鞭策物联网解决方案成长的重中之重。

就数据泄露的严重性而言，凭据 RBS 的 2019 数据泄露年中申报，2019 年是曩昔十年最糟糕的一年，也会是将来十年最好的一年。2019 年上半年数据泄露事件同比暴增 54%，半年间累计发生 3800 起数据泄露事件，跨越 40 亿条消费者小我和财务数据被露出。

GDPR 这台巨型结合罚款机，方才完成热车，它会有多残暴？谁会被收割？2019 年 Facebook 面临的 20 亿美元罚单，英国航空（2.3亿美元）、万豪国际和 Uber 的整改和罚款，都只是牛刀小试，但也足以让大量非欧盟跨国企业们虎躯一震。对于拥有国外买卖的企业平安专业人士和治理人员来说，若是不克尽快从 2019 已经发生的大巨细小的GDPR合规案例中吸取经验，那么 2020 年将会是腥风血雨的一年。

以英国航空（官网的第三方供给商剧本被改装成信用卡盗卡器）和 Uber 为例，英国航空如今面临的整改包罗：实施按期平安审查，代码剖析和恶意软件检测手艺和审查，并加密敏感数据。此外，英国航空还必需在整个数据收集过程中增加额外的掌握，从表单到付款提交，包罗第三方合作伙伴，以及更积极地监控和响应外部威胁情况。

Uber 的整改工作包罗但不限于：强制实践包罗用于接见 AWS S3 办事器的 IP 过滤系统，要求工程师使用 2FA 保持到 GitHub，而不是以纯文本花样存储这些凭证。

OT（运营手艺）的收集平安已经变得越来越主要，这在必然水平上要 “归功于” 平安仪表系统已成为冲击方针。霍尼韦尔的 Mirel Sehic 估计，跟着越来越多的 OT 情况采用数字化手艺，这一趋势将在 2020 年加快。

OT 市场今朝还处于早期阶段，从平安角度来看，OT 正处于 10 年前 IT 的成长阶段。十年前，为 IT 情况寻找成家的收集平安尺度非常难题。收集专业人员能够查找 NIST 指南，然则针对各类特定工业情况的垂直指南却少得可怜。

这导致以 OT 为中心的组织（例如西门子的 Charter of Trust 和非营利的 MITER Engenuity 威胁谍报防御中心）起头 “吃香”。2020 年将有更多工控企业以 OT 收集尺度为重点。

事实上，OT 比 IT 平安更难。因为实际中，跟着把持系统的整合，各类台式机、笔记本电脑和办事器没有太大分歧，然则 Rockwell PLC 和 Honeywell 制造系统之间的差别倒是伟大的。

值得欣慰的是，以 OT 为中心的平安尺度（例如 ISA / IEC 62443 和欧洲收集指令）以及来自 NIST，NERC，SANS 和 CIS 的框架正在增多。2020 年，更多采用这些框架和尺度可以降低收集风险，但同时也增加工控收集的平安成本和复杂性。考虑到今朝 OT 平安尺度和框架尚处于验证阶段，企业往往会评估采用多个框架，从而进一步增加成本和复杂性。