2020年網(wǎng)絡(luò)安全趨勢預(yù)測

常莽

對于網(wǎng)絡(luò)安全而言，最安全的選擇就是快，這里說的快，不僅是對威脅的響應(yīng)速度快，更重要的是安全能力的發(fā)展速度要超過威脅增長速度，在高速變化的威脅態(tài)勢中，僅依靠對漏洞縫縫補補，或針對隔夜的威脅設(shè)計一個刻舟求劍的安全方案已經(jīng)遠遠不夠，以下是2020年對網(wǎng)絡(luò)安全的十大預(yù)測。

1勒索軟件變本加厲

睡眠質(zhì)量糟糕已經(jīng)成了全球性的頭號健康問題，但是對于企業(yè)IT部門來說，勒索軟件就是個那個讓你不敢入眠的噩夢。勒索軟件正變得越來越復(fù)雜，甚至能夠穿透最先進的電子郵件安全解決方案，帶來更多破壞性后果。

據(jù)英國一家技術(shù)服務(wù)集團發(fā)布的消息，2018年全球41 %的企業(yè)遭受過勒索軟件的攻擊，該類攻擊占企業(yè)攻擊的四分之一，有37 %的企業(yè)受害者都選擇支付了贖款，一些中國企業(yè)也成為勒索軟件的受害者。

2019年，勒索軟件攻擊不但會更“滑頭”，而且會更頻繁。

如今，隨著復(fù)雜度和自動化程度的不斷提高，一些勒索軟件攻擊（例如木馬變體）已經(jīng)可以滲透到最復(fù)雜的電子郵件安全解決方案中。更致命的是，當前的電子郵件安全解決方案在勒索軟件攻擊發(fā)生數(shù)小時后才能察覺，這給攻擊留下了足夠大的時間窗口。Emotet就是一個典型的例子。這款勒索軟件如此“成功”的原因之一是：能夠利用特定的目標候選列表，導(dǎo)致安全系統(tǒng)需要花費更多時間來檢測它。而且Emotet的攻擊能夠不斷改變IOC，即使最聰明的簽名系統(tǒng)、IDS和其他傳統(tǒng)安全解決方案也無法足夠快地檢測到它。如我們所見，勒索軟件攻擊大約每隔一周就會發(fā)生一次，攻擊者不斷開發(fā)出新的樣本庫，其中包含新的混淆和規(guī)避技術(shù)，而安全廠商則疲于追趕，很難跟上新攻擊樣本庫的節(jié)奏。

2數(shù)據(jù)泄露第一元兇：網(wǎng)絡(luò)釣魚攻擊

一年前，通常認為惡意軟件是企業(yè)面臨的最大威脅，到了2020年，網(wǎng)絡(luò)釣魚攻擊成為主要問題。

根據(jù)Verizon 2019 DBIR數(shù)據(jù)泄露報告的觀點，網(wǎng)絡(luò)釣魚是造成數(shù)據(jù)泄露的第一大原因。

如今，企業(yè)提升電子郵件安全性的最大需求就是防范網(wǎng)絡(luò)釣魚攻擊。然而，過去幾年中，網(wǎng)絡(luò)釣魚攻擊變得越來越復(fù)雜，即使是最專業(yè)的人員也無法檢測到所有攻擊。暗網(wǎng)上提供五花八門的網(wǎng)絡(luò)釣魚工具包以及用以實施針對性攻擊的賬號列表，網(wǎng)絡(luò)釣魚攻擊的數(shù)量和復(fù)雜性可謂每日劇增。此外，網(wǎng)絡(luò)釣魚攻擊的后果變得更加嚴重。數(shù)據(jù)泄露，財務(wù)欺詐和網(wǎng)絡(luò)釣魚攻擊的其他后果可對各種規(guī)模的組織造成可怕的后果。2019年早些時候聯(lián)邦調(diào)查局發(fā)布的《互聯(lián)網(wǎng)犯罪報告》發(fā)現(xiàn)，商業(yè)電子郵件攻擊（BEC）在2018年共計造成了13億美元的損失———這一數(shù)字遠超5年前的6 000萬美元。另一項調(diào)查則顯示2018年大約35 %的CEO和CFO受到過鯨釣攻擊?？梢哉f，檢測和阻止網(wǎng)絡(luò)釣魚攻擊，尤其是通過電子郵件發(fā)起的釣魚/釣鯨攻擊，將是2019年企業(yè)安全的最大剛需之一。

3縮短反射弧，提高威脅感知速度

數(shù)據(jù)驅(qū)動的安全解決方案要花費數(shù)小時才能檢測到前所未有的威脅，這也是攻擊的最危險時段。組織對這種等待時間的容忍度將越來越低，從惡意攻擊發(fā)起到被檢測到之前的這段時間，是攻擊造成最大破壞性的窗口時段。目前即使是最復(fù)雜的安全解決方案，通常也要花費幾個小時（甚至更長的時間）才能檢測到新的、前所未有的攻擊，因此對企業(yè)來說，攻擊發(fā)起的最初幾個小時內(nèi)的風險極大。

