天下武功,無堅(jiān)不摧,唯快不破。對于網(wǎng)絡(luò)安全而言,最安全的選擇就是快,不但要比同行跑得快,還要比熊跑得快。這里說的快,不僅僅是對威脅的響應(yīng)速度快,更重要的是安全能力的發(fā)展速度要超過威脅增長速度,在高速變化的威脅態(tài)勢中,僅僅依靠對漏洞縫縫補(bǔ)補(bǔ),或針對隔夜的威脅設(shè)計(jì)一個(gè)刻舟求劍的安全方案已經(jīng)遠(yuǎn)遠(yuǎn)不夠了。
未來十年最好的一年即將翻篇,隨之而來的是新的威脅和趨勢,以下安全牛匯總了 2020 年對網(wǎng)絡(luò)安全的十大預(yù)測,助您第一個(gè)嗅到春天的氣息:
1 勒索軟件變本加厲
睡眠質(zhì)量糟糕已經(jīng)成了全球性的頭號健康問題,但是對于企業(yè) IT 部門來說,勒索軟件就是個(gè)那個(gè)讓你不敢入眠的噩夢。
勒索軟件正變得越來越復(fù)雜。
甚至能夠穿透最先進(jìn)的電子郵件安全解決方案。
將帶來更多破壞性后果。
據(jù)英國一家技術(shù)服務(wù)集團(tuán)發(fā)布的消息,2018 年全球 41% 的企業(yè)遭受過勒索軟件的攻擊,該類攻擊占企業(yè)攻擊的四分之一,有 37% 的企業(yè)受害者都選擇支付了贖款。一些中國企業(yè)已經(jīng)成為勒索軟件的受害者。
2019 年,勒索軟件攻擊不但會更 “滑頭”,而且會更頻繁。
如今,隨著復(fù)雜度和自動化程度的不斷提高,一些勒索軟件攻擊(例如木馬變體)已經(jīng)可以通滲透到最復(fù)雜的電子郵件安全解決方案中。更致命的是,當(dāng)前的電子郵件安全解決方案在勒索軟件攻擊發(fā)生數(shù)小時(shí)后才能察覺,這給攻擊留下了足夠大的時(shí)間窗口。 Emotet 就是一個(gè)典型的例子。這款勒索軟件界的當(dāng)紅炸子雞如此成功的原因之一是:能夠利用特定的目標(biāo)候選列表,導(dǎo)致安全系統(tǒng)需要花費(fèi)更多時(shí)間來檢測它。而且 Emotet 的攻擊能夠不斷改變 IOC,即使最聰明的簽名系統(tǒng)、IDS 和其他傳統(tǒng)安全解決方案也無法足夠快地檢測到它。 如我們所見,勒索軟件攻擊大約每隔一周就會發(fā)生一次。攻擊者不斷開發(fā)出新的樣本庫,其中包含新的混淆和規(guī)避技術(shù),而安全廠商則疲于追趕,很難跟上新的攻擊樣本庫的節(jié)奏。
2 數(shù)據(jù)泄露第一元兇:網(wǎng)絡(luò)釣魚攻擊
一年前,通常認(rèn)為惡意軟件是企業(yè)面臨的最大威脅。隨著我們臨近 2020 年,網(wǎng)絡(luò)釣魚攻擊成為主要問題。
根據(jù) Verizon 2019 DBIR 數(shù)據(jù)泄露報(bào)告的觀點(diǎn),網(wǎng)絡(luò)釣魚是造成數(shù)據(jù)泄露的第一大原因。
如今,企業(yè)提升電子郵件安全性的最大需求就是防范網(wǎng)絡(luò)釣魚攻擊。然而,過去幾年中,網(wǎng)絡(luò)釣魚攻擊變得越來越復(fù)雜,即使是最專業(yè)的專業(yè)人員也無法檢測到所有攻擊。暗網(wǎng)上提供五花八門的網(wǎng)絡(luò)釣魚工具包以及用以實(shí)施針對性攻擊的賬號列表,網(wǎng)絡(luò)釣魚攻擊的數(shù)量和復(fù)雜性可謂每日劇增。 此外,網(wǎng)絡(luò)釣魚攻擊的后果變得更加嚴(yán)重。數(shù)據(jù)泄露,財(cái)務(wù)欺詐和網(wǎng)絡(luò)釣魚攻擊的其他后果可能對各種規(guī)模的組織造成可怕的后果。今年早些時(shí)候聯(lián)邦調(diào)查局發(fā)布的《互聯(lián)網(wǎng)犯罪報(bào)告》發(fā)現(xiàn),BEC(商業(yè)電子郵件攻擊)在 2018 年共計(jì)造成了 13 億美元的損失——這一數(shù)字遠(yuǎn)超于五年前的 6000 萬美元。另一項(xiàng)調(diào)查則顯示 2018 年大約 35% 的 CEO 和 CFO 受到過鯨釣攻擊。 可以說,檢測和阻止網(wǎng)絡(luò)釣魚攻擊,尤其是通過電子郵件發(fā)起的釣魚/釣鯨攻擊,將是2019年企業(yè)安全的最大剛需之一。
3 縮短反射弧,提高威脅感知速度
數(shù)據(jù)驅(qū)動的安全解決方案要花費(fèi)數(shù)小時(shí)才能檢測到前所未有的威脅。
這也是攻擊的最危險(xiǎn)時(shí)段。
組織對這種等待時(shí)間的容忍度將越來越低。
從惡意攻擊發(fā)起到被檢測到之前的這段時(shí)間,是攻擊造成最大破壞性的窗口時(shí)段。目前即使是最復(fù)雜的安全解決方案,通常也要花費(fèi)幾個(gè)小時(shí)(甚至更長的時(shí)間)才能檢測到新的、前所未有的攻擊,因此對企業(yè)來說,攻擊發(fā)起的最初幾個(gè)小時(shí)內(nèi)的風(fēng)險(xiǎn)極大。
如何大幅縮短企業(yè)安全系統(tǒng)的 “反射弧”,提高對未知威脅的感知速度,將是 2020 年企業(yè)和安全業(yè)界面臨的關(guān)鍵挑戰(zhàn)。
4 企業(yè)網(wǎng)絡(luò)協(xié)作平臺和移動端成為攻擊對象
越來越多的攻擊者將嘗試?yán)镁W(wǎng)盤、即時(shí)通訊和企業(yè)協(xié)作平臺。
因?yàn)橛脩敉鶗患偎妓鞯匦湃纹髽I(yè)協(xié)作平臺,攻擊者將充分利用這一點(diǎn)。
BYOD 風(fēng)險(xiǎn)加大,APT 攻擊開始熱衷移動端。
隨著企業(yè)數(shù)字化轉(zhuǎn)型、敏捷組織和去中心化組織的流行,企業(yè)協(xié)作服務(wù)市場呈爆炸式增長。用戶越來越多地使用釘釘、Slack、微軟 OneDrive 等工具進(jìn)行協(xié)作。雖然這些工具對于提高生產(chǎn)率效果顯著,但對企業(yè)安全專業(yè)人員則意味著嚴(yán)峻挑戰(zhàn)。
企業(yè)協(xié)作服務(wù)將受到不斷的攻擊,頻率、復(fù)雜性和隱秘性也將不斷提高,可能造成的風(fēng)險(xiǎn)和潛在損失也將不斷增加。
此外,移動端植入如今已成為很多 APT 團(tuán)伙的基本操作,移動端的零日漏洞價(jià)格也是水漲船高,行情一路看漲。今年 9 月份,零日漏洞交易服務(wù)商 Zerodium 發(fā)布的數(shù)據(jù)顯示,Android 零日漏洞的價(jià)格首次超過了 iOS。該公司目前給 “零點(diǎn)擊”(無需被攻擊者進(jìn)行任何手機(jī)操作)Android 零日漏洞開出的價(jià)格高達(dá) 250 萬美元,遠(yuǎn)遠(yuǎn)超過了此前 iOS 越獄漏洞創(chuàng)下的 200 萬美元的最高收購價(jià)格。
5 BAS亟待實(shí)現(xiàn)攻擊面的全覆蓋
根據(jù) Gartner 的說法,大多數(shù)威脅仍然始于電子郵件渠道。
電子郵件傳遞涉及 94% 的惡意軟件檢測,2018 年造成的損失超過12億美元。
突破和攻擊模擬 (BAS) 工具通過模擬網(wǎng)絡(luò)攻擊來測試網(wǎng)絡(luò)的防御能力,但電子郵件的 BAS 尚未成為主流。
客戶希望 BAS 供應(yīng)商將其解決方案擴(kuò)展到整個(gè)攻擊面,提供更全面的解決方案。由于電子郵件依然是一種流行的攻擊媒介,BAS 供應(yīng)商們很可能優(yōu)先將電子郵件作為其 BAS 解決方案的一部分進(jìn)行覆蓋。
6 CMMC風(fēng)頭蓋過ISO 27001、SOC 2和HTIRUST等老牌安全認(rèn)證