如何大幅縮短企業(yè)安全系統(tǒng)的“反射弧”，提高對未知威脅的感知速度，將是2020年企業(yè)和安全業(yè)界面臨的關(guān)鍵挑戰(zhàn)。

4企業(yè)網(wǎng)絡(luò)協(xié)作平臺和移動端成為攻擊對象

越來越多的攻擊者嘗試利用網(wǎng)盤、即時通訊和企業(yè)協(xié)作平臺，因為用戶往往會不假思索地信任企業(yè)協(xié)作平臺，攻擊者將充分利用這一點，BYOD風險加大，APT攻擊開始熱衷移動端。

隨著企業(yè)數(shù)字化轉(zhuǎn)型、敏捷組織和去中心化組織的流行，企業(yè)協(xié)作服務(wù)市場呈爆炸式增長。用戶越來越多地使用《釘釘》Slack和《微軟OneDrive》等工具進行協(xié)作。雖然這些工具提高生產(chǎn)率效果顯著，但對企業(yè)安全專業(yè)人員則意味著嚴峻挑戰(zhàn)。企業(yè)協(xié)作服務(wù)將受到不斷的攻擊，頻率、復(fù)雜性和隱秘性也將不斷提高，可能造成的風險和潛在損失也將不斷增加。

此外，移動端植入如今已成為很多APT團伙的基本操作，移動端的零日漏洞價格也是水漲船高，行情一路看漲。根據(jù)2019年9月份，零日漏洞交易服務(wù)商Zerodium發(fā)布的數(shù)據(jù)顯示，Android零日漏洞的價格首次超過了iOS。該公司目前給“零點擊”（無需被攻擊者進行任何手機操作）Android零日漏洞開出的價格高達250萬美元，遠遠超過此前iOS越獄漏洞創(chuàng)下的200萬美元最高收購價格。

5突破和攻擊模擬亟待實現(xiàn)攻擊面的全覆蓋

根據(jù)Gartner的說法，大多數(shù)威脅仍然始于電子郵件渠道。電子郵件傳遞涉及94%的惡意軟件檢測，2018年造成的損失超過12億美元。

BAS工具通過模擬網(wǎng)絡(luò)攻擊來測試網(wǎng)絡(luò)的防御能力，但電子郵件的BAS尚未成為主流?？蛻粝Ｍ鸅AS供應(yīng)商將其解決方案擴展到整個攻擊面，提供更全面的解決方案。由于電子郵件依然是一種流行的攻擊媒介，BAS供應(yīng)商們很可能優(yōu)先將電子郵件作為其BAS解決方案的一部分進行覆蓋。

6安全成熟度模型認證風頭蓋過ISO 27001、SOC 2和HTIRUST等老牌安全認證

美國國防部于2020年1月份發(fā)布的安全成熟度模型認證（CMMC）被不少業(yè)界人士看好，有望成為蓋過ISO27001、SOC2等老牌安全認證的熱門認證。CMMC最初的合規(guī)對象是美國20萬家國防工業(yè)企業(yè)，包括波音、雷神這樣的行業(yè)巨頭，并覆蓋整個供應(yīng)鏈上的大大小小的IT供應(yīng)商和子承包商。簡單來說，CMMC就是美國國防部用來對NIST800-171和規(guī)范圍內(nèi)企業(yè)進行第三方獨立審計的一套方法。CMMC采取以數(shù)據(jù)為中心的安全評估方法，重點放在CUI在系統(tǒng)、應(yīng)用程序或服務(wù)的整個生命周期中的存儲，傳輸和處理。這超越了ISO 27001，SOC 2或

HITRUST面向流程的評估方法，這些方法評估的是現(xiàn)有的內(nèi)部風險管控機制，而CMMC的成熟度標準覆蓋了敏感數(shù)據(jù)生命周期、技術(shù)基礎(chǔ)架構(gòu)乃至整個供應(yīng)鏈的人員、流程和技術(shù)。

如果對CMMC的了解還不多，那么需要抓緊時間了，因為CMMC很有可能成為成為全球企業(yè)信息安全認證的下一個“黃金標準”。

7物聯(lián)網(wǎng)安全法蓄勢待發(fā)

由于在技術(shù)標準的生命周期早期沒有充分考慮信息安全問題，以及產(chǎn)品技術(shù)和產(chǎn)業(yè)的高度碎片化，物聯(lián)網(wǎng)IoT安全問題顯得尤為棘手。