美國國防部即將于 2020 年 1 月份發(fā)布的 CMMC(安全成熟度模型認(rèn)證)被不少業(yè)界人士看好,有望成為風(fēng)頭蓋過 ISO27001、SOC2 等老牌安全認(rèn)證的熱門認(rèn)證。CMMC 最初的合規(guī)對象是美國 20 萬家國防工業(yè)企業(yè),包括波音、雷神這樣的行業(yè)巨頭,并覆蓋整個(gè)供應(yīng)鏈上的大大小小的 IT 供應(yīng)商和子承包商。簡單來說,CMMC 就是美國國防部用來對 NIST800-171 和規(guī)范圍內(nèi)企業(yè)進(jìn)行第三方獨(dú)立審計(jì)的一套方法。 CMMC 采取以數(shù)據(jù)為中心的安全評估方法,重點(diǎn)放在 CUI 在系統(tǒng)、應(yīng)用程序或服務(wù)的整個(gè)生命周期中的存儲,傳輸和處理。這超越了 ISO 27001,SOC 2 或 HITRUST 面向流程的評估方法,這些方法評估的是現(xiàn)有的內(nèi)部風(fēng)險(xiǎn)管控機(jī)制,而 CMMC 的成熟度標(biāo)準(zhǔn)覆蓋了敏感數(shù)據(jù)生命周期、技術(shù)基礎(chǔ)架構(gòu)乃至整個(gè)供應(yīng)鏈的人員、流程和技術(shù)。
如果你對 CMMC 的了解還不多,那么需要抓緊時(shí)間了,因?yàn)?CMMC 很有可能成為成為全球企業(yè)信息安全認(rèn)證的下一個(gè) “黃金標(biāo)準(zhǔn)”。
7 物聯(lián)網(wǎng)安全法蓄勢待發(fā)
由于在技術(shù)標(biāo)準(zhǔn)的生命周期早期沒有充分考慮信息安全問題,以及產(chǎn)品技術(shù)和產(chǎn)業(yè)的高度碎片化,物聯(lián)網(wǎng) IoT 安全問題顯得尤為棘手。
2020 年 1 月,全球首部物聯(lián)網(wǎng)安全法將在美國加利福尼亞州啟動實(shí)施。對于全球物聯(lián)網(wǎng)產(chǎn)業(yè)和監(jiān)管部門來說,加州物聯(lián)網(wǎng)安全法贏得了極大的關(guān)注度,但遺憾的是,該法律尚未實(shí)施就已經(jīng)暴露出不少潛在問題。例如,加州物聯(lián)網(wǎng)安全法依據(jù)的 CIS 20 并非專門針對物聯(lián)網(wǎng)設(shè)備,導(dǎo)致對物聯(lián)網(wǎng)設(shè)備范圍定義模糊,而且違規(guī)認(rèn)定和處罰方面的條款都非常模糊,企業(yè)合規(guī)困難。 但即便問題纏身,面對迫在眉睫的物聯(lián)網(wǎng) “安全原罪”,2020 年將有越來越多的國家開始擬訂或發(fā)布類似法規(guī)。此外,諸如歐盟《通用數(shù)據(jù)保護(hù)法規(guī)》和《加利福尼亞消費(fèi)者隱私法》也強(qiáng)調(diào)了 IoT 設(shè)備中隱私和安全性的重要性。隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的增加和更多政府法規(guī)的出臺,數(shù)據(jù)隱私和安全性成為推動物聯(lián)網(wǎng)解決方案發(fā)展的重中之重。
8 GDPR罰款機(jī)開始大規(guī)模“收割韭菜”
就數(shù)據(jù)泄露的嚴(yán)重性而言,根據(jù) RBS 的 2019 數(shù)據(jù)泄露年中報(bào)告,2019 年是過去十年最糟糕的一年,也會是未來十年最好的一年。2019 年上半年數(shù)據(jù)泄露事件同比暴增 54%,半年間累計(jì)發(fā)生 3800 起數(shù)據(jù)泄露事件,超過 40 億條消費(fèi)者個(gè)人和財(cái)務(wù)數(shù)據(jù)被暴露。 GDPR 這臺巨型聯(lián)合罰款機(jī),剛剛完成熱車,它會有多殘暴?誰會被收割?2019 年 Facebook 面臨的 20 億美元罰單,英國航空(2.3億美元)、萬豪國際和 Uber 的整改和罰款,都只是牛刀小試,但也足以讓大量非歐盟跨國企業(yè)們虎軀一震。對于擁有海外業(yè)務(wù)的企業(yè)安全專業(yè)人士和管理人員來說,如果不能盡快從 2019 已經(jīng)發(fā)生的大大小小的GDPR合規(guī)案例中汲取經(jīng)驗(yàn),那么 2020 年將會是腥風(fēng)血雨的一年。
以英國航空(官網(wǎng)的第三方供應(yīng)商腳本被改裝成信用卡盜卡器)和 Uber 為例,英國航空現(xiàn)在面臨的整改包括:實(shí)施定期安全審查,代碼分析和惡意軟件檢測技術(shù)和審查,并加密敏感數(shù)據(jù)。此外,英國航空還必須在整個(gè)數(shù)據(jù)收集過程中增加額外的控制,從表單到付款提交,包括第三方合作伙伴,以及更積極地監(jiān)控和響應(yīng)外部威脅環(huán)境。
Uber 的整改工作包括但不限于:強(qiáng)制實(shí)踐包括用于訪問 AWS S3 服務(wù)器的 IP 過濾系統(tǒng),要求工程師使用 2FA 連接到 GitHub,而不是以純文本格式存儲這些憑據(jù)。
9 工控安全:OT安全需求大增
OT(運(yùn)營技術(shù))的網(wǎng)絡(luò)安全已經(jīng)變得越來越重要,這在一定程度上要 “歸功于” 安全儀表系統(tǒng)已成為攻擊目標(biāo)。霍尼韋爾的 Mirel Sehic 預(yù)計(jì),隨著越來越多的 OT 環(huán)境采用數(shù)字化技術(shù),這一趨勢將在 2020 年加速。
OT 市場目前還處于早期階段,從安全角度來看,OT 正處于 10 年前 IT 的發(fā)展階段。十年前,為 IT 環(huán)境尋找匹配的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)非常困難。網(wǎng)絡(luò)專業(yè)人員可以查找 NIST 指南,但是針對各種特定工業(yè)環(huán)境的垂直指南卻少得可憐。
這導(dǎo)致以 OT 為中心的組織(例如西門子的 Charter of Trust 和非營利的 MITER Engenuity 威脅情報(bào)防御中心)開始 “吃香”。2020 年將有更多工控企業(yè)以 OT 網(wǎng)絡(luò)標(biāo)準(zhǔn)為重點(diǎn)。
事實(shí)上,OT 比 IT 安全更難。因?yàn)楝F(xiàn)實(shí)中,隨著操作系統(tǒng)的整合,各種臺式機(jī)、筆記本電腦和服務(wù)器沒有太大不同,但是 Rockwell PLC 和 Honeywell 制造系統(tǒng)之間的差異卻是巨大的。
值得欣慰的是,以 OT 為中心的安全標(biāo)準(zhǔn)(例如 ISA / IEC 62443 和歐洲網(wǎng)絡(luò)指令)以及來自 NIST,NERC,SANS 和 CIS 的框架正在增多。2020 年,更多采用這些框架和標(biāo)準(zhǔn)能夠降低網(wǎng)絡(luò)風(fēng)險(xiǎn),但同時(shí)也增加工控網(wǎng)絡(luò)的安全成本和復(fù)雜性。考慮到目前 OT 安全標(biāo)準(zhǔn)和框架尚處于驗(yàn)證階段,企業(yè)往往會評估采用多個(gè)框架,從而進(jìn)一步增加成本和復(fù)雜性。
10 安全咨詢和可管理安全(托管)服務(wù)市場激增
近年來,越來越多的公司放棄了完全自主的安全管理。根據(jù)肯尼斯研究 (Kenneth Research) 的研究報(bào)告,可管理安全服務(wù)是安全市場中增速較高的領(lǐng)域,每年增速達(dá)到 15%。
報(bào)告認(rèn)為 2020 年可管理安全服務(wù)市場的增長將提速。很多數(shù)字化轉(zhuǎn)型中的企業(yè)很難找到足夠的安全人才應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全問題,這促使他們將目光投向可管理安全服務(wù)。
報(bào)告還預(yù)計(jì),隨著企業(yè)對技術(shù)的依賴性加強(qiáng),安全咨詢業(yè)務(wù)的需求也將快速增長。公司尋求可以幫助他們解決問題并滿足公司需求的安全服務(wù),安全咨詢服務(wù)交付的主要方式包括合作伙伴關(guān)系、外包、SaaS 解決方案和常規(guī)服務(wù)等。
但是,網(wǎng)絡(luò)安全市場的復(fù)雜性使一些公司不愿將所有的安全任務(wù)都外包出去,市場上的一個(gè)變化趨勢是,大公司愿意引入可管理安全服務(wù)提供商解決難點(diǎn)和痛點(diǎn),但并不會全部外包,自主和外包的混合模式將成為主流。
評論
查看更多