2020年1月，全球首部物聯(lián)網(wǎng)安全法將在美國加利福尼亞州啟動實施。對于全球物聯(lián)網(wǎng)產(chǎn)業(yè)和監(jiān)管部門來說，加州物聯(lián)網(wǎng)安全法贏得了極大的關(guān)注度，但遺憾的是，該法律尚未實施就已經(jīng)暴露出不少潛在問題。例如，加州物聯(lián)網(wǎng)安全法依據(jù)的CIS 20并非專門針對物聯(lián)網(wǎng)設(shè)備，導(dǎo)致對物聯(lián)網(wǎng)設(shè)備范圍定義模糊，而且違規(guī)認定和處罰方面的條款都非常模糊，企業(yè)合規(guī)困難。但即便問題纏身，面對迫在眉睫的物聯(lián)網(wǎng)“安全原罪”，2020年將有越來越多的國家開始擬訂或發(fā)布類似法規(guī)。此外，諸如歐盟《通用數(shù)據(jù)保護法規(guī)》和《加利福尼亞消費者隱私法》也強調(diào)了IoT設(shè)備中隱私和安全性的重要性。隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的增加和更多政府法規(guī)的出臺，數(shù)據(jù)隱私和安全性成為推動物聯(lián)網(wǎng)解決方案發(fā)展的重中之重。

8 GDPR罰款機開始大規(guī)?！笆崭罹虏恕?/p>

就數(shù)據(jù)泄露的嚴重性而言，根據(jù)RBS的2019數(shù)據(jù)泄露年中報告，2019年是過去10年最糟糕的一年，也會是未來10年最好的一年。2019年上半年數(shù)據(jù)泄露事件同比暴增54 %，半年間累計發(fā)生3 800起數(shù)據(jù)泄露事件，超過40億條消費者個人和財務(wù)數(shù)據(jù)被暴露。GDPR這臺巨型聯(lián)合罰款機，剛剛完成熱車，它會有多殘暴？誰會被收割？2019年Facebook面臨的20億美元罰單，英國航空（2.3億美元）、萬豪國際和Uber的整改和罰款，都只是牛刀小試，但也足以讓大量非歐盟跨國企業(yè)們“虎軀一震”。對于擁有海外業(yè)務(wù)的企業(yè)安全專業(yè)人士和管理人員來說，如果不能盡快從2019已經(jīng)發(fā)生的大大小小的GDPR合規(guī)案例中汲取經(jīng)驗，那么2020年將會是腥風血雨的一年。

9工控安全：運營技術(shù)安全需求大增

運營技術(shù)（OT）的網(wǎng)絡(luò)安全已經(jīng)變得越來越重要，這在一定程度上要“歸功于”安全儀表系統(tǒng)已成為攻擊目標?；裟犴f爾的Mirel Sehic預(yù)計，隨著越來越多的OT環(huán)境采用數(shù)字化技術(shù)，這一趨勢將在2020年加速。

OT市場目前還處于早期階段，從安全角度來看，OT正處于10年前IT的發(fā)展階段。10年前，為IT環(huán)境尋找匹配的網(wǎng)絡(luò)安全標準非常困難。網(wǎng)絡(luò)專業(yè)人員可以查找NIST指南，但是針對各種特定工業(yè)環(huán)境的垂直指南卻少得可憐。

這導(dǎo)致以O(shè)T為中心的組織（例如西門子的Charter of Trust和非營利的MITER Engenuity威脅情報防御中心）開始“吃香”。

2020年將有更多工控企業(yè)以O(shè)T網(wǎng)絡(luò)標準為重點。

事實上，OT比IT安全更難。因為現(xiàn)實中，隨著操作系統(tǒng)的整合，各種臺式機、筆記本電腦和服務(wù)器沒有太大不同，但是Rockwell PLC和Honeywell制造系統(tǒng)之間的差異卻是巨大的。

值得欣慰的是，以O(shè)T為中心的安全標準（例如ISA / IEC 62443和歐洲網(wǎng)絡(luò)指令）以及來自NIST，NERC，SANS，CIS的框架正在增多。2020年，更多采用這些框架和標準能夠降低網(wǎng)絡(luò)風險，但同時也增加工控網(wǎng)絡(luò)的安全成本和復(fù)雜性。考慮到目前OT安全標準和框架尚處于驗證階段，企業(yè)往往會評估采用多個框架，從而進一步增加成本和復(fù)雜性。

10安全咨詢和可管理安全（托管）服務(wù)市場激增

近年來，越來越多的公司放棄了完全自主的安全管理。根據(jù)肯尼斯研究的研究報告，可管理安全服務(wù)是安全市場中增速較高的領(lǐng)域，每年增速達到15%。

報告認為2020年可管理安全服務(wù)市場的增長將提速。很多數(shù)字化轉(zhuǎn)型中的企業(yè)很難找到足夠的安全人才應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全問題，這促使他們將目光投向可管理安全服務(wù)。

報告還預(yù)計，隨著企業(yè)對技術(shù)的依賴性加強，安全咨詢業(yè)務(wù)的需求也將快速增長。公司尋求可以幫助他們解決問題并滿足公司需求的安全服務(wù)，安全咨詢服務(wù)交付的主要方式包括合作伙伴關(guān)系、外包、SaaS解決方案和常規(guī)服務(wù)等。

但是，網(wǎng)絡(luò)安全市場的復(fù)雜性使一些公司不愿將所有的安全任務(wù)都外包出去，市場上的一個變化趨勢是，大公司愿意引入可管理安全服務(wù)提供商解決難點和痛點，但并不會全部外包，自主和外包的混合模式將成為主流。